Board logo

標題: [新聞] 200807 病毒通告 [打印本頁]

作者: P11555    時間: 2008-7-3 17:07     標題: 200807 病毒通告

弱點通告:Internet Explorer 6 被證實含有跨網域執行程式碼的弱點 
  

2008/07/03

 
 風險等級:高度威脅  
 摘  要:Internet Explorer 6(IE 6) 瀏覽器,已被證實含有跨網域執行程式碼的弱點, 惡意人士可以利用此弱點建立惡意網站誘騙使用者瀏覽,當使用者瀏覽此惡意網站時,可能會去點選惡意網站中所顯示的連結, 一旦點選連結,就會利用新的瀏覽器視窗開啟使用者信任的網站,但在此同時也一併執行了惡意人士所設定的任意程式碼。 惡意人士可以利用此弱點突破跨網域限制(Cross Domain Policy),藉此竊取使用者COOKIE 或進行其它的惡意行為, 中華電信SOC 在此建議使用者請勿瀏覽不明網站,也請勿點選透過即時訊息或Mail 所傳送的不明連結, 並將防毒防駭軟體的病毒定義檔保持在最新,以降低受駭風險。  
    
 影響系統 :
  • Internet Explorer 6
  • 除IE7 外,其他版本的IE 瀏覽器可能也會受影響
 
 
    
 解決辦法:請自行評估是否要將Internet Explorer 6 升級至Internet Explorer 7:  
   
 細節描述:瀏覽器的主要安全功能之一就是要能夠確定在不同網站的控制之下的瀏覽器視窗群,在與來自相同的位置的瀏覽器視窗進行互動時,不被不同位置的瀏覽器視窗干擾或存取資料,為了要能夠區別瀏覽器視窗的"位置",所以產生了網域的概念,網域就像是一個安全邊界,允許讓來自於相同網域的瀏覽器視窗進行互動與存取資料,但不同網域的則拒絕,跨網域安全模型(Cross-Domain Security Model) 就是為了確保使來自不同網域的瀏覽器視窗,在運作時不會互相干擾。 此弱點是因為Internet Explorer 6(IE 6) 瀏覽器並未完整的實現跨網域安全限制,導致惡意人士可以利用此弱點繞過安全性限制,對使用者進行跨網域程式碼攻擊(XSS Attack),這個弱點是當Window 物件(Object) 在操作"location" 或 "location.href" 屬性(property) 時,因為輸入有效性錯誤(Input validation error) 所引起,目前已知Internet Explorer 7(IE 7) 瀏覽器,不受此弱點所影響,使用者可以自行評估是否要將Internet Explorer 6(IE 6) 升級至Internet Explorer 7(IE 7)。 中華電信SOC 在此建議使用者請勿瀏覽不明網站,也請勿點選透過即時訊息或Mail 傳送的不明連結,並將防毒防駭軟體的病毒定義檔保持在最新,以降低受駭風險。 
   
 參考資訊:US-CERT Secunia FrSIRT

作者: P11555    時間: 2008-7-4 20:53

事件通告:Internet Explorer 7 被證實含有跨網域執行程式碼的弱點,使用者請小心防範!  
  

2008/07/04

 
 風險等級:警戒狀態  
 摘  要:Internet Explorer 7(IE 7) 瀏覽器,已被證實含有跨網域執行程式碼的弱點, 遠端攻擊者將可利用此弱點繞過安全性限制,並取得受駭者的機敏性資訊, 造成此弱點的原因是,當Window 物件(Object) 在處理"frames" 或 "location" 屬性(property) 時會產生錯誤, 遠端攻擊者可能會架設惡意網站並誘騙使用者瀏覽,藉以利用此弱點,一旦觸發弱點成功, 將可繞過跨網域安全模型(Cross-Domain Security Model) 進行竊取使用者COOKIE 或是竊錄使用者的鍵盤輸入(keystrokes) 及其它的惡意行為,其它版本的IE 瀏覽器也可能受此弱點影響。 遠端攻擊者可能利用架設惡意網站的方式,誘騙使用者進入瀏覽,當使用者點選其中的連結開啟一個正常網站時, 惡意的內容也一併利用iframe 的方式被載入,就像將一個框架(Frame) 強制加在正常網頁上, 並且此框架(Frame) 所要載入的網頁,並不用與正常網頁同屬相同的網域(Domain)。 由於目前並沒有相關的修正檔案或方式,中華電信SOC 在此建議使用者請勿瀏覽不明網站,也請勿點選透過即時訊息或Mail 傳送的不明連結, 並將防毒防駭軟體的病毒定義檔保持在最新,以降低受駭風險。 參考資料:

作者: P11555    時間: 2008-7-4 20:55

事件通告:Mozilla Firefox 3.0 被發現含有Zero Day 的弱點!  
  

