百分比俱樂部 (PERCENT CLUB) - Powered by Discuz! Board

標題: [新聞] 200810 病毒通告 [打印本頁]

作者: P11555 時間: 2008-10-14 18:01 標題: 200810 病毒通告

病毒通告：TROJ_FAKEAV.CX 木馬流氓廣告軟體Antivirus 2009 正在大量散佈。

		2008/10/14
	風險等級：	高度威脅
	摘　　要：	由於目前正值各大防毒防駭軟體廠商推出2009 年度產品之際，有惡意集團正在利用這個時間點大量散佈流氓廣告軟體"Antivirus 2009" ，可能的傳播方式為透過IM 、E-Mail 、惡意網站等，一旦使用者不慎受騙安裝，這個流氓廣告軟體會不斷出現偽造的中毒訊息及掃描報告，詢問使用者是否要移除病毒，但選擇移除病毒時，就會要求購買該軟體的授權，藉此詐騙金錢或信用卡資訊。防毒防駭廠商趨勢科技將此軟體定義為TROJ_FAKEAV.CX ，惡意行為包括修改使用者桌面設定、綁架IE 瀏覽器等，造成使用者困擾，但卻無法透過正常的方式移除此軟體，中華電信SOC 建議您，不要隨意瀏覽不明網站及安裝不明軟體，並安裝防毒防駭軟體且定時更新病毒碼，以維持最新的防護狀態，降低中毒的風險。

	影響系統：	Windows 98 / ME Windows NT / 2000 Windows XP Windows Server 2003


	解決辦法：	若不慎已感染此病毒，建議處理方式如下： 1、關閉系統還原功能 (Windows XP )。 2、更新病毒碼定義檔到最新。 3、請至「工作管理員」中停止影像名稱為AV2009.EXE 的程序，使用Windows 98 / Me 系統的用戶請利用第三方工具停止該程序。如在正常模式下無法停止程序，請至安全模式下進行。 4、刪除登錄檔中的可疑登錄碼 (進行本動作前，請先做登錄檔備份)：點選「開始」-->「執行」，鍵入「regedit 」，按下確定。搜尋下列機碼並刪除(雙引號括住的部分)： HKEY_CURRENT_USER \Software \Microsoft \Windows \ CurrentVersion \ Run \"ieupdate" HKEY_CURRENT_USER \Software \"5A31A7C032FA4A817CA453B790082700" HKEY_LOCAL_MACHINE \SOFTWARE \Classes \CLSID \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}" HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}" 離開登錄檔編輯器。 5、刪除病毒程式：點選「開始」-->「搜尋」。在輸入方塊內輸入下列字串並刪除搜尋出來的檔案： %Application Data% \Microsoft \Internet Explorer \Quick Launch \Antivirus 2009.lnk %Desktop% \Antivirus 2009.lnk %User Profile% \Antivirus 2009 \Antiviris 2009.lnk %User Profile% \Antivirus 2009 \Uninstall Antiviris 2009.lnk 6、利用防毒防駭軟體執行全系統掃瞄。

	細節描述：	當使用者不慎安裝此惡意流氓廣告軟體"Antivirus 2009" 後，此軟體會修改系統啟動區的註冊值，讓每次開機時該軟體都能夠被啟動，，並且將自己註冊成Browser Helper Object (BHO) 藉此綁架IE 瀏覽器，也有可能下載其它的惡意程式至受駭系統中。 1、若不慎感染此病毒可能被植入的檔案名稱及路徑如下： %System%\ieupdates.exe %System%\winsrc.dll 請注意： %System% 是Windows 系統資料夾，在Windows 98 / ME 是指C: \Windows \System ，在Windows NT / 2000 是指C: \WINNT \System32 ，在Windows XP / Server 2003 是指C: \Windows \System32 。 %Temp% 是Windows 暫存資料夾，通常是指C: \Windows \Temp 或 C: \WINNT \Temp 。 %Windows% 是Windows 資料夾，通常是指C: \Windows 或 C: \WINNT 。 2、若不慎感染此病毒可能被修改的註冊表(Registry ) 如下： HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run \"ieupdate" HKEY_CURRENT_USER \Software \"5A31A7C032FA4A817CA453B790082700" HKEY_LOCAL_MACHINE \SOFTWARE \Classes \CLSID \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}" HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}" 防毒防駭廠商趨勢科技將此軟體定義為TROJ_FAKEAV.CX ，惡意行為包括出現偽造掃毒訊息、綁架IE 瀏覽器等，造成使用者困擾，但卻無法透過正常的方式移除此軟體，中華電信SOC 建議您，不要隨意瀏覽不明網站及安裝不明軟體，並安裝防毒防駭軟體且定時更新病毒碼，以維持最新的防護狀態，降低中毒的風險。

