歡迎蒞臨!
各類產品詳細資訊歡迎來信洽詢
套裝電腦(大台北地區)至府安裝
-
200907 病毒通告 *
2009-07-06 18:37:18
事件通告:Microsoft DirectShow 的弱點可能會允許遠端執行程式碼,請勿瀏覽不明網頁或開啟不明多媒體檔案! 2009/07/06
風險等級: 警戒狀態 摘 要: Microsoft DirectShow 0-day 弱點已遭駭客利用,進行第二波攻擊!由於DirectShow 含有遠端執行任意程式碼的弱點,導致駭客可利用網頁掛馬的方式,在網頁或iFrame 中嵌入蓄意製作的多媒體檔案,並引誘使用者瀏覽惡意網頁,造成使用者電腦受駭。
本弱點是由於Microsoft DirectShow 的msvidctl.dll 元件在處理多媒體檔案時含有記憶體緩衝區溢位的弱點(Stack Overflow) ,導致應用程式未預期關閉,惡意人士便可藉此從遠端執任行意程式碼。
目前僅知Windows Vista 、Windows Server 2008 不受影響,其他版本之微軟作業系統皆有可能受到影響。由於微軟目前尚未提供修補程式,中華電信SOC 建議使用者請勿瀏覽不明的網站頁面或點選連結,以及不要輕易開啟不信任的多媒體檔案,以降低受駭風險。
參考資料: -
200906 病毒通告 *
2009-06-01 16:11:49
弱點通告:Apple Mac OS X 釋出多個弱點修補程式,請儘速更新以免受駭! 2009/06/01
風險等級: 高度威脅 摘 要: Apple Mac OS X 被發現含有多項弱點,包含阻斷服務(DoS)、敏感資訊洩漏(Exposure of sensitive information) 、權限提升、執行任意程式碼及可避過安全性限制等弱點。惡意人士可藉由Apple Mac OS X 中多種服務及元件的資料驗證或緩衝區溢位等錯誤來引發這些弱點,藉此讓受駭系統無法繼續提供服務或是取得使用者機敏資訊。目前已知會受到影響的版本為Mac OS X Server 10.5至 10.5.6 、Mac OS X Server 10.4.11 及之前的版本 、Mac OS X 10.5 至 10.5.6 、Mac OS X 10.4.11 及之前的版本等。中華電信SOC 建議使用者、管理者均應儘速上網更新,以降低受駭風險。 影響系統 : - Mac OS X version 10.4.11 及之前的版本
- Mac OS X Server version 10.4.11 及之前的版本
- Mac OS X versions 10.5 至 v10.5.6
- Mac OS X Server versions 10.5 至 v10.5.6
解決辦法: 請點選下列連結來安裝相關安全性更新: - Security Update 2009-002 (Server Tiger PPC)
- Security Update 2009-002 (Tiger Intel)
- Security Update 2009-002 (Server Universal)
- Mac OS X Server 10.5.7 Update
- Mac OS X Server Combo 10.5.7
- Security Update 2009-002 (Tiger PPC)
- Mac OS X 10.5.7 Update
- Mac OS X 10.5.7 Combo Update
細節描述: 近日Apple 公司公佈多個弱點修正說明,其中Mac OS X 含有跨網站(cross-site scrīpting) 攻擊 、堆積型(heap-based) 緩衝區溢位 、欺騙攻擊(spoofing attacks) 、敏感資訊洩漏(Exposure of sensitive information) 、破壞使用者系統 、堆疊型(stack-based )緩衝區溢位 、記憶體損毀 、執行任意程式碼 、阻斷服務攻擊(Denial of Service)、 繞過特定安全性限制等弱點。
受到影響的元件或服務分別為:Apache 、BIND 、Apple Type Services 、CFNetwork 、CoreGraphics 、cscope 、enscrīpt 、Flash Player plugin 、Help Viewer 、iChat 、ICU 、IPSec 、Kerberos 、Kernel 、Launch Services 、libxml 、Net-SNMP 、Network Time 、Networking 、OpenSSL 、PHP 、QuickDraw Manager 、Ruby 、Safari 、Spotlight 、"login" Command 、Telnet 、WebKit、xterm 、libpng 等。
惡意人士能利用惡意PICT image 、惡意PDF 檔案 、惡意磁碟影像(Disk Image) 檔案 、含有弱點的函式或參數等方式,來讓受駭系統無法繼續提供服務、取得使用者機敏資訊或使用系統權限執行任意程式碼。
Apple 公司已推出修改上述弱點之版本(Security Update 2009-002) ,中華電信SOC 建議上述系統使用者應儘速上網更新,以降低受駭風險。參考資訊: Apple
Secunia
VUPEN -
200905 病毒通告 *
2009-05-01 15:34:26
弱點通告:Mozilla Firefox 被發現含有多個安全性弱點,請使用者儘速更新,以免受駭! 2009/05/01
風險等級: 高度威脅 摘 要: Mozilla Firefox 被發現多個可能造成揭露機敏資訊、規避部份安全限制、導致跨網站指令碼攻擊、跨網站的偽造要求以及遠端執行任意程式碼等讓使用者系統受駭之安全性弱點,這些弱點是由於Mozilla Firefox 執行時出現記憶體損毀等錯誤所造成。
目前受影響的有Mozilla Firefox 3.0.9 以前的版本,中華電信SOC 在此建議使用者應儘速上網下載更新,以降低受駭風險。影響系統 : - Mozilla Firefox version 3.0.9 以前的版本
解決辦法: - 請點選Firefox 工具列的「說明」,選擇「檢查更新」,將Firefox 更新至Firefox 3.0.9 或更新的版本。
- 至Mozilla官方網站下載 Firefox 3.0.9 或更新的版本進行升級。
詳細描述 細節描述: Mozilla Firefox 多個弱點描述如下:
1. 瀏覽器引擎存在多個弱點會造成記憶體損毀,而能讓惡意人士遠端執行任意程式碼。 2. Javascrīpt 引擎存在多個弱點會造成記憶體損毀,而能讓惡意人士遠端執行任意程式碼。 3. 當在使用"jar:" 將提供"Content-Disposition: attachment"的URI 打包時會出現錯誤,而可導致跨網站指令碼攻擊(cross-site scrīpting ) ,允許使用者上傳任意內容到網站上。 4. 當透過"view-source:" scheme 的方式載入Adobe Flash 檔案時,會造成跨網站偽造要求(cross-site request forgery ) 或是可對使用者系統上Local Shared Objects 進行讀寫。 5. XBL bindings 的程序有個錯誤會導致可在網頁上插入scrīpt 指令,而造成允許使用者將樣式表(stylesheets )嵌入。 6. XMLHttpRequest 以及XPCNativeWrapper.toString 元件存在規避相同來源策略(same-origin policy ) 之限制,並且可以"chrome "權限執行任意程式碼。 7. 在SearchForm 模組中有個弱點,當在惡意的plugin 中執行空的搜尋時,可在任意網站中執行任意指令碼。 8. 當網頁被存成檔案時,POST data 被不正確的發送到frame 中的URL,會導致機敏資訊被送到未預期的網站。 9. "Refresh" header 的處理程序出現錯誤會導致跨網站指令碼攻擊(cross-site scrīpting )。 中華電信SOC 在此建議使用者應儘速上網下載更新,以降低受駭風險。參考資訊: Secunia
VUPEN
Mozilla -
200904 病毒通告 *
2009-04-03 14:17:01
病毒通告:Conficker 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散,目前已出現多種變種版本,請使用線上檢測方式進行檢查主機是否受到感染! 2009/4/3
風險等級: 中度威脅 摘 要: 利用微軟MS08-067弱點進行攻擊之Conficker 蠕蟲,影響範圍持續擴大,雖然於預定攻擊日4/1 愚人節未如預期發動攻擊,但各家資安業者提醒Windows 作業系統使用者仍需提高警戒。該蠕蟲現已進化至第三個變種版本,微軟將此定義為Win32/Conficker.C 、賽門鐵克定義為W32.Downadup.C 、趨勢科技則定義為WORM_DOWNAD.KK。
為避免使用者主機及伺服器受到影響,已有資安網站提供相關線上檢測方式,HiNet SOC 建議您可立即點此"連結"前往檢測,依照該網頁呈現之資訊,即可得知是否受到哪個版本的Conficker 蠕蟲感染。另外仍需請使用者及系統管理者不去開啟來路不明的電子郵件以及內文中的連結、勿瀏覽不明網站,以及安裝防毒軟體且更新至最新的病毒防護來降低受駭風險。影響系統 : - Windows 98/Me
- Windows NT/2000
- Windows XP
- Windows Server 2003
- Windows VISTA
解決辦法: 一、請點擊此"連結"前往檢測是否受到Conficker 蠕蟲感染。
二、若不慎已感染此蠕蟲,建議處理方式如下:
1、請關閉系統還原功能 (Windows Me / XP )。
2、請將防毒軟體之病毒定義檔更新至最新。
3、請利用防毒軟體進行全系統掃描。
4、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
細節描述: 最新版本的Win32/Conficker.C 蠕蟲會透過企業網路或隨身碟散布,而且會自動產生5萬個以上偽造的網域名稱、自動終止受駭系統內執行中的防毒軟體及資安鑑識工具處理程序以及防止受感染電腦連到資安網站的流量。如果您的系統所設定的安全密碼太簡單、防毒軟體病毒定義檔版本過期或是未進行作業系統更新,都有可能受到Conficker 蠕蟲感染,並且不斷擴散,成為殭屍網路(Botnet ) 的一員。
HiNet SOC 先前針對Conficker 蠕蟲所發布之相關病毒通告如以下連結:參考資訊: ITIS
TrendLab
The Honeynet Project -
200903 病毒通告 *
2009-03-02 18:40:23
弱點通告:蘋果電腦公司(Apple) 推出安全更新Security Update 2009-001,請儘速上網更新! 2009/03/02
風險等級: 高度威脅 摘 要: 蘋果電腦公司(Apple) 推出安全更新Security Update 2009-001 為Mac OS X 修正多項弱點,包含跨網站攻擊(Cross-site scrīpting) 、阻斷服務(DoS) 、權限提升(Privilege escalation) 、系統資訊揭露(Exposure of system information) 、敏感資訊揭露(Exposure of sensitive information) 、避過安全性限制(Security bypass) 、執行任意程式碼(Execute arbitrary code) ,惡意人士可藉由Apple Mac OS X 中多種服務及元件之弱點,藉此讓受駭系統服務中斷或是取得重要機敏性資訊。
目前已知會受到影響的版本為Mac OS X Server 10.4.11、10.5.6 及之前的版本 、Mac OS X 10.4.11、10.5.6 及之前的版本,中華電信SOC 建議使用者及管理者應儘速上網進行更新,以降低受駭風險。影響系統 : - Mac OS X Server 10.4.11、10.5.6 及之前的版本
- Mac OS X 10.4.11、10.5.6 及之前的版本
解決辦法: 請點選下列網站,選擇您所使用的作業系統版本及應用程式版本下載相對應的安全性修正檔 細節描述: 近日蘋果電腦公司(Apple)公佈多個弱點修正說明,其中Mac OS X 含有可能會造成(Cross-site scrīpting) 、阻斷服務(DoS) 、權限提升(Privilege escalation) 、系統資訊揭露(Exposure of system information) 、敏感資訊揭露(Exposure of sensitive information) 、避過安全性限制(Security bypass) 、執行任意程式碼(Execute arbitrary code)等弱點。
受到影響的元件或服務分別為:AFP Server 、Pixlet codec 、CarbonCore 、ClamAV 、Certificate Assistant 、CoreText 、dscl program 、fetchmail 、Folder Manager 、fseventsd program 、perl 、python 、Remote Apple events server 、Server Manager 、SMB implementation 、SquirrelMail 、X11 server 、LibX11 、Xterm 等,惡意人士能利用過緩衝區溢位 、記憶體損毀 、惡意的電影檔案 、E-mail 及含有缺陷的驗證機制等方式,來讓受駭系統服務中斷 、取得使用者機敏資訊甚至是使用系統權限執行任意程式碼。
蘋果電腦公司(Apple) 已針對上述弱點推出安全性更新檔案(Security Update 2009-001) ,中華電信SOC 建議使用者及管理者應儘速上網更新,以降低受駭風險。參考資訊: APPLE
Secunia
VUPEN -
200902 病毒通告 *
2009-02-17 14:46:32
弱點通告:MS09-002 Microsoft Internet Explorer 含有兩項弱點,可能造成遠端執行任意程式碼,請使用者儘速更新以免受駭! 2009/02/17
風險等級: 高度威脅 摘 要: 微軟發佈了MS09-002 IE(Internet Explorer) 瀏覽器的重要安全性更新。Microsoft IE 瀏覽器被揭露含有兩項安全性弱點,惡意人士可利用這些弱點造成使用者在不知情的狀況下,造訪惡意人士架設的假冒網站,造成使用者系統受駭,惡意人士即可於遠端取得目前使用者的權限,執行任意程式碼,竊取使用者的機敏性資訊。中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。 影響系統 : - Microsoft Internet Explorer 7.x
解決辦法: 您可以手動下載安裝修補程式,或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式:
I.手動下載安裝:- -- Internet Explorer 7 --
- Windows XP SP2/SP3 and Internet Explorer 7 (KB961260 )
- Windows XP Professional x64 Edition (optionally with SP2 ) and Internet Explorer 7 (KB961260 )
- Windows Server 2003 SP1/SP2 and Internet Explorer 7 (KB961260 )
- Windows Server 2003 x64 Edition (optionally with SP2 ) and Internet Explorer 7 (KB961260 )
- Windows Server 2003 with SP1/SP2 for Itanium-based Systems and Internet Explorer 7 (KB961260 )
- Windows Vista (optionally with SP1 ) and Internet Explorer 7 (KB961260 )
- Windows Vista x64 Edition (optionally with SP1 ) and Internet Explorer 7 (KB961260 )
- Windows Server 2008 for 32-bit Systems and Internet Explorer 7 (KB961260 )
- Windows Server 2008 for x64-based Systems and Internet Explorer 7 (KB961260 )
- Windows Server 2008 for Itanium-based Systems and Internet Explorer 7 (KB961260 )
Microsoft 提供Windows 使用者自動更新修補程式的網站,您可以在工作列的「開始」中,直接點選「Windows Update」或「Microsoft Update」,或請按這裡連線至Microsoft Update 網站。細節描述: 微軟每月發佈定期更新中,本次安全性(MS09-002)更新修正了IE 瀏覽器的兩項處理錯誤。 Microsoft IE(Internet Explorer) 瀏覽器被揭露含有兩個重要安全性弱點,詳細說明如下: 1. IE 瀏覽器在處理document 物件時含有弱點,當document 物件被附加或刪除在特定的記憶體位置時,將導致IE 瀏覽器發生未預期的記憶體中斷錯誤。導致惡意人士即可利用此弱點,製作惡意的網頁,透過Email 或IM 訊息,引誘使用者開啟該惡意連結,造成使用者系統受駭,取得當前使用者的系統權限,於遠端執行任意程式碼。 2. 由於IE 瀏覽器處理CSS(Cascading Style Sheets) 樣式表中的zoom 指令含有弱點,使得惡意人士可利用此弱點,製作惡意的網頁,引誘使用者開啟該惡意連結,造成使用者系統受駭,取得當前使用者的系統權限,於遠端執行任意程式碼,竊取使用者的機敏性資訊,甚至取得系統的完整控制權。 目前已知這些弱點尚未被實作成功,且僅影響IE 7 版本,IE5.01 、IE6 版本並不會受到影響,但由於可能造成系統機敏性資訊外洩,中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。 參考資訊: Secunia
VUPEN
Microsoft -
200901 病毒通告 *
2009-01-16 11:21:37
弱點通告:MS09-001 Microsoft SMB 的弱點可能會允許遠端執行任意程式碼,請儘速更新! 2009/01/16
風險等級: 高度威脅 摘 要: 微軟發佈了MS09-001 Windows SMB 的弱點修補程式,當未修補漏洞的主機處理到惡意SMB 請求命令時,就有可能受駭。駭客將可以取得登入者的管理權限在受駭主機上執行任意程式碼,或造成阻斷服務攻擊。 幾乎所有開啟允許檔案共用的Windows 系統都有受到影響的風險。若安裝的系統為Windows Server 2008 server core 版本將不受本弱點影響。中華電信SOC 建議使用者及系統管理者應儘速更新以降低受駭風險。 影響系統 : - Windows 2000 SP4
- Windows XP SP2 / SP3
- Windows XP Professional x64 Edition / SP2
- Windows Server 2003 SP1 / SP2
- Windows Server 2003 x64 Edition / SP2
- Windows Server 2003 SP1 / SP2 for Itanium-based Systems
- Windows Vista / SP1
- Windows Vista x64 Edition / SP1
- Windows Server 2008 for 32-bit / x64-based / Itanium-based Systems
解決辦法: 您可以手動下載安裝修補程式,或是從Microsoft Update 網站更新。中華電信SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝:
- Windows 2000 SP4 (KB958687)
- Windows XP SP2 / SP3 (KB958687)
- Windows XP Professional x64 Edition / SP2 (KB958687)
- Windows Server 2003 SP1 / SP2 (KB958687)
- Windows Server 2003 x64 Edition / SP2 (KB958687)
- Windows Server 2003 with SP1 / SP2 for Itanium-based Systems (KB958687)
- Windows Vista / SP1 (KB958687)
- Windows Vista x64 Edition / SP1 (KB958687)
- Windows Server 2008 for 32-bit Systems (KB958687)
- Windows Server 2008 for x64-based Systems (KB958687)
- Windows Server 2008 for Itanium-based Systems (KB958687)
Microsoft 提供 Windows 使用者更新修補程式的網站,您可以在工作列的「開始」中,直接點選 「Windows Update」或 「Microsoft Update」,或請按"這裡"連線至 Microsoft Update 網站。細節描述: Microsoft 伺服器訊息區(SMB ,Server Message Block) 通訊協定是被用在Microsoft Windows 系統中的網路檔案分享協定。 微軟發佈了MS09-001 Microsoft SMB 弱點的修補程式,本次談到的弱點是由於開啟伺服器服務(Server service) 的系統處理到惡意SMB NT Trans 請求命令封包,以及送到srv.sys 中WRITE_ANDX 欄位的封包輸入驗證錯誤所造成。 當惡意人士成功利用此弱點,將可以造成受駭主機的阻斷服務攻擊,或取得登入者的使用權限,在伺服器上執行任意程式碼。只要是允許檔案共用的Windows 系統都有受此弱點影響之風險。受到本弱點所影響的系統有Windows 2000 / XP / Server 2003 / Vista / Server 2008 等。微軟表示目前未發現有利用此弱點進行入侵的案例。 中華電信SOC 建議使用者及系統管理者應儘速安裝此修補程式,以降低受駭風險。 參考資訊: Microsoft
VUPEN
Secunia -
200812 病毒通告 *
2008-12-10 14:55:36
事件通告:Internet Explorer 7 出現零時差(0 DAY)攻擊,請小心防範!! 2008/12/10
風險等級: 警戒狀態 摘 要: Internet Explorer 7 出現零時差(0 DAY)攻擊,Internet Explorer 7 被發現含有弱點,惡意人士已針對此弱點撰寫出攻擊程式碼,並將攻擊程式碼公開,目前惡意人士已建立許多利用此弱點的惡意網頁,並誘騙使用者進入瀏覽,如果使用者是使用IE 7 瀏覽器,就有可能受駭,遠端攻擊者將可在受駭電腦上執行任意程式碼,竊取機敏性資料,甚至癱瘓受駭系統。目前已知惡意人士可能已架設六個惡意網域,中華電信SOC 在此建議您不要瀏覽含有下列網域的網頁。 wwwwyyyyy.cn sllwrnm5.cn baikec.cn oiuytr.net laoyang4.cn cc4y7.cn 本事件通告是由於Internet Explorer 7 的XML 處理機制中存在弱點,當IE 7 處理惡意製作的XML 程式碼時,會發生錯誤,產生讓惡意人士可以利用的弱點。目前已知受影響的系統有Windows XP、Windows Server 2003,由於Microsoft 尚未推出安全性更新檔案,中華電信SOC 建議您可採取下列措施進行防範:
不要瀏覽不明網頁 不要點選透過即時訊息或E-Mail 所傳送的不明網頁連結 開啟資料執行防止 (DEP/Data Execution Prevention)功能 關閉Internet Explorer 支援Javascrīpt 的功能 將防毒防駭軟體病毒定義檔更新至最新 當Microsoft 推出安全性更新檔案時,立刻安裝
參考資料:
-
200811 病毒通告 *
2008-11-14 16:40:25
弱點通告:MS08-068 Microsoft SMB 中的弱點可能會允許遠端執行程式碼,請使用者儘速更新! 2008/11/14
風險等級: 高度威脅 摘 要: 微軟發佈了MS08-068 Microsoft SMB 弱點的修補程式,這個弱點是出現在當使用者連結到駭客的SMB伺服器時,SMB協定處理NTLM憑證的方式讓駭客可以重複利用使用者的憑證。假若使用者的權限為管理者,駭客在取得管理者權限後將可任意操控受感染的伺服器。駭客利用此弱點任意的安裝程式,瀏覽、改變和刪除資料,或新增擁有所有控制權的帳號,進而在受駭系統上遠端執行任意程式碼。任何允許檔案共用的Windows 系統都有受此弱點影響之風險。受到本弱點所影響的系統有Windows 2000 / XP / Server 2003 / Vista / Server 2008 等系列。微軟表示目前未發現有利用此弱點進行入侵的案例,中華電信SOC 建議使用者及系統管理者應儘速更新以降低受駭風險。 影響系統 : - Microsoft Windows 2000 SP4
- Windows XP SP2 / SP3
- Windows XP Professional x64 Edition / SP2
- Windows Server 2003 SP1 / SP2
- Windows Server 2003 x64 Edition / SP2
- Windows Server 2003 SP1 / SP2 for Itanium-based Systems
- Windows Vista / SP1
- Windows Vista x64 Edition / SP1
- Windows Server 2008 for 32-bit / x64-based / Itanium-based Systems
解決辦法: 您可以手動下載安裝修補程式,或是從Microsoft Update 網站更新。中華電信SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝:
- Microsoft Windows 2000 Service Pack 4 (KB957097 )
- Windows XP SP2 (KB957097 )
- Windows XP SP3 (KB957097 )
- Windows XP Professional x64 Edition / SP2 (KB957097 )
- Windows Server 2003 SP1 / SP2 (KB957097 )
- Windows Server 2003 x64 Edition / SP2 (KB957097 )
- Windows Server 2003 with SP1 / SP2 for Itanium-based Systems (KB957097 )
- Windows Vista / SP1 (KB957097 )
- Windows Vista x64 Edition / SP1 (KB957097 )
- Windows Server 2008 for 32-bit Systems (KB957097 )
- Windows Server 2008 for x64-based Systems (KB957097 )
- Windows Server 2008 for Itanium-based Systems (KB957097 )
Microsoft 提供 Windows 使用者更新修補程式的網站,您可以在工作列的「開始」中,直接點選 「Windows Update」或 「Microsoft Update」,或請按"這裡"連線至 Microsoft Update 網站。細節描述: Microsoft 伺服器訊息區(SMB ,Server Message Block ) 通訊協定是在 Microsoft Windows 中使用的 Microsoft 網路檔案共用通訊協定。
微軟發佈了MS08-068 Microsoft SMB 弱點的修補程式,這個弱點是出現在當使用者連結到駭客的SMB伺服器時,SMB協定處理NTLM憑證的方式讓駭客可以重複利用使用者的憑證。假若使用者的權限為管理者,駭客在取得管理者權限後將可任意操控受感染的伺服器。駭客利用此弱點任意的安裝程式,瀏覽、改變和刪除資料,或新增擁有所有控制權的帳號,進而在受駭系統上遠端執行。任意程式碼任何允許檔案共用的Windows 系統都有受此弱點影響之風險。受到本弱點所影響的系統有Windows 2000 / XP / Server 2003 / Vista / Server 2008 等系列。微軟表示目前未發現有利用此弱點進行入侵的案例。
本次安全更新修正了SMB協定處理回覆有效憑證的方式,避免駭客重複利用使用者的憑證,中華電信SOC 建議使用者及系統管理者應儘速更新以降低受駭風險。參考資訊: Microsoft
FrSIRT
Secunia -
200810 病毒通告 *
2008-10-14 18:04:54
病毒通告:TROJ_FAKEAV.CX 木馬流氓廣告軟體Antivirus 2009 正在大量散佈。 2008/10/14
風險等級: 高度威脅 摘 要: 由於目前正值各大防毒防駭軟體廠商推出2009 年度產品之際,有惡意集團正在利用這個時間點大量散佈流氓廣告軟體"Antivirus 2009" , 可能的傳播方式為透過IM 、E-Mail 、惡意網站等,一旦使用者不慎受騙安裝,這個流氓廣告軟體會不斷出現偽造的中毒訊息及掃描報告, 詢問使用者是否要移除病毒,但選擇移除病毒時,就會要求購買該軟體的授權,藉此詐騙金錢或信用卡資訊。
防毒防駭廠商趨勢科技將此軟體定義為TROJ_FAKEAV.CX ,惡意行為包括修改使用者桌面設定、綁架IE 瀏覽器等,造成使用者困擾,但卻無法透過正常的方式移除此軟體,中華電信SOC 建議您, 不要隨意瀏覽不明網站及安裝不明軟體,並安裝防毒防駭軟體且定時更新病毒碼,以維持最新的防護狀態,降低中毒的風險。影響系統 : - Windows 98 / ME
- Windows NT / 2000
- Windows XP
- Windows Server 2003
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、關閉系統還原功能 (Windows XP )。
2、更新病毒碼定義檔到最新。
3、請至「工作管理員」中停止影像名稱為AV2009.EXE 的程序,使用Windows 98 / Me 系統的用戶請利用第三方工具停止該程序。如在正常模式下無法停止程序,請至安全模式下進行。
4、刪除登錄檔中的可疑登錄碼 (進行本動作前,請先做登錄檔備份):
點選「開始」-->「執行」,鍵入「regedit 」,按下確定。
搜尋下列機碼並刪除(雙引號括住的部分):
- HKEY_CURRENT_USER \Software \Microsoft \Windows \ CurrentVersion \ Run \"ieupdate"
- HKEY_CURRENT_USER \Software \"5A31A7C032FA4A817CA453B790082700"
- HKEY_LOCAL_MACHINE \SOFTWARE \Classes \CLSID \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}"
- HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}"
5、刪除病毒程式:
點選「開始」-->「搜尋」。
在輸入方塊內輸入下列字串並刪除搜尋出來的檔案:
- %Application Data% \Microsoft \Internet Explorer \Quick Launch \Antivirus 2009.lnk
- %Desktop% \Antivirus 2009.lnk
- %User Profile% \Antivirus 2009 \Antiviris 2009.lnk
- %User Profile% \Antivirus 2009 \Uninstall Antiviris 2009.lnk
細節描述: 當使用者不慎安裝此惡意流氓廣告軟體"Antivirus 2009" 後,此軟體會修改系統啟動區的註冊值,讓每次開機時該軟體都能夠被啟動, ,並且將自己註冊成Browser Helper Object (BHO) 藉此綁架IE 瀏覽器,也有可能下載其它的惡意程式至受駭系統中。
1、若不慎感染此病毒可能被植入的檔案名稱及路徑如下:
- %System%\ieupdates.exe
- %System%\winsrc.dll
- %System% 是Windows 系統資料夾,在Windows 98 / ME 是指C: \Windows \System ,在Windows NT / 2000 是指C: \WINNT \System32 , 在Windows XP / Server 2003 是指C: \Windows \System32 。
- %Temp% 是Windows 暫存資料夾,通常是指C: \Windows \Temp 或 C: \WINNT \Temp 。
- %Windows% 是Windows 資料夾,通常是指C: \Windows 或 C: \WINNT 。
- HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run \"ieupdate"
- HKEY_CURRENT_USER \Software \"5A31A7C032FA4A817CA453B790082700"
- HKEY_LOCAL_MACHINE \SOFTWARE \Classes \CLSID \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}"
- HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects \"{037C7B8A-151A-49E6-BAED-CC05FCB50328}"
參考資訊: TrendMicro -
200809 病毒通告 *
2008-09-11 14:15:11
弱點通告:VMware多項產品發現含有可能允許執行任意程式碼或造成程式異常中斷的弱點,請儘速更新以免受駭! 2008/09/11
風險等級: 高度威脅 摘 要: VMware 多項產品已被證實了因執行些特定的ActiveX 元件而造成的多項未知弱點被惡意人士所利用,使得惡意人士可藉此繞過安全驗證,提高虛擬機器的使用者權限,進而取得主機(Host) 的完整控制權,造成受駭主機敏感性資訊外洩、應用程式突然中斷,於受駭主機上執行任意程式碼,發動阻斷服務攻擊(DoS) 等。中華電信SOC 在此建議應儘速上網升級以降低受駭風險。 影響系統 : - VMware ACE 1.x & 2.x
- VMware ESX Server 2.x & 3.x
- VMware ESXi Server 3.x
- VMware Fusion 1.x
- VMware Player 1.x & 2.x
- VMware Server 1.x
- VMware Workstation 5.x & 6.x
解決辦法: 請依據安裝的軟體及版本選取適當更新: - VMware ACE 1.x & 2.x
- VMware Player 1.x & 2.x
- VMware Server 1.x
- VMware Workstation 5.x
- VMware Workstation 6.x
細節描述: VMware 虛擬軟體允許一台實際的主機(Host) 同時運行多個作業系統,使用者可同時安裝多台虛擬機器,這些虛擬機器彼此獨立地運行且可有不同的作業系統,例如Windows 、Linux 、BSD 等等。其他VMware 產品則用來幫助管理或在多個主機電腦(Host) 之間遷移VMware 虛擬機器。DHCP 的用途則是讓在VMware 中運行的不同虛擬機器中分配IP 位址,讓虛擬機器間可順利地連線上網。其系列產品已被證實含有多項弱點,詳述如下:
1.惡意人士藉由VMware 軟體內部因執行某些特定ActiveX 元件而造成的未知錯誤所產生的多項弱點來引誘使用者連至惡意網站或甚至繞過安全檢驗,利用虛擬機器的使用者帳號,提高自己的權限,藉以取得主機(Host) 的系統管理權限,於受駭主機上執行任意程式碼,造成主機程序無回應、非預期關閉甚至電腦當機。
2.VMware ISAPI(Internet Server Application Programming Interface) 是VMware 提供IIS 網際網路服務功能延伸的應用程式介面,ISAPI Extension 被揭露含有弱點,若處理到惡意格式的request 時將會發生未知錯誤。惡意人士便可藉此發動阻斷服務攻擊(DoS) 。
3.VMware OpenProcess 函數含有弱點將導致系統發生未知錯誤,惡意人士可藉此繞過安全驗證,提高虛擬機器的使用者帳號,進而取得主機(Host) 的完整控制權,造成受駭主機敏感性資訊外洩,或發動阻斷服務攻擊(DoS) 等。
4.VMware 提供VCB(VMware Consolidated Backup) 做為集中備份的工具,使用者僅需要透過Proxy Server 輸入命令即可執行備份,由於VCB 提示工具可藉由輸入強制接受密碼的參數「-p」呼叫其他的程式,若有心人士藉此登入服務主控台後,將可進一步取得使用者的帳號及密碼,這將造成密碼洩漏的風險。
5.因VMware 所使用的Freetype 字型引擎、Cairo 及libpng 等繪圖資料庫存在著多項弱點,惡意人士可能會利用這些弱點任意存取資料庫的資料或發動阻斷服務攻擊(DoS)。
由於影響VMware 眾多產品,中華電信SOC 在此建議使用者應儘速上網升級以降低受駭風險。參考資訊: FrSIRT
Secunia-SA31707
Secunia-SA31708
Secunia-SA31709 -
200808 病毒通告 *
2008-08-05 16:32:55
弱點通告:Apple Mac OS X 釋出多個弱點修補程式,請儘速更新以免受駭! 2008/08/05
風險等級: 高度威脅 摘 要: Apple Mac OS X 被發現含有多項弱點,包含阻斷服務(DoS)、敏感資訊洩漏(Exposure of sensitive information) 、權限提升、執行任意程式碼及可避過安全性限制等弱點。惡意人士可藉由Apple Mac OS X 中多種服務及元件的資料驗證或緩衝區溢位等錯誤來引發這些弱點,藉此讓受駭系統無法繼續提供服務或是取得使用者機敏資訊。
目前已知會受到影響的版本為Mac OS X Server 10.4/10.5, Mac OS X 10.4.11/10.5.4等。中華電信SOC 建議使用者、管理者均應儘速上網更新,以降低受駭風險。影響系統 : - Mac OS X 10.4.11 / 10.5.4
- Mac OS X Server 10.4 / 10.5
解決辦法: 請點選下列連結來安裝相關安全性更新: - Security Update 2008-005 Server (PPC)
- Security Update 2008-005 Server (Intel)
- Security Update 2008-005 (PPC)
- Security Update 2008-005 (Intel)
- Security Update 2008-005 (Leopard)
細節描述: 近日Apple 公司公佈多個弱點修正說明,其中Mac OS X 含有可能會造成阻斷服務(DoS)、敏感資訊洩漏(Exposure of sensitive information) 、權限提升、執行任意程式碼及可避過安全性限制等弱點。 受到影響的元件或服務分別為:Open scrīpting Architecture 、BIND 、CarbonCore 、CoreGraphics 、CoreGraphics 、Data Detectors Engine 、Disk Utility 、OpenLDAP 、OpenSSL 、PHP 、QuickLook 、rsync等,惡意人士能利用過長的檔案名稱、惡意PDF 檔案、惡意MS Office 檔案、含有弱點的函式或參數等方式,來讓受駭系統無法繼續提供服務、取得使用者機敏資訊或使用系統權限執行任意程式碼。 Apple 公司已推出修改上述弱點之版本(Security Update 2008-005) ,中華電信SOC 建議上述系統使用者應儘速上網更新,以降低受駭風險。 參考資訊: Apple
Secunia
FrSIRT -
200807 病毒通告 *
2008-07-03 17:10:04
弱點通告:Internet Explorer 6 被證實含有跨網域執行程式碼的弱點 2008/07/03
風險等級: 高度威脅 摘 要: Internet Explorer 6(IE 6) 瀏覽器,已被證實含有跨網域執行程式碼的弱點, 惡意人士可以利用此弱點建立惡意網站誘騙使用者瀏覽,當使用者瀏覽此惡意網站時,可能會去點選惡意網站中所顯示的連結, 一旦點選連結,就會利用新的瀏覽器視窗開啟使用者信任的網站,但在此同時也一併執行了惡意人士所設定的任意程式碼。
惡意人士可以利用此弱點突破跨網域限制(Cross Domain Policy),藉此竊取使用者COOKIE 或進行其它的惡意行為, 中華電信SOC 在此建議使用者請勿瀏覽不明網站,也請勿點選透過即時訊息或Mail 所傳送的不明連結, 並將防毒防駭軟體的病毒定義檔保持在最新,以降低受駭風險。影響系統 : - Internet Explorer 6
- 除IE7 外,其他版本的IE 瀏覽器可能也會受影響
解決辦法: 請自行評估是否要將Internet Explorer 6 升級至Internet Explorer 7: 細節描述: 瀏覽器的主要安全功能之一就是要能夠確定在不同網站的控制之下的瀏覽器視窗群,在與來自相同的位置的瀏覽器視窗進行互動時,不被不同位置的瀏覽器視窗干擾或存取資料,為了要能夠區別瀏覽器視窗的"位置",所以產生了網域的概念,網域就像是一個安全邊界,允許讓來自於相同網域的瀏覽器視窗進行互動與存取資料,但不同網域的則拒絕,跨網域安全模型(Cross-Domain Security Model) 就是為了確保使來自不同網域的瀏覽器視窗,在運作時不會互相干擾。
此弱點是因為Internet Explorer 6(IE 6) 瀏覽器並未完整的實現跨網域安全限制,導致惡意人士可以利用此弱點繞過安全性限制,對使用者進行跨網域程式碼攻擊(XSS Attack),這個弱點是當Window 物件(Object) 在操作"location" 或 "location.href" 屬性(property) 時,因為輸入有效性錯誤(Input validation error) 所引起,目前已知Internet Explorer 7(IE 7) 瀏覽器,不受此弱點所影響,使用者可以自行評估是否要將Internet Explorer 6(IE 6) 升級至Internet Explorer 7(IE 7)。
中華電信SOC 在此建議使用者請勿瀏覽不明網站,也請勿點選透過即時訊息或Mail 傳送的不明連結,並將防毒防駭軟體的病毒定義檔保持在最新,以降低受駭風險。參考資訊: US-CERT
Secunia
FrSIRT -
200806 病毒通告 *
2008-06-05 10:43:08
弱點通告:Adobe Flash Player 被發現含有緩衝區溢位等多個安全性弱點,請使用者儘速更新,以免受駭! 2008/06/04
風險等級: 高度威脅 摘 要: Adobe Flash Player 被發現含有可能讓遠端攻擊者避過安全性限制、取得機敏資訊、跨網站程式碼攻擊以及取得受駭系統完整控制權等弱點。惡意人士可藉由引誘使用者打開惡意的Flash 檔案或是導向瀏覽針對此弱點攻擊的惡意網站,使得Adobe Flash Player 在處理惡意檔案時出現錯誤或緩衝區溢位,讓使用者受駭。
目前受影響的有Flash Player 9.0.115.0 、Flash Player 9.0.115.0 network distribution 、Flash CS3 Professional 、Flash Professional 8 / Flash Basic 、Flex 3.0 、AIR 1.0 等產品以及更早以前的版本。 中華電信SOC 建議使用者應儘速下載更新,且不去開啟或瀏覽未知SWF 檔案,以免受駭!影響系統 : - Adobe Flash Player 9.0.115.0 and earlier
- Adobe Flash Player 9.0.115.0 and earlier (network distribution )
- Adobe Flash CS3 Professional
- Adobe Flash Professional 8 / Flash Basic
- Adobe Flex 3.0
- Adobe AIR 1.0
解決辦法: 請點選下列網站,選擇您所使用的軟體版本下載相對應的安全性更新: - Adobe Flash Player
- Adobe Flash Player (network distribution )
- Adobe Flash CS3 Professional
- Adobe Flash Professional 8 / Flash Basic
- Adobe Flex 3.0
- Adobe AIR 1.0
詳細描述 細節描述: Adobe Flash Player 是Adobe 公司所發行的免費多媒體播放器。它主要支援Flash 動畫及多媒體檔案的編譯功能,且支援多種不同的瀏覽器(Microsoft Internet Explorer、Mozilla Firefox、Safari 等) 。Adobe Flash Player 亦具有跨平臺的特性,可同時支援Linux 、Microsoft Windows 、Mac OS X 等眾平台。 本次Adobe Flash Player 被發現的多項弱點包含了會讓遠端攻擊者避過安全性限制、取得機敏資訊、跨網站程式碼攻擊(cross-site scrīpting attacks) 以及取得受駭系統完整控制權等情形,詳細說明如下: 1. 在處理"Declare Function (V7)" 標籤時會引起緩衝區溢位錯誤(buffer overflow error) ,惡意人士可經由引誘使用者瀏覽惡意網站引發此弱點而可遠端執行任意程式碼。
2. 在處理惡意的SWF 檔案時會引起整數溢位錯誤(integer overflow error) ,惡意人士可經由引誘使用者瀏覽惡意網站引發此弱點而可遠端執行任意程式碼。
3. 在處理惡意的Flash 檔案時會引起未知錯誤,讓惡意人士可進行DNS rebinding 攻擊,進而繞過防火牆的安全性限制。
4. 在解譯cross-domain policy 檔案時會出現錯誤,而導致惡意人士提升權限,避開cross-domain policy 的安全性限制。
5. 在處理HTTP 表頭資訊時會出現錯誤,惡意人士可藉此避過cross-domain policy 的限制。