2008/07/04

 
 風險等級:警戒狀態  
 摘  要:Mozilla Firefox 最近被發現含有一項Zero Day 的弱點,惡意人士能夠利用該弱點對受影響的作業系統造成威脅。 當FireFox 在處理特定的資料時會出現錯誤導致此弱點產生,但目前這個錯誤尚未有具體說明,惡意人士可藉由引誘使用者前往惡意網站,或利用即時訊息與Mail 傳送惡意連結誘騙使用者點選,進而觸發此弱點而達到遠端執行任意程式碼、或造成電腦當機之目的。 目前已確認受影響的版本為Mozilla Firefox 3.0,而2.0.x 系列的版本也有可能受到影響。由於Mozilla 仍未提出相關修正檔案,中華電信SOC 在此建議Mozilla Firefox 的使用者應儘量避免點選不明連結或開啟不明網站,並將防毒防駭軟體的病毒定義檔保持在最新,以降低受駭風險。 參考資料:

作者: P11555    時間: 2008-7-11 23:00

弱點通告:MS08-037 Windows DNS 服務含有可能會允許假冒DNS紀錄的弱點,請儘速更新!  
  

2008/07/11

 
 風險等級:高度威脅  
 摘  要:微軟發佈了MS08-037 Microsoft DNS 弱點修補程式,本次通告所談到的弱點是因為Microsoft DNS 服務未針對DNS 封包進行充分驗證所造成。惡意人士可藉由此弱點,將使用者引導到惡意網站而造成使用者受駭。 DNS 用戶端及DNS 伺服器端均存在此弱點。不受本弱點影響的作業系統為Windows Vista SP1 、Vista x64 版本以及Windows Server 2008 for Itanium-based Systems,目前尚未發現利用此弱點進行的攻擊。中華電信SOC 建議管理者與使用者均應儘速上網更新,以降低受駭風險。 
   
 影響系統 :
  • Windows 2000 SP4
  • Windows 2000 Server SP4
  • Windows XP SP2
  • Windows XP Professional x64 Edition /SP2
  • Windows Server 2003 SP1/SP2
  • Windows Server 2003 x64 Edition /SP2
  • Windows Server 2003 SP1/P2 for Itanium-based Systems
  • Windows Server 2008 for 32-bit Systems
  • Windows Server 2008 for x64-based Systems
 
 
   
 解決辦法:您可以手動下載安裝修補程式,或是從Microsoft Update 網站更新。中華電信SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝:  
   
 細節描述:MS08-037 通告內容為Microsoft DNS 服務在執行DNS 查詢時,由於處理DNS查詢命令時的socket複雜度不足;及部份DNS 伺服器在接收外部伺服器的DNS 紀錄時,可能會接收到錯誤的DNS 資訊,而可被惡意人士成功利用上述弱點。 惡意人士可藉由本次通告中談到的弱點來插入惡意DNS 紀錄,使用戶查詢到錯誤或偽造的DNS 資訊,並將連線導至惡意網站,藉此讓使用者受駭。 Windows DNS 用戶端及DNS 伺服器端均存在此弱點。微軟表示目前並未發現利用此弱點來進行攻擊的行為,中華電信SOC 建議系統管理者與使用者均應儘速更新避免受駭。 
   
 參考資訊:Microsoft FrSIRT Secunia

作者: P11555    時間: 2008-7-11 23:01

弱點通告:MS08-038 Windows 檔案總管可能含有造成遠端執行程式碼的弱點,請儘速更新!  
  

