微軟的操作系統是目前使用人數最多的,如果大範圍出現問題,那麼後果不堪設想,可是就在今年的3月31日,全球的Windows用戶都面臨來自系統漏洞的威脅,而且涉及的產品包含了現在所有主流版本的Windows。www.sq120.com推薦文章
ANI蠕蟲病毒閃電襲擊
3月31日,廣東的張先生在上網時,流覽器突然提示要下載一名為“你絕對想不到”的圖片檔,他認為圖片檔一般不會有什麼問題,結果打開後卻發現什麼也沒有。這時電腦突然頓了一下,網速也下降很嚴重,似乎有什麼東西在佔用著網路。
當天晚上,他在登錄QQ時就提示密碼錯誤。他感覺不妙,準備用殺毒軟體檢查一下電腦,卻發現滑鼠竟然自己動了,還在翻找著自己的檔。這時他才發現已經有人入侵了他的電腦。
在3月31日,有同張先生一樣遭遇的線民不計其數。這些受害的線民都有一個共同點,他們都使用Windows2000以上的操作系統。怎麼回事呢?原來,微軟多個操作系統被曝存在一處嚴重的漏洞,並已被多個高危病毒利用,開始在全球範圍傳播,遭殃的系統還包括號稱安全性極強的Vista。
說起這次ANI漏洞襲擊可以用閃電速度來形容,其實早在去年12月微軟就已在NT內核平臺中發現處理滑鼠動態指針圖形檔(.ANI)時存在漏洞,但當時並未公開。3月末該漏洞被曝光,就在漏洞被曝光的第2天,網上就出現了利用此漏洞傳播的蠕蟲,當天全球即出現了100多個利用ANI漏洞發起攻擊的網站,各大安全廠紛紛發佈病毒警告,而很快地,國內就發現了此類蠕蟲。
病毒瘋狂繁衍
僅僅2天時間ANI蠕蟲就已在國內大範圍繁衍各類變種,國內三大安全廠商均截獲了大量利用ANI漏洞傳播的各類蠕蟲和木馬病毒,並各自採取了相應的緊急措施。
為什麼此次ANI蠕蟲傳播速度會如此之快?正是惡意ANI檔製作相對容易,且能輕易打開系統入口,國內才有大批利用此漏洞的惡性病毒出現,甚至出現了惡意ANI檔生成器。
有安全廠商僅1天時間就截獲了5個新變種。短短數日,超過13個利用此漏洞的病毒相繼出現。目前已有20多個網站被攻陷,並被掛ANI蠕蟲企圖竊取QQ及網遊帳戶,甚至偷窺用戶隱私。
一些已被控制住的惡性病毒也利用此漏洞衍生最新變種,企圖死灰復燃,例如現在已經出現了“威金”的ANI版變種。如果這種情況不加以控制,極有可能大規模爆發病毒,危害甚至超過剛熄滅不久的“熊貓燒香”。
目前,各大安全廠商均嚴陣以待,密切關注新病毒爆發的跡象,例如國內著名安全廠商瑞星就已將當前病毒疫情調至橙色危險級別,這也是今年發佈的第一個橙色危險警報。
或許使用Firefox、Opera等第三方流覽器的用戶正暗自慶倖可以躲過網頁中嵌入的惡意ANI蠕蟲,然而事實是,他們並不能阻止這些畸形ANI檔的運行。同時,QQ用戶注意不要輕易接收好友發來的不明圖片檔,因為已經發現此病毒可利用捆綁技術將自身嵌入圖片傳播。
資料:ANI漏洞
Windows系統在處理畸形的動畫圖示檔(.ani)時存在緩衝區溢出漏洞,遠程攻擊者可能利用此漏洞控制用戶機器。這個漏洞主要是Windows在處理畸形檔(.ani)時沒有正確地驗證ANI檔頭中所指定的大小,導致棧溢出漏洞。
如果用戶使用IE流覽器訪問了惡意站點或打開了惡意的郵件消息,就會觸發這個溢出,導致執行任意的危險代碼,惡意程式將被自動下載到用戶的IE臨時目錄並得到執行。
由於此漏洞造成病毒大幅增加,微軟已經提前發佈了原定於本月10號發佈的安全補丁,其他版本的用戶可訪問微軟網站自行下載,並將通過法律手段,在全球範圍緝拿惡意製造ANI病毒的犯罪分子。
ANI蠕蟲“麥英”啃噬系統
此次ANI漏洞受害者中,絕大多數是中了ANI蠕蟲“麥英”以及它的變種,如果不小心感染了“麥英”病毒,則很難將它徹底消滅。同時,短短幾天時間,“麥英”的變種已經發展到13個之多。安全形勢不容樂觀!