6. 在多個API 出現輸入驗證錯誤(input validation errors) ,惡意人士可在受影響的網站中的安全領域(Security Contxt) ,導致可經由連到此網站使用者的瀏覽器執行任意程式碼。 由於現已有針對上述弱點進行的的大規模攻擊,且有不少的使用者也受到影響,中華電信SOC 建議使用者勿隨意開啟不明連結及下載、瀏覽不明的SWF 檔案,並應儘速上網更新避免受駭。參考資訊: Adobe
FrSIRT
Secunia -
200805 病毒通告 *
2008-05-15 16:04:28
弱點通告:Adobe 部份產品被發現當開啟BMP 檔案時可能造成緩衝區溢位的弱點,且已出現攻擊驗證碼,請注意不明檔案! 2008/05/15
風險等級: 高度威脅 摘 要: 日前Adobe 的產品Photoshop Album Starter 、Photoshop CS3 、After Effects CS3 中發現弱點。若使用者利用上述程式開啟利用該弱點製成的惡意檔案(.BMP) ,將可能讓惡意人士取得執行系統任意檔案的權限。
中華電信SOC在此建議使用者勿使用會受到影響的程式去開啟不明.bmp(Bitmap) 檔,以降低受駭風險。影響系統 : - Adobe Photoshop CS3
- Adobe After Effects CS3
- Adobe Photoshop Album Starter
解決辦法: 目前Adobe 仍未提供相關修補程式,中華電信SOC在此建議使用者勿開啟不明 .bmp(Bitmap) 檔,以降低受駭風險。 細節描述: 日前Adobe 部份產品中遭人發現部份含有緩衝區溢位的弱點。惡意人士可能會利用該弱點所開發出的惡意BMP 檔來誘使使用者開啟,先前也有類似問題發生在不同的檔案類型(如.PNG、.DIB、.RLE等) ,若使用者不慎開啟該類型的惡意檔案,將可能造成系統記憶體堆疊區的緩衝區溢位,而讓惡意人士取得執行任意檔案的權限。
當使用者開啟惡意檔案(如.BMP 等類型的檔案)時,部份程式因為未執行完整的標頭檢查,將會造成記憶體緩衝區的處理異常,而使惡意人士能夠在受駭主機上取得執行任意指令的權限。
本弱點中不會受到影響的程式為Adobe Reader 及Adobe Flash Player ,中華電信SOC在此建議使用者勿使用會受到影響的程式去開啟不明.Bitmap檔,以降低受駭風險。參考資訊: Adobe
Secunia
FrSirt -
一張養眼圖片背後的毒窟! *
2008-04-18 13:27:41
QUOTE:
趨勢科技毒賣新聞
奉勸大家不要太好奇ㄏㄏ!真的會暗藏玄機!
趨勢科技病毒分析師Loucif Kharouni:
在查看一整天收到的垃圾郵件時,有一封要我點一下圖片觀看更多色情圖片的電子郵件令我十分好奇
點一下這張圖片之後,便會下載 hxxp://rusdiam.com/1.exe,事實上這是目前已被定義為 TROJ_AGENT.HRC 的惡意檔案。
取得這個檔案之後,我又對這個網站的首頁上有哪些內容感到很好奇。
於是我就在瀏覽器中輸入 hxxp://rusdiam.com,我的電腦隨即遭載入記憶體中的惡意程式所感染。但是這個網站目前已經無法連線。
我決定仔細查看首頁的原始碼,原始碼中包含 2 段指令碼,會將瀏覽者轉向 2 個不同的網址:
我便從這 2 個網址開始著手調查。
從 hxxp://buytraffic.cn/in.cgi?11 這個網址可以取得一個檔名為 count.php 的檔案,其中所含的指令碼會將瀏覽者轉向:
hxxp://193.109.163.179/exp/getexe.php?status=1&ip=81.249.55.218&os=6&browsers=1&country=FR&ref=buytraffic.cn
只要按下這個連結,便會下載一個隨機命名的 update04xxxx.exe 檔案,其中的 xxx 是隨機挑選的數字。這個連結還會取得一些其他的資訊用以提供統計數據。您可以看到,其中有我測試時使用的 IP 位址,此外它還會記錄我使用的瀏覽器,以及作業系統所使用的語言等。
根據之前的幾次經驗,我往往會嘗試對網址動一下手腳,看看會不會有新的發現。
這一次也不例外,我稍微變更了一下網址:
hxxp://193.109.163.179/exp/getexe.php?status=1&ip=81.249.55.218&os=6&browsers=1&country=FR&ref=buytraffic.cn
一開始我試著輸入:
hxxp://193.109.163.179/exp/getexe.php?
這一次我也被詢問是否要下載一個名為 update04xxxx.exe 的檔案。這項發現令我更好奇,更有興趣繼續追查下去。
第二次我輸入以下這個網址:
hxxp://193.109.163.179/exp/
或許您和我一樣驚訝,我竟然會進入這裡。所有元件所在的資料夾,像是惡意網頁、惡意檔案、統計數據網頁等,資料夾中充滿了各種指令檔。
當我嘗試尋找惡意檔案時,我也有一些意外的發現;我找到 1 個檔名為 file.exe 的檔案,每次當我嘗試下載 getexe.php 這個檔案時,它都會強制下載 "file.exe",只是每次的檔名都不相同。
除此之外,其中最有趣的就是 stats 連結。只要按下這個連結,便會顯示以下這個 Web 主控台:
此時我已進入 NoName Pack 的管理主控台。接下來只要設法登入即可。
隨便試了幾組登入名稱/密碼之後,我就順利登入了:
您可以看到使用的瀏覽器、作業系統以及所在國家等資訊,而轉介者 (referrer) 指的是瀏覽者從何處被轉向這裡。試過幾個網站之後,我取得了許多惡意程式,以下就是其中一個網站的檔案列表:
2.dllb [PAK_Generic.001]
b138.exe [TROJ_DLOADER.HBK]
BraveSentry\BraveSentry.exe [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry0.dll [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry2.dll [ADW_BRAVESENTR.N]
BraveSentry\BraveSentry3.dll [ADW_BRAVESENTR.N]
BraveSentry\Uninstall.exe [SPYW_BRAVSENT.A]
diperto70a0-3d69.sys [RTKT_NUWAR.UY]
dllgh8jkd1q2.exe [PAK_Generic.001]
JavaCore\JavaCore.exe [ADW_INSIDER]
maxpaynow.game [TROJ_TINY.FB]
maxpaynowti.exe [DIAL_RAS.JS]
您或許會注意到它會在瀏覽者的電腦上安裝一套名為 Brave Sentry 的流氓防毒產品。