2008/07/11

 
 風險等級:高度威脅  
 摘  要:微軟發佈了MS08-038 Windows 檔案總管的弱點修補程式,此弱點是由於Windows 檔案總管在儲存搜尋檔案的結果時,未以正確的方式剖析檔案所造成。惡意人士可以透過製作惡意的.search-ms 檔案,以E-mail 寄發或引誘使用者瀏覽含有可下載此類檔案之網站,進行開啟並儲存.search-ms 檔案來引發此弱點,進而在受駭系統上遠端執行任意程式碼。 本弱點所影響的版本為 Microsoft Windows Vista 以及 Windows Server 2008 的作業系統,Windows XP 則不受影響。微軟表示目前並沒有發現有利用此弱點進行攻擊的案例,中華電信SOC 建議使用者及系統管理員應儘速更新以降低受駭風險。 
   
 影響系統 :
  • Windows Vista / SP1
  • Windows Vista x64 Edition / SP1
  • Windows Server 2008 for 32-bit Systems
  • Windows Server 2008 for x64-based Systems
  • Windows Server 2008 for Itanium-based Systems
 
 
   
 解決辦法:您可以手動下載安裝修補程式,或是從Microsoft Update 網站更新。中華電信SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝: II.從Microsoft Update 網站更新: Microsoft 提供 Windows 使用者更新修補程式的網站,您可以在工作列的「開始」中,直接點選 「Windows Update」或 「Microsoft Update」,或請按"這裡"連線至 Microsoft Update 網站。 
   
 細節描述:Windows 搜尋是 Windows Vista 和 Windows Server 2008 的標準元件,預設為啟用;Windows XP 則需額外安裝。 Windows 搜尋可讓您立即搜尋大部分的一般檔案和資料類型,例如電子郵件、聯絡人、行事曆約會、文件、照片、多媒體和其他協力廠商所延伸的格式。 這些功能可讓消費者和資訊工作者在家庭和企業環境中,更有效率地尋找、管理和組織與日俱增的常用資料。 MS08-038 所提到的弱點是由於Windows 檔案總管在儲存搜尋檔案的結果時,未以正確的方式剖析檔案所造成。惡意人士可以透過製作惡意的.search-ms 檔案,以E-mail 寄發或引誘使用者瀏覽含有可下載此類檔案之網站,進行開啟並儲存.search-ms 檔案來引發此弱點,進而在受駭系統上遠端執行任意程式碼,使用者帳號之權限越大,則受到的影響越大 本次更新安全性更新會修改Windows 檔案總管剖析所儲存搜尋的方式,以正確驗證所有儲存搜尋檔案的內容結構,來解決這個弱點。微軟表示目前並沒有相關的資訊得知有惡意人士利用此弱點來進行攻擊,中華電信SOC 仍建議系統管理者應儘速上網更新避免受駭。 
   
 參考資訊:Microsoft FrSIRT Secunia

作者: P11555    時間: 2008-7-11 23:03

弱點通告:Outlook Web Access for Exchange Server 含有XSS 弱點! 
  

2008/07/11

 
 風險等級:高度威脅
 摘  要:Microsoft 證實了Outlook Web Access (OWA) for Microsoft Exchange Server 含有兩項未公開的弱點,遠端攻擊者會傳送精心設計過的惡意郵件,並誘騙使用者開啟,若能攻擊成功, 將可以提升權限,藉此存取不同OWA 用戶端的Session 資料,遠端攻擊者將可利用目前登入者的權限去閱讀、發送和移除電子郵件。 Microsoft 已推出安全性修正檔,利用修改OWA HTTP Session 資料驗證的方式,解決此弱點, Microsoft 表示目前並未發現有利用此弱點進行攻擊的行為, 中華電信SOC 建議受影響系統請立即更新Microsoft 所推出的安全性修正檔,以降低受駭風險。 
   