“麥英”病毒特徵
“麥英”病毒是一種極具破壞力的蠕蟲病毒,它利用微軟動畫游標ANI漏洞,通過電子郵件和惡意網站等進行傳播。該漏洞影響包括Vista在內的Windows 所有主流版本。
“麥英”病毒可感染本地磁片、閃存、共用目錄以及大小在10KB~10MB之間的所有EXE檔,被感染後電腦運行速度極慢,還可導致企業局域網大面積癱瘓。病毒向外大量發送電子郵件,郵件主題為“你和誰視頻的時候被拍下的?給你笑死了!”其中附件即為病毒體。
另外,“麥英”病毒還可以感染擴展名為ASP、JSP、PHP、HTM、ASPX、HTML的腳本檔,病毒採用線程注入等技術所以很難被徹底清除。
如何清除病毒
關閉所有不用的程式,斷開網路連接(包括局域網連接)。按“Ctrl+Alt+Del”鍵打開任務管理器,查找有沒有IE進程(IEXPLORE.EXE)、記事本程式進程(NOTEPAD.EXE),以及sysload3.exe檔進程,如果有,把它們全部結束(圖1)。
在註冊表編輯器中依次展開HKEY_CURR ENT_USERSoftwareMicrosoftWindowsCurrentVersionRun主鍵,刪除下麵的“System Boot Check”=“C:WINDOW Ssystem32sysload3.exe”鍵值(圖2)。
注意:以上操作步驟先後順序不能錯,因為許多EXE檔被感染了,所以不要運行其他EXE可執行檔,以免病毒被再次啟動。啟動病毒後,會重新向註冊表中寫入啟動項。
重啟電腦到安全模式下,使用更新了最新病毒庫的殺毒軟體對硬碟進行全面查毒,清除所有被感染的檔,因為被感染的EXE檔數量龐大,這是最高效的處理方法。
駭客大肆利用ANI漏洞
微軟操作系統曝出重大漏洞,Windows 2000以上的所有系統受到影響,這也給微軟號稱安全性超強的Vista當頭一棒。在微軟還沒有發佈漏洞補丁的時候,駭客大肆攻擊所有Windows用戶,網路安全受到極大影響。要防禦就必須知道對方如何進攻,現在我們就看看駭客是如何利用漏洞攻擊系統的。
系統就這樣被攻陷
運行ANI漏洞的利用程式,只要在網頁木馬地址中輸入木馬服務端程式的網頁地址即可,然後點擊“生成+智能”按鈕即可漏洞利用檔(圖3)。該漏洞利用程式還增加了一個智能判斷系統,可以入侵安裝有全部補丁的Windows XP系統,同時根據不同的系統使用不同的漏洞,從而提高網頁木馬的命中率。
不只ANI這種格式的游標檔可以被利用,其他格式的游標檔同樣可以。我們看到漏洞利用工具一共生成了6個檔,其中有一個名為0day的JPG圖片檔,這就是生成的ANI漏洞的利用檔(圖4)。將這6個檔同時上傳到自己的網路空間中,然後將網頁木馬通過即時通訊軟體、電子郵件等方式發佈出去。
這是一個全新的系統漏洞,所以很快就可以看到上線的肉雞。
堵住ANI漏洞
目前微軟已經發佈了針對ANI漏洞的補丁,廣大用戶應該立即下載並安裝補丁(Windows XP用戶下載:http://down load.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe,其他版本的用戶可訪問微軟網站自行下載)。針對暫時還無法安裝微軟補丁的用戶,我們推薦大家先使用一些臨時解決方法來進行防範。
1. 安裝第三方的安全組織eEye提供的第三方補丁進行修補(下載地址:http://dl.360safe.com/AniPatch.rar)。注意:安裝該補丁需要關閉防火牆以及殺毒軟體,否則將導致系統崩潰。
2. 利用純文本格式讀取郵件資訊,如果使用Vista系統,則禁用Vista系統的預覽欄。
3. 關閉自動運行功能,我們可以利用超級兔子或者Windows優化大師來關閉。
4. 在Windows資源管理器“工具→檔夾選項→任務”中選擇“使用Windows傳統風格的檔夾”。
5. 開啟網路防火牆,限制可疑程式訪問網路的許可權,禁止陌生程式發送電子郵件功能。 |
