一、 全国计算机病毒传播形势
根据“江民计算机病毒疫情监测系统”的数据显示,2010年6月份较2010年5月份而言,全国范围内感染病毒的计算机数量呈小幅的下降趋势,降幅约4%。
本月中最为流行的病毒类型依次为木马、蠕虫和后门病毒。其中,木马病毒占据了整个病毒数量中的70%,蠕虫占据了约17%的数量,后门占据了8%的比例。在最为流行的木马病毒中,主要是以盗号木马和下载器为主要传播对象。另外,具有释放其它恶意程序的木马病毒也较为盛行。
“CVE-2010-0806”攻击者本月的感染数量下降了1位,目前暂列整个疫情统计中第五名的位置。从数据中看,虽然其依旧保持着较为强势的传播趋势,但据江民科技病毒疫情监控系统近两周的数据表明,其已然呈现出了疲软的发展态势。自6月14日至6月20日这一周开始,“CVE-2010-0806”攻击者的感染数量便开始出现较大幅度的下降,首次跌出了疫情统计的前十位排名。6月21日至6月27日这一周,其持续了上一周的走跌,继续呈现大幅的滑落,险些跌出疫情统计的前20位。随着时间的推移,这些因0day漏洞而生的病毒势必也会因漏洞的修复而走向灭亡。就好比“CVE-2010-0806”攻击者出现之前那昙花一现的“极光”变种一样,从人们的视野中消失是其难以逃脱的最终命运。即使挂马者们仍旧抱着侥幸的心态去加以利用,只要网民们安装了微软发布的相关补丁,其必定也是竹篮打水空忙一场。
上个月的报告中曾经提到了一个名为“JS毒器”变种gzn的病毒。该病毒会伪造桌面上存在的应用程序快捷方式,以此实现绑架IE首页以及创建大量的Internet快捷方式的目的。此类病毒在本月又出现了最新的变种,且变种的危害程度已经大大的超越了其前辈对系统所造成的破坏和影响。
该病毒的最新变种经过JScript.Encode、escape双重加密,且密文中还混杂着由注释语句构成的干扰代码,从而增加了分析的难度。该脚本运行后,会将“开始”菜单下所有应用程序、系统程序的快捷方式篡改为随机扩展名的恶意脚本文件(不同于之前变种仅有的单一扩展名),由于其图标仍旧保持原来的样式,因此十分具有迷惑性。这些伪装成快捷方式的恶意脚本在运行后,会首先判断所运行的进程是否为几款常见的网页浏览器。如果是,则会在进程名之后添加骇客指定的URL并且调用运行,从而以此种方式实现首页的绑架。由于该病毒会在注册表中生成大量随机的扩展名项目,因此会给手动清除工作造成很大的不便。另外,由于桌面和开始菜单下的所有快捷方式都无一例外的被篡改,病毒清除后原有的正常快捷方式也需要一并进行恢复,否则仍会给用户的正常电脑操作造成干扰。一些清理软件并不能完全的将被篡改的快捷方式恢复,如果用户不慎点击了这些残毒,仍旧会激活藏身于系统文件夹中的母病毒,之后周而复始的重复上述恶意行为,令用户难以摆脱病毒的侵害。
二、月度五大流行计算机病毒
江民反病毒专家建议病毒解决方案:
1.升级杀毒软件至最新版本并全盘扫描。
2.建议打开系统的“显示隐藏文件夹”功能,并且将文件夹的查看方式设置为“详细信息”,从而避免病毒通过伪装文件图标的方式蒙骗用户。
3.禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
4.安装MS08-067、MS10-018公告中相对应的补丁,及时修复第三方软件存在的漏洞。
三、月度五大恶意网站
在上个月的“前五大恶意网站排行”中,有两个站点值得引起我们的关注,第一个就是位居被挂马站点之首的“黄山区政府网”。该站点自6月4日被江民科技监测到存在挂马事件之后,时至今日其挂马页面仍旧未能得到有效的处理。由此可见,一些地方政府虽然在电子政务方面进行着积极的探索和尝试,但在后续的技术支持与维护方面并未齐头并进。虽然现在的政府站点挂马现象较2008年已有所减弱,但整体形势依旧不容乐观,政府站点被挂马和被篡改的现象仍旧屡见不鲜。
另一个站点即是位居第四位的“硅谷动力”笔记本论坛。该站点于6月7日被挂马,当天即被江民科技所监测到。从历史数据上来看,该站点已不是第一次被挂马。硅谷动力在国内是个具有较大影响力的站点,其技术实力理应不容质疑。但由于现在的站点多使用一些第三方的论坛程序或者站点模板等,由于这些程序自身难免存在一些编写上的漏洞,这些漏洞一旦被发现并且被不法之徒所利用,即可获得相关站点的Webshell或者用来植入恶意代码,从而可以向被攻击站点中上传恶意网页或进行跨站脚本攻击等,由此给网民的信息安全造成了严重的威胁。
1. Adobe Reader/Acrobat authplay.dll AVM2 "newfunction" 处理漏洞
漏洞等级:极高
受影响产品:Adobe Reader 9.x
漏洞描述:该漏洞存在于上述软件中附带的存在漏洞的Flash Player组件“authplay.dll”。成功利用此漏洞可导致任意代码的运行。
解决方案:Adobe官方已经推出了9.3.3版本以修复此漏洞,该软件受影响版本的用户应及时进行更新。详情参见:
http://www.adobe.com/support/security/bulletins/apsb10-15.html
2. Adobe Flash Player中存在多个漏洞
漏洞等级:极高
受影响产品:Adobe Flash Player 10.0.45.2及更早版本
漏洞描述:31个漏洞存在于受影响版本的Flash Player中,利用这些漏洞可以导致任意代码执行、跨站脚本攻击或程序崩溃等。
解决方案:Adobe官方已经推出了10.1.53.64版本以修复此漏洞,该软件受影响版本的用户应及时进行更新。详情参见:
http://www.adobe.com/support/security/bulletins/apsb10-14.html
3. Google Chrome中存在多个漏洞
漏洞等级:高
受影响产品:Google Chrome 5.x
漏洞描述:一些漏洞存在于受影响版本的Google Chrome中,利用这些漏洞可导致出现内存错误或者进行跨站脚本攻击等。
解决方案:官方已发布Google Chrome更新版本5.0.375.86以修复这些漏洞,该软件受影响版本的用户应及时进行更新。
4. Mozilla Thunderbird中存在多个漏洞
漏洞等级:高
受影响产品:Mozilla Thunderbird 3.x
漏洞描述:一些漏洞存在于受影响版本的Thunderbird中,利用这些漏洞可导致系统被攻击者所侵害。
解决方案:官方已发布Thunderbird 3.0.5版本以修复这些漏洞,该软件受影响版本的用户应及时更新。
5. Mozilla Firefox中存在多个漏洞
漏洞等级:高
受影响产品:Mozilla Firefox 3.5.x、3.6.x
漏洞描述:一些漏洞存在于受影响版本的Firefox中,利用这些漏洞可导致敏感信息泄露、绕过某些安全限制等。
解决方案:官方已发布Firefox的最新版本3.5.10 、3.6.4,该软件受影响版本的用户应及时更新。
6. Opera中存在多个漏洞
漏洞等级:高
受影响产品:Opera 10.x
漏洞描述:一些漏洞存在于受影响版本的Opera中,利用这些漏洞可进行跨站脚本攻击等。
解决方案:官方已发布Opera的最新版本10.54(Windows版本),该软件受影响版本的用户应及时更新。
7. IBM Java中存在多个漏洞
漏洞等级:高
受影响产品:IBM Java 5.x、6.x
漏洞描述:IBM Java中存在多个漏洞,利用这些漏洞可导致某些安全限制被绕过、敏感信息泄露甚至拒绝服务攻击。
解决方案:升级至version 5.0 SR11-FP2或者version 6 SR8。
8. Microsoft Windows帮助和支持中心URL处理漏洞
漏洞等级:高
受影响产品:Windows XP Service Pack 2 、Pack 3,Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、Windows Server 2003 with SP2 for Itanium-based Systems
漏洞描述:帮助支持中心由于对HCP URL验证处理不正确,攻击者可以利用这个漏洞以进程权限在系统上执行任意代码。
解决方案:目前微软暂无正式补丁发布。临时解决方案为删除注册表“HKEY_CLASSES_ROOT\HCP”项,或者可以通过
http://download.microsoft.com/download/4/F/4/4F4CCE35-5214-43B2-956C-6C268CF50940/MicrosoftFixit50459.msi进行自动删除。
9. Microsoft .NET Framework 中的漏洞可能允许篡改签名XML内容的数据
漏洞等级:高
受影响产品:Microsoft .NET Framework 1.0 Service Pack 3、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 1 、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5 Service Pack 1、Microsoft .NET Framework 3.5.1
漏洞描述:Microsoft .NET Framework 中存在一个数据篡改漏洞,可能允许攻击者篡改签名 XML 内容,而且检测不到。在定制应用中,安全影响取决于具体使用情况。签名XML消息通过安全通道(例如 SSL)传输的情况不受此漏洞影响。
解决方案:微软已发布MS10-041号安全公告和相应补丁以解决此问题,详情参见http://www.microsoft.com/china/technet/security/bulletin/MS10-041.mspx
10.Internet Information Services 中的漏洞可能允许远程执行代码
漏洞等级:高
受影响产品:IIS 6.0、IIS 7.0、IIS 7.5
漏洞描述:Internet Information Services(IIS)中存在一个远程执行代码漏洞。漏洞是由于不正确地分析身份验证信息造成的。成功利用此漏洞的攻击者可以在工作进程标识 (WPI) 的上下文中执行代码。
解决方案:微软已发布MS10-040号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-040.mspx
11.Microsoft SharePoint 中的漏洞可能允许特权提升
漏洞等级:高
受影响产品:Microsoft Office InfoPath 2003 Service Pack 3、Microsoft Office InfoPath 2007 Service Pack 1 和 Microsoft Office InfoPath 2007 Service Pack 2、Microsoft Office SharePoint Server 2007 Service Pack 1、Microsoft Office SharePoint Server 2007 Service Pack 2、Microsoft Windows SharePoint Services 3.0 Service Pack 1、Microsoft Windows SharePoint Services 3.0 Service Pack 2