 影響系統 :受影響系統 
 
   
 解決辦法:請點選下列網站,選擇您所使用的作業系統版本下載相對應的安全性修正檔  
   
 細節描述:Microsoft Outlook Web Access (OWA) 是Exchange Server 中的一項服務。 只要利用OWA,Exchange Server 可以讓取得授權的使用者閱讀和發送郵件、編輯行事曆,以及透過網際網路瀏覽器使用Web-Mail 的其它功能。 第一個未公開的弱點是資料驗證跨網站程式碼(Data Validation Cross-Site Scripting)弱點,造成此弱點的原因是,Outlook Web Access for Exchange Server 未能充分驗證電子郵件的欄位,如果OWA 所開啟的電子郵件中含有惡意程式碼,就可能觸發此弱點,遠端攻擊者即可存取用戶端(Clinet) 的OWA Session資料,遠端攻擊者就能夠利用登入者的權限閱讀、發送和刪除電子郵件。 第二個未公開的弱點是HTML 剖析跨網站程式碼(HTML Parsing Cross-Site Scripting)弱點,造成此弱點的原因是,Outlook Web Access for Exchange Server 在展現(rendering) 電子郵件內容時,沒有對HTML 格式進行適當的驗整,當所開啟的電子郵件中含有惡意程式碼時,就可能觸發此弱點,遠端攻擊者即可存取用戶端(Clinet) 的OWA Session資料,遠端攻擊者就能夠利用登入者的權限閱讀、發送和刪除電子郵件,此弱點並不影響OWA Premium 版本。 Microsoft 已推出安全性修正檔,利用修改OWA HTTP Session 資料驗證的方式,解決此弱點, Microsoft 表示目前並未發現有利用此弱點進行攻擊的行為, 中華電信SOC 建議受影響系統請立即更新Microsoft 所推出的安全性修正檔,以降低受駭風險。 
   
 參考資訊:Microsoft FrSIRT Secunia

作者: P11555    時間: 2008-7-14 22:16

弱點通告:MS08-040 Microsoft SQL Server 含有可能洩露機敏感性資料的弱點,請使用者儘速更新以免受駭!  
  

2008/07/11

 
 風險等級:中度威脅  
 摘  要:微軟發佈了MS08-040 Microsoft SQL Server 重要安全性更新。Microsoft SQL Server 被揭露含有四個弱點,惡意人士可利用這些弱點提升權限及洩露機敏感性資料,執行任意程式碼、完全控制系統等。中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。  
   
 影響系統 :
  • Microsoft SQL Server 7
  • Microsoft Data Engine (MSDE 1.0)
  • Microsoft SQL Server 2000
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
  • Microsoft SQL Server 2005
  • Microsoft SQL Server 2005 Express Edition
 
 
   
 解決辦法:您可以手動下載安裝修補程式,或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝: II.Microsoft 自動更新(Microsoft Update): Microsoft 提供Windows 使用者自動更新修補程式的網站,您可以在工作列的「開始」中,直接點選「Windows Update」或「Microsoft Update」,或請按這裡連線至Microsoft Update 網站。 
   
 細節描述:SQL Server 在管理記憶體分頁重複使用的方法中,因為其在重新配置記憶體時並無法初始化記憶體分頁。若具有資料庫管理員存取權限的使用者成功利用此弱點,便可存取其他帳號的機敏感性資訊。 由於SQL Server 的轉換功能並沒有充分檢查輸入字串,造成SQL Server 將SQL 運算式從一個資料型態轉換到另一個資料型態時,含有緩衝區溢位的邊界錯誤(boundary error) 。攻擊者便可特製過長的SQL 運算式造成系統受駭,惡意人士便可提高權限、執行任意程式碼並完全控制系統。導致未經驗證的攻擊者就能安裝程式、檢視、變更、刪除資料,或是建立具有完整系統管理權限的新帳戶。 SQL Server 於處理資料庫備份檔案時含有緩衝區溢位(heap-based) 的弱點,由於SQL Server 無法充分驗證磁碟檔案中的資料結構,使得攻擊者可製作惡意檔案(例如:RESTORE TSQL 陳述式),導致系統受駭進而損毀記憶體,即可於受駭系統執行程式碼。此外,SQL Server 於處理插入(Insert) 陳述式時含有緩衝區溢位的弱點,使得攻擊者便可製作惡意的插入陳述式,造成系統受駭,進而提高權限、執行任意程式碼並完全控制系統。 目前已知這些弱點尚未被實作成功,但其影響微軟眾多版本的作業系統,因此,中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。 
   
 參考資訊:Secunia FrSIRT Microsoft

作者: P11555    時間: 2008-7-18 01:49

弱點通告:Apple Mac OS X 釋出多個弱點修補程式,請使用者儘速更新,以免受駭! 
  

