新年伊始,病毒依然非常活跃,近期针对微软系统的两个严重漏洞的病毒数量较多并且出现多种变体。这两个漏洞分别是 MS08-078(IE的严重漏洞)和MS08-067,此类针对漏洞传播的病毒就给不少电脑用户带来了烦恼。
1月5日,冠群金辰公司截获了Win32/Kerbot.A病毒,该病毒通过eMule点对点软件进行传播。感染Win32/MS08-067!exploit病毒的机器上会自动下载Win32/Kerbot.A病毒,其中Win32/MS08-067!exploit是一种利用微软MS08-067漏洞进行传播的病毒。
微软MS08-067漏洞是近期微软公司公布的最严重的安全漏洞。如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码,攻击者可能未经身份验证即可利用此漏洞运行任意代码。
从冠群金辰反病毒研究中心的分析可以看到,近期出现了多个利用MS08-078和MS08-067漏洞传播的病毒,而且这些病毒在互联网上传播也非常广泛,以下是几种主要的病毒:
·JS/SillyDLScript.FO 以及 JS/CVE-2008-4844!exploit
利用IE7 高危漏洞的脚本病毒,目前发现的这类病毒大多通过编写特殊的XML文件,利用JavaScript脚本操作,引发内存溢出错误后释放SHELLCODE达到获取系统权限执行有害程序的目的,目前其下载的有害程序大多为木马下载器。
·Win32/Gimmiv.A病毒:木马程序主要通过微软MS08-067漏洞下载到系统中,能够从被感染机器上盗窃敏感信息。
·Win32/Conficker.A蠕虫:该蠕虫病毒将代码注入到"services.exe"进程中,保留在内存中,并很难清除掉。
·Win32/MS08-067!exploit :这是一类通过MS08-067漏洞进行传播的蠕虫。病毒为了执行stacked-based buffer overflow黑客行为,会发送RPC请求到存在漏洞的系统。很多变体都是通过其它病毒下载安装的。蠕虫通过SMB协议扫描网络中的所有共享文件夹,随后发送请求到IPC共享进行传播。
冠群金辰公司提醒广大计算机用户,特别是安装Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统的用户,请及时从微软公司网站下载并安装该安全漏洞的补丁文件,以避免病毒或恶意代码利用此漏洞侵入系统,遭受感染和破坏。
微软公司网址:
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装。
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改。
3、企业用户内网尽量不使用网络共享协议,以减少病毒利用网络共享协议反复传播。
4、不要随意执行未知的程序文件。
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用。
6、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态。
