瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于最近ANI漏洞招致的病毒泛滥问题

1234   1  /  4  页   跳转

关于最近ANI漏洞招致的病毒泛滥问题

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-02 11:59 | 只看楼主 短消息 资料
字号: 1楼

关于最近ANI漏洞招致的病毒泛滥问题

ANI漏洞曝光,微软没及时跟进发布补丁,导致了一场不大不小的风波。中招者不在少数。
第三方ANI漏洞补丁推出,不少人似乎见到了一根“救命稻草”,纷纷打上。
然而,这个第三方补丁的作用又遭质疑(http://bbs.hzva.org/viewthread.php?tid=43972&extra=page%3D1)。尴尬局面再现。

上述现实,再次暴露了我国网民安全意识薄弱的现状。

其实,面对这个微软还没提供补丁的ANI漏洞,网民也不是束手无策。关键在于人们是否重视这个问题。

本人不才,孤陋寡闻。但知道的防范措施至少有以下这些:
1、针对ANI漏洞曝光而微软未提供相应补丁,杀软商已经及时跟进,升级了病毒库。用户及时跟着升级病毒库,也算一个办法吧。
2、瑞星防火墙用户,使用“杭州志愿者论坛”提供的规则包,据说也可有效防范这个ANI漏洞引发的问题。但是,使用这个规则包是有具体要求的(详见“可能与规则包冲突的软件列表”:http://bbs.hzva.org/viewthread.php?tid=7486&extra=page%3D1)。如果你能满足这些要求,使用该规则包并跟着及时升级,也能解决问题(不是广告哈,我与杭州志愿者论坛无任何利益瓜葛)。
3、像我这样的网民(不用瑞星防火墙而偏爱另类安全软件且不肯放弃者),也有办法:
(1)在Tiny防火墙的规则中加入下图所示的规则一条,作为第一道防线。加上Tiny中的IDS(默认)、AD、FD、RD规则(自设),基本可以挡住大多数病毒。
(2)如果Tiny的这道防线不幸被病毒突破,还有SSM(这个工具需要熟悉系统才能运用自如。规则自设)。
(3)使用OPERA浏览器上网。
(4)用下载工具(迅雷或IDM)接管全部下载任务。凡是浏览网页时提示的文件下载————一律拒绝(因为浏览网页时,我并没要下载任何东西。)
我的系统缺少N个补丁。不是不能打,而是不愿意打。目的是考验我的安全工具是否管用。这种状态已经持续了近8个月,目前尚未出现问题。(不建议别人这么做)。

总之,办法是有的。就看用户自己是否重视这些安全问题、安全措施落实与否。
对于病毒,防远远重于杀。等到病毒进入你的系统,才意识到问题的严重,麻烦已经大了。

还是想办法防吧!!!!!!!!!!!!!

附件附件:

下载次数:225
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-2 11:59:15
描述:
预览信息:EXIF信息



最后编辑2007-04-03 20:44:03
分享到:
gototop
 
kaka流浪猫
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2007-03-15
  • 来自:
发表于: 2007-04-02 12:32 | 短消息 资料
字号: 2楼

狂晕  对付病毒意识薄弱者  直接给他的电脑装个还原精灵 在他怎么弄 启动又还原了 实在运气差劲 弄个GHOST  要是连这都遭了那实在是太会用电脑了 只能再给他弄系统了  顶。。。。。。嘿嘿
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-04-02 12:42 | 短消息 资料
字号: 3楼

这种0day 是最可怕的.呵呵

第三方的补丁 实际上不是补丁

对这个补丁 包括 eeye 和 台湾的补丁 不要报希望了 群里几个人测试的有效率是0


对于 满足 规则的条件  实际上 某些 软件会导致系统的 缺失和 破坏 进而影响安全
gototop
 
hotboy
头像
社区嘉宾
  • 帖子:27670
  • 注册: 2002-02-01
  • 来自:东厂
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念冰激凌十周年
发表于: 2007-04-02 12:45 | 短消息 资料
字号: 4楼

baobao够苦口婆心的,大部分人依然听不进去
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-04-02 13:18 | 短消息 资料
字号: 5楼

第三方补丁失效,等MS出个大包(这次可算是重大更新吧)

下载工具拦截也烦死,还是看看baohe的规则……

那个补丁站刚被hacked!