2008/07/16

 
 風險等級:高度威脅  
 摘  要:Apple Mac OS X 含有可能會拒絕服務、敏感資訊洩漏、跨網站腳本攻擊(Cross Site Scripting ) 、偽造SNMP 封包、權限提升、執行任意程式碼以及可避過安全性限制等弱點。惡意人士可藉由Apple Mac OS X 的多種服務及元件的資料驗證或緩衝區溢位等錯誤來引發這些弱點,藉此讓受駭系統無法繼續提供服務或是取得使用者機敏資訊。 目前受影響的有Mac OS X version 10.4.11 / 10.5 - 10.5.3 、Mac OS X Server version 10.4.11 / 10.5 - 10.5.3 等版本,中華電信SOC 建議使用者應儘速上網下載更新,以免受駭! 
    
 影響系統 :
  • Mac OS X version 10.4.11 / 10.5 through 10.5.3
  • Mac OS X Server version 10.4.11 / 10.5 through 10.5.3
 
 
  
 解決辦法:請點選下列連結來安裝相關安全性更新本:
詳細描述  
 
 細節描述:Apple Mac OS X 含有可能會拒絕服務、敏感資訊洩漏、跨網站腳本攻擊(Cross Site Scripting ) 、偽造SNMP 封包、權限提升、執行任意程式碼以及可避過安全性限制等弱點。 惡意人士可藉由Apple Mac OS X 的Alias Manager 、CoreTypes 、c++filt 、Dock 、Launch Services 、Net-SNMP 、Ruby 、SMB File Server 、System Configuration 、Tomcat 、VPN 、以及WebKit 等服務及元件的資料驗證或緩衝區溢位等錯誤來引發這些弱點,藉此讓受駭系統無法繼續提供服務或是取得使用者機敏資訊。 Apple 公司已推出修改上述弱點之版本,中華電信SOC 建議使用者應儘速上網更新避免受駭。 
    
 參考資訊:FrSIRT Secunia Apple

作者: P11555    時間: 2008-7-25 17:22

病毒通告:Asprox 病毒又開始活動,使用者請勿瀏覽不明網站及執行不明檔案。  
  

2008/7/25

 
 風險等級:高度威脅
 摘  要:沉寂了一段時間的Asprox botnet 最近又開始展開活動,之前被"TROJ_ASPROX.A" 、"TROJ_ASPROX.R" 等病毒感染而變成殭屍網路(Botnet) 成員的系統,會接收到惡意人士傳送的SQL-Injection 工具,並對大量正常以ASP 建立的網站植入惡意程式碼,已知的惡意程式碼為"b.js" 、"ngg.js" 、"fgg.js" ,目前最新的惡意程式碼會判斷瀏覽者是來自那個國家,如果是惡意人士鎖定攻擊的國家,就會將網頁重導至其它惡意網站下載病毒至系統中執行,若能攻擊成功,受駭瀏灠者的作業系統將會成為受控制殭屍網路(Botnet) 中的一份子,或是被惡意人士當成Proxy Server 使用,如果瀏覽者不是來自被鎖定的國家,則會將網頁重導至正常的網站(www.msn.com)。 目前防毒防駭廠商例如Trend Micro 都已針對該病毒,設定病毒定義檔,HiNet SOC 建議您請勿瀏覽不明網站及開啟或執行不明檔案, 並安裝防毒防駭軟體且定時更新病毒碼,以維持最新的防護狀態,降低中毒的風險。 
    
 影響系統 :
  • Windows 98/ME
  • Windows NT/2000
  • Windows XP
  • Windows Server 2003
 
 
   
 解決辦法:若不慎已感染此病毒,建議處理方式如下: 1、關閉系統還原功能 (Windows XP)。 2、更新病毒碼定義檔到最新。 3、執行全系統掃瞄並刪除病毒程式。 
    