	參考資訊：	TrendMicro

作者: P11555 時間: 2008-10-17 17:41

弱點通告：MS08-056 Microsoft Office 的弱點可能會允許資訊洩漏！

		2008/10/17
	風險等級：	中度威脅
	摘　　要：	Microsoft 證實了Office XP 含有一項未公開報告的弱點，攻擊者可能會架設惡意網站，並誘騙使用者瀏覽以利用此弱點，一旦使用者不慎點選到惡意連結，攻擊者便可對使用者的瀏覽器注入(Inject) 用戶端指令碼(Client Side Script)，可能會讓使用者機敏性資訊外洩，或執行其它的惡意行為。 Microsoft 已推出安全性更新檔，透過解除登錄CDO 通訊協定(cdo: ) 解決此項弱點，中華電信SOC 建議受影響的系統請立即進行更新，並請不要瀏覽不明網站或點選透過IM、E-Mail 傳送的不明連結，以降低受駭風險。

	影響系統：	Microsoft Office XP Service Pack 3


	解決辦法：	請點選下列網站，選擇您所使用的作業系統版本下載相對應的安全性修正檔 Security Update for Office XP (KB956464)

	細節描述：	此弱點是由於Office 使用CDO 通訊協定處理文件時發生錯誤，當"Content-Disposition: attachment" 標頭出現時，CDO 通訊協定應要提供檔案下載的對話方塊，而不是呈現文件內容，但因為沒有適當處理這個標頭，導致檔案下載的對話方塊不會出現，而是直接呈現文件內容，這讓攻擊者有機會讓使用者瀏覽器執行任意HTML 或是程式碼，導致機敏性資料外洩。 Microsoft 已推出安全性更新檔，透過解除登錄CDO 通訊協定(cdo: ) 解決此項弱點，中華電信SOC 建議受影響的系統請立即進行更新，並請不要瀏覽不明網站或點選透過IM、E-Mail 傳送的不明連結，以降低受駭風險。

	參考資訊：	Microsoft FrSIRT Secunia

作者: P11555 時間: 2008-10-17 17:43

弱點通告：MS08-057 Microsoft Excel 中的弱點可能會允許遠端執行程式碼，請使用者儘速更新！

		2008/10/17
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-057 Microsoft Excel 多個弱點的修補程式，這些弱點是由Microsoft Excel 在VBA 效能快取中並未充分驗證資料、不當的記憶體配置以及剖析Excel 試算表檔案格式的方式中存在特定的錯誤所造成。惡意人士可藉由自行架設或利用受侵害的網站來裝載以及利用電子郵件及即時通訊軟體傳輸惡意Excel 檔案等方式，引誘使用者開啟來引發這些弱點，進而在受駭系統上遠端執行任意程式碼。未受到本弱點所影響的Office 及其他軟體為Microsoft Works 8.0 / 8.5 / 9.0 、Microsoft Works Suite 2005 / 2006 以及Microsoft Office SharePoint Server 2003 Service Pack 3 。微軟表示目前未發現有利用此弱點進行攻擊的案例，中華電信SOC 建議使用者及系統管理者應儘速更新以降低受駭風險。

	影響系統：	Microsoft Office 2000 / XP / 2003 Service Pack 3 Microsoft Office 2003 Service Pack 2 2007 Microsoft Office System / Service Pack 1 Microsoft Office Excel Viewer / 2003 / 2003 Service Pack 3 Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats / Service Pack 1 Microsoft Office SharePoint Server 2007 / Service Pack 1 / x64 Edition / x64 Edition Service Pack 1 Microsoft Office 2004 / 2008 for Mac Open XML File Format Converter for Mac


