捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 1213 | 回覆: 0 | 跳轉到指定樓層
doudou10722
王子 | 2009-7-9 08:34:11

吉瑞科技今日針對惡意程式攻擊微軟MSVidCtl (Microsoft Video Streaming ActiveX Control)零時差漏洞提出警訊。吉瑞科技指出,此波攻擊自7月6日開始散播,至目前為止已發現有上千個大陸網站含有惡意程式碼,部分惡意程式碼下載連結已經失效,台灣也有部份網站被值入相關惡意連結(如3b3(dot)org/c.js)。使用者若瀏覽包含此惡意連結的網頁,將會下載一個名為TR/Crypt.FKM.Gen的惡意程式執行檔。感染此惡意程式後,電腦中的個人資料有被竊取的風險。
MSVidCtl零時差漏洞受影響軟體(請參考微軟 972890):
  • Windows XP Service Pack 2和Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 for Itanium-based Systems
MSVidCtl零時差漏洞暫時解決方案:
在微軟尚未釋出此漏洞修復程式前,請利用KillBit方式修改註冊碼,將MSVidCtl功能暫時關閉。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]
“Compatibility Flags”=dword:00000400
其中{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}的值,如下所示:
{011B3619-FE63-4814-8A84-15A194CE9CE3}
{0149EEDF-D08F-4142-8D73-D23903D21E90}
{0369B4E5-45B6-11D3-B650-00C04F79498E}
{0369B4E6-45B6-11D3-B650-00C04F79498E}
{055CB2D7-2969-45CD-914B-76890722F112}
{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}
{15D6504A-5494-499C-886C-973C9E53B9F1}
{1BE49F30-0E1B-11D3-9D8E-00C04F72D980}
{1C15D484-911D-11D2-B632-00C04F79498E}
{1DF7D126-4050-47F0-A7CF-4C4CA9241333}
{2C63E4EB-4CEA-41B8-919C-E947EA19A77C}
{334125C0-77E5-11D3-B653-00C04F79498E}
{37B0353C-A4C8-11D2-B634-00C04F79498E}
{37B03543-A4C8-11D2-B634-00C04F79498E}
{37B03544-A4C8-11D2-B634-00C04F79498E}
{418008F3-CF67-4668-9628-10DC52BE1D08}
{4A5869CF-929D-4040-AE03-FCAFC5B9CD42}
{577FAA18-4518-445E-8F70-1473F8CF4BA4}
{59DC47A8-116C-11D3-9D8E-00C04F72D980}
{7F9CB14D-48E4-43B6-9346-1AEBC39C64D3}
{823535A0-0318-11D3-9D8E-00C04F72D980}
{8872FF1B-98FA-4D7A-8D93-C9F1055F85BB}
{8A674B4C-1F63-11D3-B64C-00C04F79498E}
{8A674B4D-1F63-11D3-B64C-00C04F79498E}
{9CD64701-BDF3-4D14-8E03-F12983D86664}
{9E77AAC4-35E5-42A1-BDC2-8F3FF399847C}
{A1A2B1C4-0E3A-11D3-9D8E-00C04F72D980}
{A2E3074E-6C3D-11D3-B653-00C04F79498E}
{A2E30750-6C3D-11D3-B653-00C04F79498E}
{A8DCF3D5-0780-4EF4-8A83-2CFFAACB8ACE}
{AD8E510D-217F-409B-8076-29C5E73B98E8}
{B0EDF163-910A-11D2-B632-00C04F79498E}
{B64016F3-C9A2-4066-96F0-BD9563314726}
{BB530C63-D9DF-4B49-9439-63453962E598}
{C531D9FD-9685-4028-8B68-6E1232079F1E}
{C5702CCC-9B79-11D3-B654-00C04F79498E}
{C5702CCD-9B79-11D3-B654-00C04F79498E}
{C5702CCE-9B79-11D3-B654-00C04F79498E}
{C5702CCF-9B79-11D3-B654-00C04F79498E}
{C5702CD0-9B79-11D3-B654-00C04F79498E}
{C6B14B32-76AA-4A86-A7AC-5C79AAF58DA7}
{CAAFDD83-CEFC-4E3D-BA03-175F17A24F91}
{D02AAC50-027E-11D3-9D8E-00C04F72D980}
{F9769A06-7ACA-4E39-9CFB-97BB35F0E77E}
{FA7C375B-66A7-4280-879D-FD459C84BB02}
此惡意程式碼,如下圖所示:

此惡意程式執行檔分析結果,如下所示:
[新增執行程序]
C:\Temp\directshow_0day_sample\svchost.exe
[DLL注入]
C:\WINDOWS\system32\func.dll
[新增檔案]
C:\autorun.inf
C:\WINDOWS\phpq.dll
C:\WINDOWS\system32\func.dll
至於惡意程式檔案掃描結果,請參考
http://www.virustotal.com/analisis/2bac100f366b21830a16d48e90a1cdd1460d4bd0b2a938d9137993012a92b2cc-1247020257
http://www.virustotal.com/analisis/b042bd0b82570a383124920aa76bec4893ff4b688ab5d4de029054c85a36c04f-1247021252
【有關吉瑞科技】
長期觀察與研究資訊安全威脅,以及專注於研發與代理資安軟硬體產品,並且提供專業資安服務給客戶,以降低客戶所承受的安全威脅風險。若欲瞭解更多相關資訊,歡迎瀏覽吉瑞科技公司網頁 www.g-ray.com.tw
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表