 細節描述:當瀏覽者不慎瀏覽到受駭網站,且又是來自於被惡意人士鎖定的國家時,網頁就會被重導至惡意網站下載病毒,若能攻擊成功,將會在使用者 作業系統中植入檔案、修改註冊表(Registry) 、並且開啟本機特定的Port 對外進行連線,讓作業系統成為殭屍網路(Botnet) 的成員, 或是惡意人士的Proxy Server 以避免被追查。 1、若不慎感染此病毒可能被植入的檔案名稱及路徑如下:
  • %System%\aspimgr.exe
  • %Temp%\_check32.bat
  • %Windows%\db32.txt
  • %Windows%\g32.txt
  • %Windows%\gs32.txt
  • %Windows%\s32.txt
  • %Windows%\ws386.ini
請注意:
  • %System% 是Windows 系統資料夾,在Windows 98 / ME 是指C:\Windows\System ,在Windows NT / 2000 是指C:\WINNT\System32 , 在Windows XP / Server 2003 是指C:\Windows\System32 。
  • %Temp% 是Windows 暫存資料夾,通常是指C:\Windows\Temp 或 C:\WINNT\Temp 。
  • %Windows% 是Windows 資料夾,通常是指C:\Windows 或 C:\WINNT 。
2、若不慎感染此病毒可能被修改的註冊表(Registry) 如下:
  • HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \aspimgr
  • DisplayName = "Microsoft ASPI Manager"
  • ErrorC
  • ImagePath = "%System%\aspimgr.exe"
  • ObjectName = "LocalSystem"
  • Start = "2"
  • Type = "10"
3、若不慎感染此病毒可能被開啟的Port 如下:
  • TCP Port 80
4、感染此病毒之後有可能會收集受駭系統的E-mail 連絡人清單,並利用主旨為軟體升級通告的E-mail 傳送給所有收集到的 連絡人清單,並也會將受駭者系統資訊傳送回惡意人士。 目前防毒防駭廠商例如Trend Micro 都已針對該病毒,設定病毒定義檔,HiNet SOC 建議您請勿瀏覽不明網站及開啟或執行不明檔案, 並安裝防毒防駭軟體且定時更新病毒碼,以維持最新的防護狀態,降低中毒的風險。

作者: P11555    時間: 2008-7-30 17:28

病毒通告:TROJ_FAKECLEAN.A 木馬偽裝成趨勢科技iClean 解毒快手工具並利用電子郵件進行散播,請使用者勿點擊郵件中之不明檔案及網址!  
  

2008/07/30

 
 風險等級:中度威脅  
 摘  要:防毒軟體廠商趨勢科技日前發現TROJ_FAKECLEAN.A 木馬程式偽裝成該公司研發之免費解毒快手工具"iClean" ,並透過電子郵件散播。電子郵件中會附上從正常網站所擷取之圖片來誘騙使用者下載並執行名稱為"iclean20.rar" 之壓縮檔,藉以植入名為BKDR_POISON.GO 的後門程式來竊取使用者之機敏資訊。除此之外,還有另一釣魚電子郵件,內容偽造趨勢科技所提供"WTP Add-On" 網頁威脅防禦工具之下載頁面,使用者點擊郵件中的假連結之後,即會自動下載BKDR_AGENT.AVAJ 後門程式,讓使用者系統受駭。 HiNet SOC 建議您注意來路不明的電子郵件附檔以及內文中的連結,並安裝防毒軟體且經常更新防毒軟體的病毒碼來降低受駭風險。 
    
 影響系統 :
  • Windows 98 / Me
  • Windows NT / 2000
  • Windows XP
  • Windows Server 2003
 
 
   
 解決辦法:若不慎點擊惡意附檔或連結,建議處理方式如下: 1、請關閉系統還原功能 (Windows Me / XP ) 2、請將防毒軟體之病毒定義檔更新至最新 3、執行全系統掃瞄並刪除中毒檔案(若防毒軟體無法刪除中毒檔案時,請重新開機並進入安全模式下刪除。) 
    