	解決辦法：	您可以手動下載安裝修補程式，或是從Microsoft Update 網站更新。中華電信SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Office 2000 Service Pack 3 (KB955461 ) Office XP Service Pack 3 (KB955464 ) Office 2003 Service Pack 2 (KB955466 ) Office 2003 Service Pack 3 (KB955466 ) 2007 Microsoft Office System (KB955470 ) 2007 Microsoft Office System Service Pack 1 (KB955470 ) Office Excel Viewer 2003 (KB955468 ) Office Excel Viewer 2003 Service Pack 3 (KB955468 ) Office Excel Viewer (KB955935 ) Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats (KB955936 ) Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats Service Pack 1 (KB955936 ) Office SharePoint Server 2007 (KB955937 ) Office SharePoint Server 2007 Service Pack 1 (KB955937 ) Office SharePoint Server 2007 x64 Edition (KB955937 ) Office SharePoint Server 2007 x64 Edition Service Pack 1 (KB955937 ) Office 2004 for Mac (KB958312 ) Office 2008 for Mac (KB958267 ) Open XML File Format Converter for Mac (KB958304 ) II.從Microsoft Update 網站更新： Microsoft 提供 Windows 使用者更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按"這裡"連線至 Microsoft Update 網站。

	細節描述：	MS08-057 所提到的是 Microsoft Excel 的3 個弱點，分述如下： 1. Microsoft Excel 在VBA 效能快取(Performance Cache )中並未充分驗證資料，造成行事曆物件驗證弱點(Calendar Object Validation Vulnerability )。 2. Microsoft Excel 剖析 Excel 試算表檔案格式(BIFF file formats )的方式中存在特定錯誤，會造成堆疊型緩衝區溢位(stack-based buffer overflow )。 3.Excel REPT 函數允許儲存格長度最大值的整數溢位(integer overflow )，進而導致弱點易遭利用的情況。惡意人士可藉由自行架設或利用受侵害的網站來裝載以及利用電子郵件及即時通訊軟體傳輸惡意Excel 檔案等方式，引誘使用者開啟來引發這些弱點，進而在受駭系統上遠端執行任意程式碼。本次安全性更新會修改Excel 使用ActiveX 控制項處理VBA 效能快取載入作業的方式、對於 BIFF 檔案的處理方式以及將Excel 檔案載入記憶體時移除整數溢位來解決這些弱點。微軟表示目前並沒有相關的資訊得知有惡意人士利用此弱點來進行攻擊，中華電信SOC 仍建議使用者及系統管理者應儘速上網更新避免受駭。

	參考資訊：	Microsoft FrSIRT Secunia

作者: P11555 時間: 2008-10-17 17:45

弱點通告：MS08-058 Microsoft Internet Explorer 含有多項弱點，可能造成跨網域腳本攻擊，請使用者儘速更新以免受駭！

		2008/10/17
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-058 Internet Explorer 的重要安全性更新。Microsoft Internet Explorer(IE) 被揭露含有多項弱點，惡意人士可利用這些弱點造成使用者在不知情的狀況下，造訪惡意人士架設的假冒網站，造成使用者系統受駭，惡意人士即可於遠端執行任意程式碼，發動跨網域腳本攻擊，竊取使用者機敏感性資訊。中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Microsoft Internet Explorer 5.01 Microsoft Internet Explorer 6.x Microsoft Internet Explorer 7.x


	解決辦法：	您可以手動下載安裝修補程式，或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： -- Internet Explorer 5.01 and Internet Explorer 6 Service Pack 1 -- Windows 2000 SP4 with IE5.01 SP4 (KB956390) Windows 2000 SP4 with IE6 SP1 (KB956390) -- Internet Explorer 6 -- Windows XP SP2/SP3 with IE6 (KB956390) Windows XP Professional x64 Edition (optionally with SP2) and IE6 (KB956390) Windows Server 2003 SP1/SP2 and IE6 (KB956390) Windows Server 2003 x64 Edition (optionally with SP2) and IE6 (KB956390) Windows Server 2003 with SP1/SP2 for Itanium-based Systems and IE6 (KB956390) -- Internet Explorer 7 -- Windows XP SP2/SP3 and IE7 (KB956390) Windows XP Professional x64 Edition (optionally with SP2) and IE7 (KB956390) Windows Server 2003 SP1/SP2 and Internet Explorer 7 (KB956390) Windows Server 2003 x64 Edition (optionally with SP2) and IE7 (KB956390) Windows Server 2003 with SP1/SP2 for Itanium-based Systems and IE7 (KB956390) Windows Vista (optionally with SP1) and IE7 (KB956390) Windows Vista x64 Edition (optionally with SP1) and IE7 (KB956390) Windows Server 2008 for 32-bit Systems and IE7 (KB956390) Windows Server 2008 for x64-based Systems and IE7 (KB956390) Windows Server 2008 for Itanium-based Systems and IE7 (KB956390) II.Microsoft 自動更新(Microsoft Update)： Microsoft 提供Windows 使用者自動更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按這裡連線至Microsoft Update 網站。

