200904 病毒通告 - PERCENT 交流園地 - 百分比俱樂部 (PERCENT CLUB)

打印 \| 推薦 \| 訂閱 \| 收藏標題: [新聞] 200904 病毒通告
本帖已經被作者加入個人空間

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-3 14:14 資料個人空間主頁短消息加為好友

200904 病毒通告

病毒通告：Conficker 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散，目前已出現多種變種版本，請使用線上檢測方式進行檢查主機是否受到感染！

		2009/4/3
	風險等級：	中度威脅
	摘　　要：	利用微軟MS08-067弱點進行攻擊之Conficker 蠕蟲，影響範圍持續擴大，雖然於預定攻擊日4/1 愚人節未如預期發動攻擊，但各家資安業者提醒Windows 作業系統使用者仍需提高警戒。該蠕蟲現已進化至第三個變種版本，微軟將此定義為Win32/Conficker.C 、賽門鐵克定義為W32.Downadup.C 、趨勢科技則定義為WORM_DOWNAD.KK。為避免使用者主機及伺服器受到影響，已有資安網站提供相關線上檢測方式，HiNet SOC 建議您可立即點此"連結"前往檢測，依照該網頁呈現之資訊，即可得知是否受到哪個版本的Conficker 蠕蟲感染。另外仍需請使用者及系統管理者不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站，以及安裝防毒軟體且更新至最新的病毒防護來降低受駭風險。

	影響系統：	Windows 98/Me Windows NT/2000 Windows XP Windows Server 2003 Windows VISTA


	解決辦法：	一、請點擊此"連結"前往檢測是否受到Conficker 蠕蟲感染。二、若不慎已感染此蠕蟲，建議處理方式如下： 1、請關閉系統還原功能 (Windows Me / XP )。 2、請將防毒軟體之病毒定義檔更新至最新。 3、請利用防毒軟體進行全系統掃描。 4、如果以上步驟仍無法順利清除病毒，建議您參考以下防毒廠商提供之步驟處理： Trend Micro Symantec 5、最後請前往微軟網站，下載MS08-067修補程式，並進行更新。

	細節描述：	最新版本的Win32/Conficker.C 蠕蟲會透過企業網路或隨身碟散布，而且會自動產生5萬個以上偽造的網域名稱、自動終止受駭系統內執行中的防毒軟體及資安鑑識工具處理程序以及防止受感染電腦連到資安網站的流量。如果您的系統所設定的安全密碼太簡單、防毒軟體病毒定義檔版本過期或是未進行作業系統更新，都有可能受到Conficker 蠕蟲感染，並且不斷擴散，成為殭屍網路(Botnet ) 的一員。 HiNet SOC 先前針對Conficker 蠕蟲所發布之相關病毒通告如以下連結： Win32/Conficker.A Win32/Conficker.B Win32/Conficker.C HiNet SOC 建議您立即更新微軟MS08-067 的弱點修補程式、不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站，以及安裝防毒軟體且更新至最新的病毒防護來降低受駭風險。

	參考資訊：	ITIS TrendLab The Honeynet Project

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-3 14:23 資料個人空間主頁短消息加為好友

事件通告：0day 漏洞通告，Microsoft Office PowerPoint 含有可能造成遠端執行任意程式碼的0day 漏洞，目前尚未釋出更新程式，請使用者不要任意點選不明PowerPoint

		2009/04/03
	風險等級：	警戒狀態
	摘　　要：	Microsoft Office PowerPoint 2000 SP3 、2002 SP3 、2003 SP3 、2004 for Mac 的版本被揭露可能含有造成遠端執行任意程式碼的零時差(0day) 漏洞，駭客可利用蓄意製作的惡意PowerPoint 檔案，並以電子郵件或IM 訊息等方式，誘使用戶在不知情的情況下點選連結，下載並開啟惡意PowerPoint 檔案，導致用戶系統受駭，駭客即可於遠端取得當前登入者的權限，若當前登入者的身份為系統管理者，則駭客即可取得系統的完整控制權，於受駭系統中任意安裝程式，瀏覽、變更和刪除任意資料，甚至是新增擁有完整權限的使用者帳號。根據微軟表示，此次PowerPoint 零時差(0day) 漏洞，被利用於針對特定區域或特定單位進行目標攻擊「Target Attack」，微軟將此種惡意PowerPoint 檔案，定義為Exploit:Win32/Apptom.gen，由於在Microsoft Office 2007 之前的版本，是採用Binary 檔案格式，常被找出零時差(0day) 漏洞，到了Microsoft Office 2007 的版本改為xml 交換格式。微軟目前正針對此漏洞進行處理，並將於日後以service pack 、每月安全性更新或即時發佈更新等方式公佈此漏洞的修補程式，請使用者隨時注意微軟官網的訊息。目前已知有攻擊行為出現，且微軟尚未釋出更新程式，中華電信SOC 在此建議使用者，不要任意開啟未知、不明的Power Point 檔案，並建議若有重要資安需求的使用者，可以採用Microsoft Office 2007 的版本，使用docx/xlsx/pptx 等xml 交換格式存檔，避免受到目標攻擊「Target Attack」的影響，以降低受駭風險！參考資料： Microsoft Security Advisory The Microsoft Security Response Center

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-8 21:37 資料個人空間主頁短消息加為好友

弱點通告：Sun Java JDK/JRE 含有阻斷服務、權限提升、執行任意程式碼等多項弱點，請儘速上網更新！

		2009/04/08
	風險等級：	高度威脅
	摘　　要：	Sun Java 推出安全性更新，為Sun Java JDK/JRE 修正多項弱點，包含阻斷服務(DoS) 、權限提升(Privilege escalation) 、敏感資訊揭露(Exposure of sensitive information) 、避過安全性限制(Security bypass) 、執行任意程式碼(Execute arbitrary code)等弱點。惡意人士或遠端攻擊者可藉由Sun Java JDK/JRE 中含有缺陷之驗證機制或緩衝區溢位等錯誤來引發這些弱點，藉此讓受駭系統服務中斷，或是取得重要機敏性資訊。目前已知會受到影響的版本為Sun JDK and JRE 6 Update 12 及之前的版本、Sun JDK and JRE 5.0 Update 17 及之前的版本、Sun SDK and JRE 1.4.2_19 及之前的版本、Sun SDK and JRE 1.3.1_24 及之前的版本，中華電信SOC 建議使用者及管理者應儘速上網進行更新，以降低受駭風險。

	影響系統：	Sun JDK and JRE 6 Update 12 及之前的版本 Sun JDK and JRE 5.0 Update 17 及之前的版本 Sun SDK and JRE 1.4.2_19 及之前的版本 Sun SDK and JRE 1.3.1_24 及之前的版本


	解決辦法：	請點選下列網站，選擇您所使用的作業系統版本及應用程式版本下載相對應的安全性修正檔 Upgrade to Sun JDK and JRE 6 Update 13 or later Upgrade to Sun JDK and JRE 5.0 Update 18 or later Upgrade to Sun SDK and JRE 1.4.2_20 or later Upgrade to Sun SDK and JRE 1.3.1_25 or later Java SE for Business

	細節描述：	近日Sun Java 公佈多個弱點修正說明，其中Sun Java JDK/JRE 含有可能會造成阻斷服務(DoS) 、權限提升(Privilege escalation) 、敏感資訊揭露(Exposure of sensitive information) 、避過安全性限制(Security bypass) 、執行任意程式碼(Execute arbitrary code)等弱點，讓遠端攻擊者或惡意人士有機會能夠利用於進行各式攻擊。第一個問題是HTTP 伺服器實作(implementation) ，含有一個尚未明確指出的錯誤，可能會允許遠端攻擊者對在JRE 運行中的JAX-WS service endpoint，進行阻斷服務(Denial of Service) 攻擊。第二個問題是在處理格式不正確的PNG 或GIF 圖像，或蓄意製作的字型時，會造成緩衝區溢位錯誤，惡意人士可以透過惡意Applet 或Java Web Start application，來利用此錯誤，藉此達成執行任意程式碼的目的。第三個問題是JRE Virtual Machine code generation 含有一個尚未明確指出的錯誤，可能會允許一個不受信任的applet 自行提升其權限。第四個問題是Java Plug-in 在反序列化(deserializing) 或處理applet，以及分析Javascript 資料或"crossdomain.xml" 檔案時，會發生錯誤，可能被惡意人士利用於繞過安全性限制或洩露機敏性資訊。第五個問題是在儲存以及處理暫存字型檔案時會發生錯誤，可能會允許一個不受信任Applet 或Java Web Start application ，佔用大量磁碟空間導致服務中斷，業務無法正常運作。第六個問題是在unpacking applets 以及Java Web Start application 使用unpack200 JAR 解壓縮工具時，會發生整數及緩衝區溢位錯誤，讓惡意人士可利用於執行任意程式碼。第七個問題是在建立LDAP 連線時會發生錯誤，讓惡意人士可利用遠端用戶端(remote client) 進行阻斷服務(Denial of Service) 攻擊。第八個問題是LDAP 用戶端實作時會發生錯誤，可能會允許LDAP 用戶端非預期的從LDAP 伺服器上下載並執行惡意程式碼。 Sun Java 已針對上述弱點推出安全性更新檔案，中華電信SOC 建議使用者及管理者應儘速上網更新，以降低受駭風險。

	參考資訊：	iDefense Secunia VUPEN

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-8 21:39 資料個人空間主頁短消息加為好友

弱點通告：Mozilla Firefox 被發現含有可能造成拒絕服務之安全性弱點，請使用者儘速更新，以免受駭！

		2009/04/08
	風險等級：	高度威脅
	摘　　要：	Mozilla Firefox 被發現兩個含有可能造成拒絕服務之安全性弱點，第一個弱點是由於Mozilla Firefox 在轉換XML 文件時處理失當而出現錯誤；第二個弱點是由於XML 使用者介面語言(XUL ) 中的元件執行時出現錯誤，造成記憶體損毀。惡意人士可藉由引誘使用者點擊電子郵件或IM 軟體傳送的連結，前往惡意架設之網站來引發此弱點，使得Mozilla Firefox 無法正常執行。目前受影響的有Mozilla Firefox 3.0.7 以及更早以前的版本，中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及點擊郵件中的連結，以降低受駭風險。

	影響系統：	Mozilla Firefox version 3.0.7 以及先前的版本


	解決辦法：	請點選Firefox 工具列的「說明」，選擇「檢查更新」，將Firefox 更新至Firefox 3.0.8 或更新的版本。至Mozilla官方網站下載 Firefox 3.0.8 或更新的版本進行升級。
詳細描述

	細節描述：	XUL (XML User Interface Language ，XML 使用者介面語言) 是 Mozilla 以 XML 為基礎的語言，不論是否有連線到網際網路，都可以讓你打造豐富功能且跨平台的應用程式，這些應用程式還可以輕鬆地自訂文字、圖案以及排版。 Mozilla Firefox 兩個弱點描述如下： 1. 第一個弱點是由於Mozilla Firefox 在轉換XML 文件時，"txMozillaXSLTProcessor::TransformToDoc()" 功能出現記憶體損毀錯誤所造成。 2. 第二個弱點是由於XML 使用者介面語言(XUL)中的元件"_moveToEdgeShift" 在執行時，會引起破碎記憶體回收(garbage collection) 而造成記憶體損毀。惡意人士可經由引誘使用者瀏覽惡意網站來引發此弱點使得瀏覽器出現錯誤或是可遠端執行任意程式碼。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及點擊郵件中的連結，以降低受駭風險。

	參考資訊：	Secunia VUPEN1 VUPEN2

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-17 23:07 資料個人空間主頁短消息加為好友

弱點通告：微軟 4 月份安全性更新公佈

		2009/04/17
	風險等級：	高度威脅
	摘　　要：	微軟本週發佈 4 月份重要安全性更新共八個，摘要說明如下： MS09-009 Microsoft Office Excel 的弱點可能會允許遠端執行程式碼參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0029 MS09-010 Windows WordPad 及Office Text Converter 的弱點可能會允許遠端執行程式碼參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0030 MS09-011 Microsoft DirectShow 的弱點可能會允許遠端執行程式碼參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0031 MS09-012 Microsoft Windows 含有提高權限的弱點參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0032 MS09-013 Windows HTTP Services 含有遠端執行任意碼的多項弱點參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0033 MS09-014 Microsoft Internet Explorer 的弱點可能會允許遠端執行程式碼參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0034 MS09-015 Windows SearchPath 含有可能會允許權限提昇的弱點參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0035 MS09-016 Microsoft ISA Server / Forefront Threat Management Gateway MBE 含有可能造成阻斷服務攻擊的弱點參考網址：http://hisecure.hinet.net/secureinfo/popup.php?cert_id=HiNet-2009-0036

	影響系統：	詳情請見MS09-009 、MS09-010 、MS09-011 、MS09-012 、MS09-013 、MS09-014 、MS09-015 、MS09-016 個別弱點通告內容


	解決辦法：	同上

	細節描述：	同上

	參考資訊：	MS09-009 MS09-010 MS09-011 MS09-012 MS09-013 MS09-014 MS09-015 MS09-016

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-21 16:30 資料個人空間主頁短消息加為好友

病毒通告：WORM_DOWNAD.E 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散，請勿開啟任何可疑連結並請儘速安裝微軟MS08-067 更新檔！

		2009/04/21
	風險等級：	中度威脅
	摘　　要：	趨勢科技持續觀察Conficker 蠕蟲，發現未在愚人節發作的Conficker 蠕蟲，約在一周後又開始活動，要求受感染的系統下載檔案至Windows Temp 資料夾，TrendMicro 將此Conficker 蠕蟲變種稱之為WORM_DOWNAD.E ，賽門鐵克則定義為W32.Downadup.E 。 WORM_DOWNAD.E 如同前身(WORM_DOWNAD.KK) 會繼續感染其他含有MS08-067 漏洞的Windows 作業系統，以隨機的檔案或服務名稱來執行，並會連結至特定網站，特別的是WORM_DOWNAD.E 程式碼顯示將在今年5 月3 日可能會停止執行。 HiNet SOC 建議您立即更新微軟MS08-067 弱點修補程式、開啟Windows 內建防火牆(其他資安產品防火牆)，不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站等，並安裝防毒軟體且更新至最新的病毒定義檔來降低受駭風險。