 細節描述:近日趨勢科技(Trend Micro) 發現TROJ_FAKECLEAN.A 木馬程式偽裝成該公司研發之免費解毒快手工具"iClean" ,並透過內容含有從正常網站擷取之圖片的電子郵件進行散播。使用者如果執行郵件所附之"iClean20.rar" 檔案,則會產生正常的iClean 工具(%Current%\ winswf~.exe )來取信使用者,並暗中在系統植入名為BKDR_POISON.GO 的後門程式(%User Temp%\ 1sass.exe 、C:\ WINDOWS\ system32\ c3dx.dll ) ,藉以竊取使用者機敏資訊。郵件相關訊息如下:
  • 寄件者: 趨勢科技 < sales @trend .com .tw > (此為虛擬帳號)
  • Email主旨: 擔心電腦中毒、隱私外洩? iClean 解毒快手,有效幫您清除電腦中的病毒、間諜程式! 備註:本文中%Current% \位置代表當時檔案解壓縮後之路徑;%User Temp% \位置代表使用者暫存資料夾路徑,通常是C:\ Documents and Settings \使用者名稱 \Local Settings \Temp 。
另外還有一封釣魚電子郵件,同樣是偽裝趨勢科技網站內容,引誘使用者下載"WTP Add-On " 網頁威脅防禦工具,當按下"免費下載"按鈕時,將會被導至"hxxp:// {BLOCKED} .update- windows- microsoft. com /products /enterprise /wtp2.htm " 的惡意網站,並在背景自動下載命名為BKDR_AGENT.AVAJ 的後門程式,讓使用者系統受駭,而趨勢科技發現目前此惡意Domain 下還有偽裝Yahoo!mail 、Gmail 、Hotmail 等網站之中文登入頁面。利用趨勢科技頁面之釣魚信件相關訊息如下:
  • 寄件者: 趨勢科技< newsletterschineset @trendmicro .rsys1 .com > (此為虛擬帳號)
  • Email主旨:懷疑電腦中了病毒或是Rootkit 程式嗎? 使用趨勢科技 WTP Add-On (Web Threat Protection ) 網頁威脅防禦工具獨門密技! 備註:本文中所提之網址含有"hxxp:// {BLOCKED } " 字樣,是為避免有心人士將連結做其他惡意利用,故未將完整惡意連結公佈出來。
HiNet SOC 建議您不去開啟來路不明的電子郵件以及內文中的連結,並安裝防毒軟體且經常更新最新的病毒碼來降低受駭風險。
 
    
 參考資訊:Trend Micro 1 Trend Micro 2 TrendLabs 1 TrendLabs 2

作者: P11555    時間: 2008-7-31 18:29

事件通告:DNS 服務含有可能會允許假冒DNS 紀錄的弱點,攻擊者可重導用戶瀏覽惡意網站,請儘速更新以免受駭!  
  

2008/07/31

 
 風險等級:警戒狀態  
 摘  要:DNS(Domain Name System) 網域名稱系統主要是用來解析網域名稱為IP 位址,日前,DNS 服務已被證實含有DNS 快取中毒(DNS cache poisoning) 的弱點,惡意人士可利用這些弱點,導致DNS 快取記錄遭竄改,使得用戶會被重導至惡意網站。弱點詳述如下: 第一:於DNS 傳送的封包中,第一個16-bits 位元組是用來記錄每個查詢封包的唯一識別值,該欄位稱為Query Identifier (簡稱QID),由於現行電腦運算速度而言,該欄位長度可能無法提供足夠的安全性,使得惡意人士可發送大量的DNS 查詢(query)封包,對某個特定的名稱伺服器(Name Server ,NS),查詢不存在的網域,然後再利用發送大量的DNS 回應(response)封包,當查詢及回應的QID 值吻合,即可欺騙該名稱伺服器,達成DNS cache poisoning 的目的。 第二:在DNS 的查詢封包中,除有表頭(header)及旗標(flag)外,尚包含資源記錄(Resource Record, RR),RR 中含有查詢(Question)、回應(Answer)、授權(Authority)及額外記錄(Additional Records)等四大部份,由於此四部份的長度是可變動的,使得惡意人士可自行架設並註冊惡意網域的伺服器,並在額外記錄部份加入惡意網域資訊,當使用者瀏覽的惡意網頁內容含有惡意網域時,便會被導向至惡意網站。 目前已知BIND 8 and 9 before 9.5.0-P1, 9.4.2-P1, and 9.3.5-P1 及Microsoft DNS in Windows 2000 SP4, XP SP2 and SP3, and Server 2003 SP1 and SP2 等版本皆會受到影響,且目前針對BIND 已出現攻擊程式碼,中華電信SOC 在此建議管理者,若有使用上述DNS 套件,應儘速前往產品官方網站,進行更新以避免受駭! 參考資料:





歡迎光臨 百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/) Powered by Discuz! 5.5.0