	細節描述：	Microsoft Internet Explorer 已被揭露含有多個重要安全性弱點，詳細說明如下： 1. 由於Internet Explorer 瀏覽器於處理Window location object 時存在錯誤，攻擊者即可利用此弱點，以物件(object) 而非字串(string) 的方式，來修改frame location，攻擊者即可在目前的瀏覽視窗取得跨網域的存取、修改權限，跨網域執行任意腳本程式，導致用戶可能在信任網站中瀏覽攻擊者製作的惡意網頁內容。 2. Internet Explorer 瀏覽器處理特定HTML elements 及events 時含有弱點，攻擊者可利用此弱點執行跨網域腳本攻擊，在不同的網域或安全性區域執行腳本程式。 3. 由於Internet Explorer 瀏覽器在處理原始碼時存在未知的錯誤，攻擊者可利用此弱點讀取不同網域或安全性區域的cookie 內容及其他資訊，甚至是執行腳本程式。 4. 由於Internet Explorer 瀏覽器存取已刪除或未初始化的物件含有弱點，攻擊者即可利用此弱點，製作惡意的網頁內容，造成系統受駭，發生未預期的記憶體中斷。 5. 攻擊者可利用Internet Explorer 瀏覽器的另一未知弱點，製作惡意的網頁內容，造成系統受駭，即可存取未初始化的記憶體空間。目前已知這些弱點尚未被實作成功，但由於其影響Microsoft Internet Explorer 眾多版本，中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSIRT

作者: P11555 時間: 2008-10-17 17:46

弱點通告：MS08-059 微軟Host Integration Server 含有允許遠端執行任意程式碼的弱點，請速更新！

		2008/10/17
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-059 Microsoft Host Integration Server 弱點修補程式，本通告是因為SNA Remote Procedure Call (RPC) 服務中存在漏洞，會允許未經授權的使用者直接進行存取受駭的主機。惡意人士可藉由此弱點在受駭的主機上取得完整的系統控制權，或執行任意程式碼。 Microsoft Host Integration Server 伺服器端與用戶端均存在此弱點。中華電信SOC 建議管理者與使用者均應儘速上網更新，以降低受駭風險。

	影響系統：	Microsoft Host Integration Server 2000 SP2 (Server) Microsoft Host Integration Server 2000 Administrator Client Microsoft Host Integration Server 2004 (Server) Microsoft Host Integration Server 2004 SP1 (Server) Microsoft Host Integration Server 2004 (Client) Microsoft Host Integration Server 2004 SP1 (Client) Microsoft Host Integration Server 2006 for 32-bit systems Microsoft Host Integration Server 2006 for x64-based systems


	解決辦法：	您可以手動下載安裝修補程式，或是從Microsoft Update 網站更新。中華電信SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Host Integration Server 2000 SP2 (Server) (KB956695) Host Integration Server 2000 Administrator Client (KB956695) Host Integration Server 2004 (Server) (KB956695) Host Integration Server 2004 SP1 (Server) (KB956695) Host Integration Server 2004 (Client) (KB956695) Host Integration Server 2004 SP1 (Client) (KB956695) Host Integration Server 2006 for 32-bit systems (KB956695) Host Integration Server 2006 for x64-based systems (KB956695) II.從Microsoft Update 網站更新： Microsoft 提供 Windows 使用者更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按"這裡"連線至 Microsoft Update 網站。

	細節描述：	MS08-059 通告內容為Microsoft Host Integration Server 在接收到RPC 命令時，由於SNA Remote Procedure Call (RPC) 服務中的數個函數如CreateProcess() 等存在漏洞，而可被惡意人士利用此弱點來取得管理者權限。惡意人士可藉由傳送TCP/UDP 通信埠的惡意RPC 請求命令到受駭的主機上，便可以藉此讓使用者受駭，且取得執行任意程式碼的權限。Microsoft Host Integration Server 伺服器端與用戶端均存在此弱點。若SNA RPC服務帳號的權限較小，對受駭的系統所造成的影響也會較小。中華電信SOC 建議系統管理者與使用者均應儘速更新，以降低受駭風險。

	參考資訊：	Microsoft FrSIRT Secunia

作者: P11555 時間: 2008-10-17 17:47

弱點通告：MS08-060 Microsoft Active Directory 含有遠端執行任意程式碼的弱點，請使用者儘速更新以免受駭！

		2008/10/17
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-060 Active Directory 的重要安全性更新。Microsoft Windows 2000 Server Active Directory 目錄服務被揭露含有弱點，惡意人士可利用此弱點造成網域控制站(Domain Controller) 主機受駭，惡意人士即可於遠端執行任意程式碼。中華電信SOC 在此建議管理者應儘速上網更新，以降低受駭風險。

	影響系統：	Microsoft Windows 2000 Server Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Datacenter Server


	解決辦法：	您可以手動下載安裝修補程式，或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Windows 2000 Server SP4 (KB957280) II.Microsoft 自動更新(Microsoft Update)： Microsoft 提供Windows 使用者自動更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按這裡連線至Microsoft Update 網站。

	細節描述：	Active Directory 是微軟對用於Microsoft Windows 環境的LDAP 目錄服務之實作。Active Directory 使管理員可輕鬆地在指定的企業範圍內，對多台電腦進行安全性設定或是統一部署應用程式、重要更新等等。 Windows 2000 Server 的Active Directory 目錄服務被揭露包含一個弱點，Active Directory 在處理LDAP(port 389/TCP) 及LDAPS(port 636/TCP) 請求時會產生錯誤的記憶體叢集，惡意人士即可利用此弱點，製作含有惡意LDAP/LDAPS 請求的封包內容，造成Windows 2000 Server 網域控制站(Domain Controller) 發生記憶體緩衝區溢位的錯誤，惡意人士即可於遠端執行任意程式碼，取得系統的完整控制權。目前已知此弱點尚未被實作成功，且並不影響Microsoft Active Directory Application Mode(ADAM) 及Active Directory Lightweight Directory Service(AD LDS)，但其影響Microsoft Windows 2000 Server 網域控制站(Domain Controller)，中華電信SOC 在此建議管理者應儘速上網更新，以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSIRT

作者: P11555 時間: 2008-10-17 17:49

弱點通告：MS08-061 Microsoft Windows kernel 含有可能造成阻斷服務攻擊的弱點，請使用者儘速更新以免受駭！

		2008/10/17
	風險等級：	中度威脅
	摘　　要：	微軟發佈了MS08-061 Windows kernel 的重要安全性更新。Windows kernel 被揭露含有多項弱點，惡意人士可利用這些弱點造成使用者系統受駭，惡意人士即可於系統kernel mode 執行任意程式碼，導致系統記憶體發生未預期中斷，甚至是發動阻斷服務攻擊(DoS)。中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Datacenter Server Microsoft Windows 2000 Professional Microsoft Windows 2000 Server Microsoft Windows Server 2003 Datacenter Edition Microsoft Windows Server 2003 Enterprise Edition Microsoft Windows Server 2003 Standard Edition Microsoft Windows Server 2003 Web Edition Microsoft Windows Server 2008 Microsoft Windows Vista Microsoft Windows XP Home Edition Microsoft Windows XP Professional


	解決辦法：	您可以手動下載安裝修補程式，或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Microsoft Windows 2000 SP4 (KB954211) Windows XP SP2/SP3 (KB954211) Windows XP Professional x64 Edition (optionally with SP2) (KB954211) Windows Server 2003 SP1/SP2 (KB954211) Windows Server 2003 x64 Edition (optionally with SP2) (KB954211) Windows Server 2003 with SP1/SP2 for Itanium-based Systems (KB954211) Windows Vista and Windows Vista SP1 (KB954211) Windows Vista x64 Edition and Windows Vista x64 Edition SP1 (KB954211) Windows Server 2008 for 32-bit Systems (KB954211) Windows Server 2008 for x64-based Systems (KB954211) Windows Server 2008 for Itanium-based Systems (KB954211) II.Microsoft 自動更新(Microsoft Update)： Microsoft 提供Windows 使用者自動更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按這裡連線至Microsoft Update 網站。

	細節描述：	Windows kernel 核心處理被揭露含有多項弱點，詳細說明如下： 1. 由於在視窗從父視窗開啟子視窗的建立過程中，Windows kernel 處理視窗屬性時存在錯誤，導致惡意人士可利用此弱點於kernel mode 執行任意程式碼。 2. 由於Windows kernel 從user mode 轉換至kernel mode 時並未執行輸入驗證，惡意人士即可藉由此弱點，造成系統發生記憶體中斷，並可於kernel mode 執行任意程式碼。 3. 當Windows kernel 從多個執行緒(threads) 中，處理特定的系統呼叫(system calls) 時含有double free 的弱點，惡意人士即可利用此弱點，導致系統記憶體發生未預期中斷，並從釋放出的記憶體空間執行任意程式碼，提升權限，甚至是發動阻斷服務攻擊(DoS)。目前已知此弱點尚未被實作成功，但其影響Microsoft Windows 眾多版本，中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSIRT

作者: P11555 時間: 2008-10-24 14:52

弱點通告：MS08-067 Windows Server Service 含有造成遠端執行程式碼的弱點，請儘速更新以降低受駭風險！

		2008/10/24
	風險等級：	高度威脅
	摘　　要：	Microsoft 證實了Windows Server Service 含有一項未公開報告的弱點，攻擊可能會利用此弱點對受影響系統傳送特製的RPC requests，若能攻擊成功，受駭系統將會允許遠端執行任意程式碼，並讓攻擊者取得受駭系統的完整控制權。 Microsoft 已緊急推出安全性更新MS08-067，透過讓Windows Server Service 正確處理RPC requests，解決此項弱點，目前可能已有利用此弱點進行攻擊的行為，中華電信SOC 建議受影響的系統請立即進行安全更新，防毒防駭軟體的病毒碼也請更新至最新，並使用防火牆防護功能，以降低受駭風險。

	影響系統：	受影響系統


	解決辦法：	請點選下列網站，選擇您所使用的作業系統版本下載相對應的安全性修正檔 Security Update for Windows 2000 (KB958644) Security Update for Windows XP (KB958644) Security Update for Windows XP x64 Edition (KB958644) Security Update for Windows Server 2003 (KB958644) Security Update for Windows Server 2003 x64 Edition (KB958644) Security Update for Windows Server 2003 for Itanium-based Systems (KB958644) Security Update for Windows Vista (KB958644) Security Update for Windows Vista for x64-based Systems (KB958644) Security Update for Windows Server 2008 (KB958644) Security Update for Windows Server 2008 x64 Edition (KB958644) Security Update for Windows Server 2008 for Itanium-based Systems (KB958644)

	細節描述：	此弱點是由於Windows Server Service 在收到惡意製造的RPC requests 時，未能正確處理，導致存在遠端執行任意程式弱點，成功利用此弱點的攻擊者可執行任意程式碼，並取得受影響之系統的完整控制權，惡意人士並可能藉此弱點散播新一波的蠕蟲攻擊。 Microsoft 已緊急推出安全性更新MS08-067，透過讓Windows Server Service 正確處理RPC requests，解決此項弱點，目前可能已有利用此弱點進行攻擊的行為，中華電信SOC 建議受影響的系統請立即進行安全更新，防毒防駭軟體的病毒碼也請更新至最新，並使用防火牆防護功能，以降低受駭風險。

	參考資訊：	Microsoft FrSIRT Secunia

作者: P11555 時間: 2008-10-29 12:54

病毒通告：TSPY_GIMMIV.A 病毒利用微軟Windows Server Service 弱點進行攻擊散播，請勿開啟任何可疑連結並請儘速安裝微軟MS08-067 更新檔！

		2008/10/29
	風險等級：	高度威脅
	摘　　要：	微軟日前緊急發佈MS08-067 Windows Server Service 含有遠端執行程式碼的弱點，若攻擊者成功利用此弱點，即可能造成使用者電腦受駭。TSPY_GIMMIV.A 正是針對此弱點攻擊用戶端的木馬間諜程式，該惡意程式會竊取用戶的帳號及密碼、系統資訊，造成使用者機敏感性資訊外洩，並可能造成受駭主機的防毒軟體無法執行、運作不正常。 HiNet SOC 建議您應儘速前往微軟網站進行更新，並安裝防毒軟體且更新防毒軟體的病毒碼至最新，來降低受駭風險。

	影響系統：	Windows 98/Me Windows NT/2000 Windows XP Windows Server 2003 Windows Server 2008 Windows Vista


	解決辦法：	若不慎開啟該惡意檔案，建議處理方式如下： 1、關閉系統還原功能 (Windows Me/XP) 2、更新病毒碼定義檔到最新 3、請重新開機並登入至「安全模式」 4、刪除病毒開機自動啟動的機碼，執行前請先備份登錄檔　　HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services 　　刪除機碼：Sysmgr 5、移除其他惡意間諜程式機碼　　HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \SvcHost 　　刪除登錄值：sysmgr = "{Random HEX Values}" 6、手動刪除惡意間諜程式　　(1)%System Root% \Documents and Settings \LocalService \Local Settings \Temporary Internet Files \winUpdate.exe 　　(2)%User Profile% \Local Settings \Temp \cmd.exe 　　(3)%System% \esobs.dat 7、執行全系統掃瞄並刪除中毒檔案 8、下載並安裝Microsoft 的修補程式以免再次受駭

	細節描述：	若用戶不慎在系統中執行惡意程式n1.exe、n2.exe、...、n9.exe，便會造成系統受駭，系統遭受感染後，病毒會在系統資料夾%system% \wbem 的路徑?堙A產生一個惡意檔案sysmgr.dll 的DLL 檔(即為TSPY_GIMMIV.A)。病毒行為說明如下：病毒會修改登錄檔(Registry)，新增一個服務名稱為 sysmgr 的服務，且其顯示名稱為「Windows NT Baseline 或 System Maintenance Service」，並使系統每次開機後便自動執行此服務，svchost.exe 程序開機後便自動載入 sysmgr.dll 執行。登錄檔修改內容如下： (1)HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Sysmgr (2)HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \SvcHost 　　sysmgr = "{Random HEX Values}" (隨機的16進位值) 病毒會持續從特定網站自動下載病毒或惡意檔案 (1)%system% \wbem \basesvc.dll、syicon.dll、winbase.dll (2)%System Root% \Documents and Settings \Local Settings \Temporary Internet Files \winUpdate.exe (3)%User Profile% \Local Settings \Temp \cmd.exe 病毒會竊取受駭系統的防毒軟體相關資訊 (1)防毒軟體相關資訊 (2)Outlook Express 機密資訊 (3)受保護的儲存資訊、系統資訊、個人帳號和密碼 (4)將竊取的資訊加密後並儲存至%System% \esobs.dat (5)將資料傳送給特定IP位址：59.106.145.58 病毒會搜尋並刪除特定機碼，造成下列安全防護軟體無法運行： (1)BitDefender Antivirus (2)Jiangmin Antivirus (3)KasperskyLab Antivirus (4)Kingsoft Internet Security (5)Microsoft OneCare Protection (6)Symantec PatchInst \Notton Internet Security (7)TrendMicro (8)Rising Antivirus 目前已知防毒防駭廠商Trend Micro、 Symantec 皆可偵測出該病毒，HiNet SOC 建議您請勿瀏覽不明網站及開啟、執行不明檔案，開啟防火牆並儘速安裝MS08-067 (KB958644) 更新檔，安裝防毒防駭軟體且隨時更新病毒碼至最新，以維持最佳的防護狀態，降低中毒的風險。備註：%symtem%位置代表Windows 系統資料夾之路徑，Windoes 98 and ME 通常是C:\ Windows\ System，Windows NT and 2000 通常是C:\ WINNT\ System32 ，Windows XP and Server 2003 通常是C:\ Windows\ System32；%System Root%位置代表根目錄之路徑，通常是C:\ ；%User Profile%位置代表當前使用者資料夾之路徑，Windows 98 and ME 通常是C:\ Windows\ Profiles\ {使用者名稱}，Windows NT 通常是C:\ WINNT\ Profiles\ {使用者名稱}，Windows 2000 、XP and Server 2003 通常是C:\ Documents and Settings\ {使用者名稱}。

	參考資訊：	TrendMicro Symantec

歡迎光臨百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/)