	影響系統：	Windows 98 / Me Windows NT / 2000 Windows XP Windows Server 2003 Windows Vista


	解決辦法：	若不慎已感染此病毒，建議處理方式如下： 1、請關閉系統還原功能 (Windows Me / XP ) 2、請將防毒軟體之病毒定義檔更新至最新 3、請利用防毒軟體進行全系統掃描 4、如果以上步驟仍無法順利清除病毒，建議您參考以下防毒廠商提供之步驟處理： TrendMicro Symantec

	細節描述：	關於WORM_DOWNAD.E 蠕蟲，行為特徵說明如下： 1.WORM_DOWNAD.E 會以隨機的檔案或服務名稱來執行，並於執行結束後會刪除本身及所有下載的惡意檔案，使得管理者無法追蹤與確認惡意檔案來源。 2.WORM_DOWNAD.E 會嘗試連結至特定網站，例如：Myspace.com 、msn.com 、ebay.com 、cnn.com 、aol.com 等，但並不知其目的為何，或許僅是做為連線測試。 3.若受駭主機可正常連線，WORM_DOWNAD.E 將會透過Internet 連線，感染未修補MS08-067 弱點的Windows 作業系統。若受駭主機無法連線至Internet ，則WORM_DOWNAD.E 將會開啟受駭主機的隨機通訊埠(1024-9999) ，讓本機成為web server 透過廣播(broadcast) 的方式，傳送SSDP request (Simple Search and Discovery Protocol ,簡單服務探索通訊協定) ，搜尋所有支援SSDP 協定之UPnP 設備，感染區域網路內未修補MS08-067 弱點的Windows 作業系統。 4.WORM_DOWNAD.E 執行時會去下載WORM_WALEDAC.ED ，其為Waledac 的惡意檔案，Waledac 為另一著名的殭屍網路，遭受感染的主機將會寄送大量的垃圾郵件，且受駭主機中的機密資料可能會遭外洩。 5.Waledac 蠕蟲會再下載一個假冒的防毒軟體(Spyware Protect 2009) ，宣稱偵測到使用者的系統受到感染，利用移除實際上不存在的安全威脅來牟利。 6.趨勢科技亦在WORM_DOWNAD.E 程式碼中發現，駭客可能會在2009 年5 月3 日停止執行Conficker 蠕蟲。 HiNet SOC 建議您立即更新微軟MS08-067 弱點修補程式、開啟Windows 內建防火牆(其他資安產品防火牆)，不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站等，並安裝防毒軟體且更新至最新的病毒定義檔來降低受駭風險。

	參考資訊：	Symantec Trend Micro TrendLabs 1 TrendLabs 2

P11555 (百分比(南港棧))

超級版主

UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自中華民國
狀態離線

使用道具

發表於 2009-4-30 13:58 資料個人空間主頁短消息加為好友

事件通告：Adobe Acrobat 被發現兩項零時差攻擊的緩衝區溢位弱點，請勿開啟不明PDF 檔案與開啟不明郵件，以免受駭！

		2009/04/30
	風險等級：	警戒狀態
	摘　　要：	日前Adobe Acrobat 產品被發現含有兩個零時差攻擊的緩衝溢位弱點，分別是利用Adobe Acrobat 軟體的註釋功能(annotation function) 及客製化字典(custom dictionary function) 功能中的弱點。這兩項弱點與Adobe Acrobat 會使用到的Javascript 系統有關。由於原廠尚未釋出相關更新檔案，若要防止受到此零時差攻擊影響，請您暫時關閉Adobe Acrobat 使用Javacript 的功能，關閉步驟如下： 1、執行Adobe Acrobat 或Reader 2、於工具列中點選「Edit」->「Perferences」 3、選擇「JavaScript Category」 4、勾消「Enable Acrobat JavaScript」選項 5、點選「ok」惡意人士可以藉由引誘使用者開啟惡意PDF 檔案來引發上述弱點，進一步控制使用者的電腦，使能在受駭系統執行任意程式碼，受影響的版本涵蓋所有Adobe Reader的版本以及Acrobat 9.1、8.1.4、7.1.1及更早的版本，而受影響的作業系統包含Windows、Macintosh 及Unix。目前在Linux 平台上的攻擊程式已被公佈，由於Adobe Acrobat 官網尚未釋出相關更新檔案，中華電信SOC 在此建議使用者避免開啟不明PDF 檔案與避免開啟不明郵件及其附檔，以免受駭！參考資料： Adobe SANS SecurityFocus