漏洞描述:Microsoft SharePoint中存在一个公开披露和两个秘密报告的漏洞。如果攻击者说服目标SharePoint 站点的一位用户点击特制的链接,最严重的漏洞可能允许特权提升。
解决方案:微软已发布MS10-039号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-039.mspx
12.Microsoft Office Excel 中的漏洞可能允许远程执行代码
漏洞等级:高
受影响产品:Microsoft Office Excel 2002 Service Pack 3、Microsoft Office Excel 2003 Service Pack 3、Microsoft Office Excel 2007 Service Pack 1 和 Microsoft Office Excel 2007 Service Pack 2、Microsoft Office Excel Viewer Service Pack 1 和 Microsoft Office Excel Viewer Service Pack 2、用于 Word、Excel 和 PowerPoint 2007 文件格式的 Microsoft Office 兼容包 Service Pack 1 以及用于 Word、Excel 和 PowerPoint 2007 文件格式 的 Microsoft Office 兼容包 Service Pack 2
漏洞描述:Microsoft Office中存在14个秘密报告的漏洞。 如果用户打开特制的 Excel文件,较严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。
解决方案:微软已发布MS10-038号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-038.mspx
13.OpenType 压缩字体格式 (CFF) 驱动程序中的漏洞可能允许特权提升
漏洞等级:高
受影响产品:所有在技术支持生命周期中的Windows操作系统
漏洞描述:Windows的OpenType Compact字体格式(CFF)驱动程序存在一个秘密报告的漏洞。如果用户查看用特制CFF字体呈现的内容,则该漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞。
解决方案:微软已发布MS10-037号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-037.mspx
14.Microsoft Office 中的 COM 验证漏洞可能允许远程执行代码
漏洞等级:高
受影响产品:Microsoft Office(Word、Excel、PowerPoint、Visio、Publisher)2003 Service Pack 3和Microsoft Office(Word、Excel、PowerPoint、Visio、Publisher)2007 Service Pack 1、Service Pack 2
漏洞描述:Microsoft Office COM 验证中存在一个秘密报告的漏洞。如果用户使用受影响的Microsoft Office版本打开特制的Excel、Word、Visio、Publisher或PowerPoint 文件,则此漏洞可能允许远程执行代码。
解决方案:微软已发布MS10-036号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-036.mspx
15.Internet Explorer中存在多个漏洞
漏洞等级:极高
受影响产品:Internet Explorer 5.01 Service Pack 4、Internet Explorer 6 Service Pack 1、Internet Explorer 6、Internet Explorer 7、Internet Explorer 8
漏洞描述:Internet Explorer中存在五个秘密报告和一个公开披露的漏洞。最严重的漏洞可能在用户使用Internet Explorer查看经过精心构造的网页时远程执行任意代码。
解决方案:微软已发布MS10-035号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-035.mspx
16.媒体解压缩中的漏洞可能允许远程执行代码
漏洞等级:极高
受影响产品:所有在技术支持生命周期中的Windows操作系统
漏洞描述:Microsoft Windows中存在两个秘密报告的漏洞。如果用户打开一个特制的媒体文件或从网站或提供Web内容的任何应用程序接收特制的流式内容,这些漏洞则可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。
解决方案:微软已发布MS10-033号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-033.mspx
17.Windows 内核模式驱动程序中的漏洞可能允许特权提升