有空开QQ吧,有好玩的交流一下:-)
gototop
 
musicolour
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2007-03-06
  • 来自:
发表于: 2007-04-02 13:48 | 短消息 资料
字号: 6楼

我已经打上第三方提供的补丁,应该不会有什么问题的!
gototop
 
gaopx
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2007-04-02
  • 来自:
发表于: 2007-04-02 13:56 | 短消息 资料
字号: 7楼

连ghost文件被感染,对于一般人来说!恢复系统是无效的
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-04-02 14:03 | 短消息 资料
字号: 8楼

引用:
【musicolour的贴子】我已经打上第三方提供的补丁,应该不会有什么问题的!
………………

原文如下

..::[ jamikazu presents ]::..

Windows Animated Cursor Handling Exploit (0day) (Version3)

Works on fully patched Windows Vista
I think it is first real remote code execution exploit on vista =)

Tested on:
Windows Vista Enterprise Version 6.0 (Build 6000) (default installation and UAC enabled)
Windows Vista Ultimate Version 6.0 (Build 6000) (default installation and UAC enabled)
Windows XP SP2
(It also must to work on all nt based windows but not tested)

Update: It also bypass eeye security ani patch!
Author: jamikazu
Mail: jamikazu@gmail.com

Bug discovered by determina (http://www.determina.com)

下面测试 文件的地址我就不贴出了

红色部分的译文为
我认为这是第一个真正的VISTA 系统的远程任意代码执行漏洞

蓝色部分译文为

更新: 它同时可以绕过eEye的的ani 安全补丁
gototop
 
孤独更可靠
头像
锋芒艾服狮
  • 帖子:1788
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-02 16:38 | 短消息 资料
字号: 9楼

早上得到了个样本...一个被感染的"极点中文"运行程序.

由于是在正常模式,只分析了大概了情况...

File size: 38408 bytes

MD5: 0c5d0c533a6efd534aa7cbcddbc53e4d

SHA1: a7b1c8a1f2dcf54123a3f62106ca71adf6900d8c

加壳方式:无

编写语言:Delphi

13151F10  |. BF 30331513    |MOV EDI,极点中文.13153330          ;  ASCII ".EXE"



13151F69  |. BF 28331513    |MOV EDI,极点中文.13153328          ;  ASCII ".ASP"


感染:exe .asp .jsp.php.htm.html等后缀名格式.....


写入注册表RUN项
"Software\Microsoft\Windows\CurrentVersion\Run"
131527FE  |. 68 01000080    PUSH 80000001                            ; |hKey = HKEY_CURRENT_USER
13152803  |. FF15 14301513  CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; \RegOpenKeyA

指向:C:WINDOWS\SYSTEM32\sysload3.exe


..
调用IE在"h**p://a.2007ip.com/css.css"

下载病毒...

上面的别去点..









由于在正常系统模式,无法确认汇编内的内容...

暂时只能等待杀软的升级或者专杀了..





要样本的PM我..
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-02 16:46 | 只看楼主 短消息 资料
字号: 10楼

引用:
【孤独更可靠的贴子】早上得到了个样本...一个被感染的"极点中文"运行程序.

由于是在正常模式,只分析了大概了情况...

File size: 38408 bytes

MD5: 0c5d0c533a6efd534aa7cbcddbc53e4d

SHA1: a7b1c8a1f2dcf54123a3f62106ca71adf6900d8c

加壳方式:无

编写语言:Delphi

13151F10  |. BF 30331513    |MOV EDI,极点中文.13153330          ;  ASCII ".EXE"



13151F69  |. BF 28331513    |MOV EDI,极点中文.13153328          ;  ASCII ".ASP"


感染:exe .asp .jsp.php.htm.html等后缀名格式.....


写入注册表RUN项
"Software\Microsoft\Windows\CurrentVersion\Run"
131527FE  |. 68 01000080    PUSH 80000001                            ; |hKey = HKEY_CURRENT_USER
13152803  |. FF15 14301513  CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; \RegOpenKeyA

指向:C:WINDOWS\SYSTEM32\sysload3.exe


..
调用IE在"h**p://a.2007ip.com/css.css"

下载病毒...

上面的别去点..









由于在正常系统模式,无法确认汇编内的内容...

暂时只能等待杀软的升级或者专杀了..





要样本的PM我..
………………


http://a.2007ip.com/css.css内容:


附件附件:

下载次数:261
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-2 16:46:09
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT