百分比俱樂部 (PERCENT CLUB) - Powered by Discuz! Board

標題: [新聞] 200811 病毒通告 [打印本頁]

作者: P11555 時間: 2008-11-14 16:38 標題: 200811 病毒通告

弱點通告：MS08-068 Microsoft SMB 中的弱點可能會允許遠端執行程式碼，請使用者儘速更新！

		2008/11/14
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-068 Microsoft SMB 弱點的修補程式，這個弱點是出現在當使用者連結到駭客的SMB伺服器時，SMB協定處理NTLM憑證的方式讓駭客可以重複利用使用者的憑證。假若使用者的權限為管理者，駭客在取得管理者權限後將可任意操控受感染的伺服器。駭客利用此弱點任意的安裝程式，瀏覽、改變和刪除資料，或新增擁有所有控制權的帳號，進而在受駭系統上遠端執行任意程式碼。任何允許檔案共用的Windows 系統都有受此弱點影響之風險。受到本弱點所影響的系統有Windows 2000 / XP / Server 2003 / Vista / Server 2008 等系列。微軟表示目前未發現有利用此弱點進行入侵的案例，中華電信SOC 建議使用者及系統管理者應儘速更新以降低受駭風險。

	影響系統：	Microsoft Windows 2000 SP4 Windows XP SP2 / SP3 Windows XP Professional x64 Edition / SP2 Windows Server 2003 SP1 / SP2 Windows Server 2003 x64 Edition / SP2 Windows Server 2003 SP1 / SP2 for Itanium-based Systems Windows Vista / SP1 Windows Vista x64 Edition / SP1 Windows Server 2008 for 32-bit / x64-based / Itanium-based Systems


	解決辦法：	您可以手動下載安裝修補程式，或是從Microsoft Update 網站更新。中華電信SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Microsoft Windows 2000 Service Pack 4 (KB957097 ) Windows XP SP2 (KB957097 ) Windows XP SP3 (KB957097 ) Windows XP Professional x64 Edition / SP2 (KB957097 ) Windows Server 2003 SP1 / SP2 (KB957097 ) Windows Server 2003 x64 Edition / SP2 (KB957097 ) Windows Server 2003 with SP1 / SP2 for Itanium-based Systems (KB957097 ) Windows Vista / SP1 (KB957097 ) Windows Vista x64 Edition / SP1 (KB957097 ) Windows Server 2008 for 32-bit Systems (KB957097 ) Windows Server 2008 for x64-based Systems (KB957097 ) Windows Server 2008 for Itanium-based Systems (KB957097 ) II.從Microsoft Update 網站更新： Microsoft 提供 Windows 使用者更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按"這裡"連線至 Microsoft Update 網站。

	細節描述：	Microsoft 伺服器訊息區(SMB ,Server Message Block ) 通訊協定是在 Microsoft Windows 中使用的 Microsoft 網路檔案共用通訊協定。微軟發佈了MS08-068 Microsoft SMB 弱點的修補程式，這個弱點是出現在當使用者連結到駭客的SMB伺服器時，SMB協定處理NTLM憑證的方式讓駭客可以重複利用使用者的憑證。假若使用者的權限為管理者，駭客在取得管理者權限後將可任意操控受感染的伺服器。駭客利用此弱點任意的安裝程式，瀏覽、改變和刪除資料，或新增擁有所有控制權的帳號，進而在受駭系統上遠端執行。任意程式碼任何允許檔案共用的Windows 系統都有受此弱點影響之風險。受到本弱點所影響的系統有Windows 2000 / XP / Server 2003 / Vista / Server 2008 等系列。微軟表示目前未發現有利用此弱點進行入侵的案例。本次安全更新修正了SMB協定處理回覆有效憑證的方式，避免駭客重複利用使用者的憑證，中華電信SOC 建議使用者及系統管理者應儘速更新以降低受駭風險。

	參考資訊：	Microsoft FrSIRT Secunia

作者: P11555 時間: 2008-11-14 16:44

弱點通告：MS08-069 Microsoft XML Core Services 含有允許遠端執行程式碼的弱點，請速更新！

		2008/11/14
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-069 XML Core Services 弱點修補程式。惡意人士可以透過事先架設MSXML 惡意網站，並利用即時通訊軟體發送惡意連結，或利用含有惡意連結的電子郵件，來引誘使用者去開啟惡意網站，若攻擊入侵便能在受駭系統上執行任意程式碼。 Office 2000 SP3 ,Microsoft Office XP SP3 ,Office SharePoint Portal Server 2001 SP3 ,Office SharePoint Portal Server 2003 SP3 ,Excel Viewer 2003 SP3並不受此次弱點影響。中華電信SOC在此建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Microsoft Windows 2000 SP4 Microsoft Windows XP Microsoft Windows Server 2003 Microsoft Windows Vista Microsoft Windows Server 2008 Microsoft Office SP1 /SP2 Microsoft XML Core Services


	解決辦法：	您可以手動下載安裝修補程式，或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您，設定您的系統定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Windows 2000 SP4 XML Core Services 3.0 其餘版本請參考Microsoft Update 網站 Windows XP XP SP2 /SP3 + XML Core Services 3.0 其餘版本請參考Microsoft Update 網站 Windows Server 2003 Windows Server 2003 SP1 /SP2 + XML Core Services 3.0 其餘版本請參考Microsoft Update 網站 Windows Vista Windows Vista /SP1 + XML Core Services 3.0 其餘版本請參考Microsoft Update 網站 Windows Server 2008 Windows Server 2008 32bit + XML Core Services 3.0 其餘版本請參考Microsoft Update 網站 Microsoft Office Office 2003 SP3 /Word Viewer 2003 SP3 2007 Microsoft Office System /SP1 /Office Compatibility Pack /SP1 /Microsoft Expression Web /Web2 Office SharePoint Server 2007 /SP1 Office SharePoint Server 2007 /SP1(64-bits) /Office Groove Server 2007 II.Microsoft自動更新(Microsoft Update)： Microsoft提供 Windows使用者自動更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按這裡連線至 Microsoft Update網站。

	細節描述：	本通告所提到的弱點是由於Microsoft XML Core Services (MSXML) 處理到變形過的惡意XML、處理了異常檢查的外部文件種類定義(DTDs) 及處理到異常transfer-encoding 標頭等錯誤所造成。惡意人士可以透過事先架設惡意網站(部份弱點可利用iFrame來發動攻擊)，並利用即時通訊軟體發送惡意連結，或利用含有惡意連結的電子郵件，來引誘使用者開啟惡意網站，便可以利用上述弱點造成受駭系統發生錯誤，而使惡意人士能夠以登入的使用者身份去執行任意程式碼。由於會受到此弱點影響的版本眾多，中華電信SOC建議使用者應儘速上網更新，以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSirt

作者: P11555 時間: 2008-11-28 11:19

病毒通告：WORM_DOWNAD.A 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散，請勿開啟任何可疑連結並請儘速安裝微軟MS08-067 更新檔！

		2008/11/28
	風險等級：	中度威脅
	摘　　要：	微軟於上個月緊急發佈MS08-067 Windows Server Service 含有遠端執行程式碼的弱點，若攻擊者成功利用此弱點，即可能造成使用者電腦受駭。趨勢科技日前發現WORM_DOWNAD.A 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散，感染此蠕蟲之系統將會被建立一系統服務並且在每次開機時自動啟動該蠕蟲程式，接下來會繼續攻擊其他未修補微軟MS08-067 弱點的電腦。 HiNet SOC 建議您注意來路不明的電子郵件附檔以及內文中的不明網站連結，並安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

	影響系統：	Windows 98 / Me Windows NT / 2000 Windows XP Windows Server 2003


	解決辦法：	若不慎點擊惡意附檔或連結，建議處理方式如下： 1、請將防毒軟體之病毒定義檔更新至最新 2、請執行防毒軟體之全系統掃瞄，並記下偵測到之病毒程式檔案路徑及名稱 3、請關閉系統還原功能 (Windows Me / XP ) 4、請重新開機並進入安全模式 5、刪除病毒開機自動啟動的機碼(進行本動作前，請先做登錄檔備份)：點選「開始」--> 「執行」，鍵入「regedit 」，按下確定。請搜尋所有 ServiceDll = "{防毒軟體發現病毒程式檔案之路徑及名稱}" 登錄值，找到後請刪除左邊視窗對應之機碼。請搜尋到 HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \SvcHost 機碼，並在右邊視窗找到netsvcs 登錄值。請在「netsvcs 」登錄值上按右鍵，點選「修改」，在數值資料欄位中，將防毒軟體發現病毒程式之檔案名稱刪除後按下確定。請離開登錄編輯程式 6、請搜尋防毒軟體偵測到之病毒程式檔案路徑下的病毒檔案，點選病毒檔案後，使用SHIFT + DELETE 進行刪除。

	細節描述：	趨勢科技日前發現WORM_DOWNAD.A 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散，感染此蠕蟲之途徑可能是系統中的其他惡意程式從遠端惡意網站下載、其他惡意程式用其他方式下載或是該蠕蟲本身是屬於某個惡意程式之元件。系統受到感染後將會被建立一系統服務並且在每次開機時自動啟動該蠕蟲程式，之後會進一步透過TCP 445 Port 去攻擊網路上的其他電腦。受駭電腦還會被進一步的被當作HTTP Server 並使用隨機的Port ，當對其他電腦攻擊成功之後會將自身程式從以下網址複製一份到受駭電腦上： http://{IP address of the affected machine} :{random port} /{random characters} 註：IP address of the affected machine 代表已受感染的電腦；random port 代表隨機開啟的Port ；random characters 代表隨機產生之檔案名稱。同時當這隻蠕蟲程式執行後，還會到以下網站下載惡意程式： http://{BLOCKED}converter.biz /4vir /antispyware /loadadv.exe 註：由於安全性考量，故部分網址內容無法提供。另外這支惡意程式會連到下列網址，解析電腦名稱以取得IP位址： http://www.getmyip.org http://getmyip.co.uk http://checkip.dyndns.org HiNet SOC 建議您立即更新微軟MS08-067 的弱點修補程式、不去開啟來路不明的電子郵件以及內文中的連結，以及安裝防毒軟體且更新最新的病毒碼來降低受駭風險。

	參考資訊：	Trend Micro TrendLabs

歡迎光臨百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/)