2月20日,瑞星公司发出2009年度第一个红色(一级)安全警报,因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。由于该类木马病毒的暴增,根据瑞星“云安全”系统的统计,仅在2月19日就截获了高达866万人次的挂马网站攻击,比前一天增加了一倍。从瑞星“恶意网站监测网”上可以看到,利用该漏洞的挂马网站拦截量直线上升,已升为目前危害最严重的漏洞。
红色(一级)安全警报
IE7新漏洞导致木马病毒暴增 瑞星一天截获866万次挂马攻击
2月20日,瑞星公司发出2009年度第一个红色(一级)安全警报,因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。由于该类木马病毒的暴增,根据瑞星“云安全”系统的统计,仅在2月19日就截获了高达866万人次的挂马网站攻击,比前一天增加了一倍。从瑞星“恶意网站监测网”上可以看到,利用该漏洞的挂马网站拦截量直线上升,已升为目前危害最严重的漏洞。
上报被攻击记录的电脑都安装了“瑞星全功能安全软件2009”或者“瑞星个人防火墙2009”,这些产品都拥有挂马网站拦截功能,因此这些用户不会感染木马病毒,但未安装安全软件的网民可能中毒,这些新的木马病毒在危害方面和以往一样——窃取用户网游账号、装备等有价私人信息,以及在用户电脑中开设后门。
瑞星客户服务中心总经理王建峰呼吁用户尽快使用免费的“瑞星卡卡”等产品修补系统漏洞,微软MS09--002漏洞只影响IE7浏览器,而目前大约有25%左右的网民使用IE7浏览器,只要大家迅速修补该漏洞,即可阻止此类木马病毒的攻击。基于“智能主动防御”和“云安全”策略开发的“瑞星全功能安全软件2009”对该类病毒威胁拥有强大的防御能力,其“木马入侵拦截——网站拦截”模块,无需升级和病毒特征码即可拦截此类木马病毒的下载,将木马挡在用户的电脑之外。
瑞星安全专家表示,利用微软(MS09--002)漏洞的木马病毒爆发状况,远远超过前段时间被媒体关注的“犇牛”等木马病毒。其根本原因有两方面,一是新漏洞,比较“时髦”,很多用户还没来及打系统补丁,因此病毒制造团伙觉得有机可乘;二是利用该漏洞的攻击源代码被黑客公布在某些专业论坛,即使一个编病毒的中学生,也可以利用这些源代码迅速制造出新的木马病毒。
(已被公布的攻击源代码)
瑞星安全专家提醒网民,可以采取以下措施防范该漏洞:
1、点击“开始”——“所有程序”——“windows update”,给自己的电脑打上MS 09—002补丁。
2、用户也可以使用瑞星卡卡助手6.0(http://tool.ikaka.com/)来给系统弥补补丁,卡卡主界面——“常用”——“漏洞扫描与修复”。
3、使用具备“木马入侵拦截——网站拦截”功能的安全软件,如“瑞星全功能安全软件2009”等,可主动防御此类的挂马网站攻击,而无需等待安全厂商截获病毒后升级软件。
小贴士:
什么是瑞星红色(一级)安全警报?
答:自从2004年起,针对全国性的新病毒疫情,瑞星推出安全预警系统,分为红色(一级)橙色(二级)、黄色(三级)和绿色(正常)四个级别,其中红色(一级)是指国内互联网受到大规模的病毒攻击,威胁范围和程度达到最高。
什么是瑞星“恶意网站监测网”(http://mwm.rising.com.cn/)?
答:瑞星“恶意网站监测网(http://mwm.rising.com.cn/)”,是国内首个专门针对挂马网站、钓鱼网站等互联网威胁的实时监测系统。所有政府机构、企业和个人用户都可以免费浏览该网站,全面了解国内网站被“挂马”的情况。
该网站通过对“云安全”系统采集的数据进行分析和处理,每天公布挂马网站排行榜、目前最危险的漏洞、挂马网站在各区域的危害情况等信息。
该网站收集的恶意网址等信息,会加入到瑞星全功能安全软件2009、瑞星个人防火墙2009、瑞星卡卡上网安全助手6.0等产品中,用户安装这些产品之后,即可拥有强大的恶意网站拦截能力。附,微软MS09-002漏洞分析报告
Internet Explorer的CFunctionPointer函数没有正确处理文档对象,如果以特定序列附加并删除了对象,就可以触发内存破坏。攻击者可以构造特殊顺序的代码触发这个内存破坏,同时利用精心构造的缓冲区,导致以当前登录用户的权限执行任意代码。
该弱点实际存在于mshtml.dll中。CFunctionPointer对象在其构造函数中没有正确地引用文档对象(标签对象或其它),导致该文档对象可能在CFunctionPointer对象释放前被释放,而CFunctionPointer会继续使用这个已经被销毁的文档对象。
这是CFunctionPointer的构造函数:
public: __thiscall CFunctionPointer::CFunctionPointer(class CBase *, long)
.text:775E7BE9 mov edi, edi
.text:775E7BEB push ebp
.text:775E7BEC mov ebp, esp
.text:775E7BEE push esi
.text:775E7BEF mov esi, ecx
.text:775E7BF1 call ??0CBase@@QAE@XZ ; CBase::CBase(void)
.text:775E7BF6 mov ecx, [ebp+pOwner]
.text:775E7BF9 test ecx, ecx
.text:775E7BFB mov eax, [ebp+pISecurityContext]
.text:775E7BFE mov dword ptr [esi], offset ??_7CFunctionPointer@@6B@ ; const CFunctionPointer::`vftable'
.text:775E7C04 mov [esi+10h], ecx// 设置关联文档对象
在设置文档对象时,CFunctionPointer的构造函数仅仅是简单的将其赋给[edi+10h],而没有对其进行引用(AddRef)。
而在CFunctionPointer其他函数中几乎都使用了该关联文档对象指针,例如实现IUnknown::AddRef的CFunctionPointer::PrivateAddRef,实现IUnknown::Release的CFunctionPointer::PrivateRelease。
这是CFunctionPointer::PrivateAddRef函数:
virtual unsigned long CFunctionPointer::PrivateAddRef(void)
.text:775E7A21 arg_0 = dword ptr 8
.text:775E7A21 mov edi, edi
.text:775E7A23 push ebp
.text:775E7A24 mov ebp, esp
.text:775E7A26 push esi
.text:775E7A27 mov esi, [ebp+arg_0] ; this
.text:775E7A2A mov eax, [esi+10h];获得文档对象指针
.text:775E7A2D test eax, eax
.text:775E7A2F jz short loc_775E7A3D
.text:775E7A31 cmp dword ptr [esi+4], 0
.text:775E7A35 jz short loc_775E7A3D
.text:775E7A37 mov ecx, [eax];取第一个DWORD,即虚表指针
.text:775E7A39 push eax
.text:775E7A3A call dword ptr [ecx+4] ;调用+4位置给出的函数,即AddRef
例如在CFunctionPointer::PrivateAddRef中,如果文档对象已经被销毁,那么将获得不可预知的虚表指针,接下来执行call dword ptr [ecx+4]后,将跳转到一个不可预知地址去执行 ,在一般情况下会导致IE崩溃。
攻击者可以以特定的步骤,使CFunctionPointer对象的关联文档对象在CFunctio nPointer对象释放前被释放,接着再引用该CFunctionPointer对象,致使已经被释放的文档对象被重新使用。
而攻击者又可以以特殊的方式,任意设置被释放文档对象原来所在内存位置的数据(即可构造不正确的虚表),导致该弱点被扩大到可以被利用于执行任意代码。