漏洞等级:高
受影响产品:所有在技术支持生命周期中的Windows操作系统
漏洞描述:Windows内核模式驱动程序中存在两个公开披露和一个秘密报告的漏洞。如果用户查看用特制TrueType字体呈现的内容,则该漏洞可能允许特权提升。
解决方案:微软已发布MS10-032号安全公告和相应补丁以解决此问题,详情参见
http://www.microsoft.com/china/technet/security/bulletin/MS10-032.mspx
18.UltraISO MDS/XMD文件处理缓冲区溢出漏洞
漏洞等级:中
受影响产品:UltraISO 9.x
漏洞描述:这个漏洞由于处理MDS和XMD文件时存在边界错误导致。这个漏洞可由包含超长文件名的文件触发堆栈缓冲区溢出,成功利用此漏洞可导致任意代码运行。
解决方案:目前暂无解决方案,请密切关注厂商发布的信息。
19.Apache Axis2/Java XML文档类型声明处理漏洞
漏洞等级:中
受影响产品:Apache Axis2/Java 1.x
漏洞描述:由于Axis2没有正确限制XML文档类型声明,致使Apache Axis2/Java中存在一个漏洞。成功利用此漏洞会造成系统或者私密信息泄露,或者由于CPU、内存大量消耗而造成的拒绝服务。
解决方案:厂商已经发布了1.5.2或1.6版本以对此漏洞进行修复。
20.Samba SMB1报文链接远程内存破坏漏洞
漏洞等级:中
受影响产品:Samba 3.0.x - 3.3.12
漏洞描述:Samba中负责处理链接起SMB1报文的代码没有正确地验证客户端所提供的输入字段,恶意客户端可以向Samba服务器发送特制的SMB报文触发堆内存破坏,导致以Samba服务器(smbd)的权限执行任意代码。利用这个漏洞无需认证,且samba的默认配置便受这个漏洞影响。
解决方案:厂商已经发布了3.3.13版本以对此漏洞进行修复。
21.Linksys WAP54G未公开的debug接口漏洞
漏洞等级:中
受影响产品:3.04.02、3.04.03、3.05.03,其它版本可能也存在此漏洞
漏洞描述:Linksys WAP54G中存在未公开的debug脚本“Debug_command_page.asp”和“debug.cgi”。利用debug脚本可对设备以root权限进行访问。
解决方案:使用防火墙或者代理进行限制访问。
22.OpenSSL CMS结构处理内存破坏漏洞
漏洞等级:中
受影响产品:OpenSSL 1.0.0、OpenSSL 0.9.8
漏洞描述:OpenSSL没有正确地处理加密消息句法(CMS)结构,远程攻击者可以通过包含有OriginatorInfo元素的特制CMS结构触发无效内存地址写入或双重释放,导致执行任意代码。
解决方案:厂商已经发布了补丁以修复此漏洞,请该软件的用户及时进行更新:
http://www.openssl.org/source/openssl-0.9.8o.tar.gz
http://www.openssl.org/source/openssl-1.0.0a.tar.gz
23.OpenSSL EVP_PKEY_verify_recover()无效返回值绕过密钥验证漏洞
漏洞等级:中
受影响产品:OpenSSL 1.0.0
漏洞描述:由于验证恢复过程失败时返回的是一个未初始化的缓冲区而不是错误代码,因此这个漏洞可被用来绕过使用“EVP_PKEY_verify_recover()”的程序的密钥验证。
解决方案:厂商已经发布了补丁以修复此漏洞,请该软件的用户及时进行更新:
http://www.openssl.org/source/openssl-1.0.0a.tar.gz
24.Linux Kernel xfs_swapext()函数本地信息泄露漏洞
漏洞等级:低
受影响产品:Linux Kernel 2.6.x
漏洞描述:Linux Kernel fs/xfs/xfs_dfrag.c文件中的xfs_swapext()函数没有正确地验证访问权限,本地用户可以通过提交特制的 IOCTL请求将属于其他用户的只读文件的内容交换到自己可读的文件中,导致泄漏敏感信息。
解决方案:厂商已经发布了补丁以对此漏洞进行修复,详情参见
http://archives.free.net.ph/message/20100616.135735.40f53a32.en.html
25.Linux Kernel ethtool_get_rxnfc()函数整数溢出提权漏洞
漏洞等级:低
受影响产品:Linux Kernel 2.6.x
漏洞描述:Linux Kernel net/core/ethtool.c文件中的ethtool_get_rxnfc()函数存在一个整型溢出漏洞,通过发送一个精心构造的IOCTL可导致内核崩溃以及潜在的权限提升。
解决方案:暂无,请密切关注厂商发布的最新信息。
26.D-LINK DIR-615跨站脚本漏洞
漏洞等级:低
受影响产品:D-LINK DIR-615
漏洞描述:D-LINK DIR-615不正确过滤用户提交的输入,远程攻击者可以利用漏洞进行跨站脚本攻击,可获得目标用户敏感信息或进行未授权的设备访问。
解决方案:暂无
27.Mozilla Firefox地址栏伪造漏洞
漏洞等级:低
受影响产品:Firefox 3.5.9、Firefox 3.6.3
漏洞描述:Mozilla Firefox是一款开放源代码的WEB浏览器。此漏洞是由于"window.onerror"处理器允许调用读取重定向的目标URL,通过HTML "