病毒预报93(11.8- 11.14)
cccccc
cccccc Lv.11
2004年11月09日 13:28:30
只看楼主

近日,IE浏览器又出现一个严重的安全漏洞,恶意用户可以利用HTML电子邮件信息或恶意网页,控制被计算机系统。由于利用该漏洞的代码已经被公布在互联网上,因此,目前这一漏洞具有高危险性。 IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出,新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时,都有可能会受到攻击。





近日,IE浏览器又出现一个严重的安全漏洞,恶意用户可以利用HTML电子邮件信息或恶意网页,控制被计算机系统。由于利用该漏洞的代码已经被公布在互联网上,因此,目前这一漏洞具有高危险性。

IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出,新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时,都有可能会受到攻击。

目前,只有安装了Windows XP SP2的系统就不存在这一漏洞, Windows XP SP1和Windows 2000即使安装了所有的补丁,其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。

针对该漏洞的建议

1、 使用Windows XP的用户,安装Windows XP SP2

2、 系统管理员还可以禁用活动脚本(active scri pting),阻止访问非主动链接

3、 在电子邮件中使用纯文本,这样也可以减少部分危险性

4、 浏览网页时提高警惕,不要随便进入不明网站,一旦发现IE浏览器失去响
应,立即终止IE进程,并断开网络连接,查找问题

5、 及时更新防病毒软件,并启动"实时监控"功能

"贝革热"病毒变种Worm_Bbeagle.AT

国家计算机病毒应急处理中心通过对互联网的监测,发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播,病毒运行后修改注册表,在系统目录下创建文件。

病毒在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke,邮件的内容为":))"。由于该病毒特征较为明显,希望用户引起注意,遇到此类邮件立即删除。

病毒名称:Worm_Bbeagle.AT("贝革热"病毒变种)
其它英文命名:Win32.Bagle.AQ (Computer Associates)
Worm_Bbeagle.bf(瑞星)
Worm_Bbeagle.t(金山)
W32.Beagle.AV@mm (Symantec)
W32/Bagle.BC.worm (Panda)
WORM_BAGLE.AT (Trend Micro)
Bagle.AT (F-Secure)
W32/Bagle.bb@mm (McAfee)
W32/Bagle-AU (Sophos)
I-Worm.Bagle.at (Kaspersky)
W32/Bagle.AQ@mm (Norman)
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
病毒特征:

1、生成病毒文件

病毒运行后在%System%目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)

2、修改注册表项

病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"

3、通过电子邮件传播

病毒通过电子邮件进行传播,病毒搜索被感染计算机内多种类型的文件(文件类型见文档末尾),从中找到邮件地址,并使用自带得SMTP引擎向这些地址发送病毒邮件,病毒同时会避免向一些包含特定字符的地址发送邮件(过滤的字符见文档末尾)。病毒邮件格式如下
发信人:虚假的地址

主题:(为下列之一)
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容:
:))
附件名称:(为下列之一)
Price
price
Joke
附件的扩展名:(为下列之一)
COM
CPL
EXE
SCR

4、通过网络共享进行传播

病毒搜索包含字符串shar的文件夹,并在找到的文件夹下生成自身的拷贝,拷贝有多种名称,如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。

5、阻止安全软件的运行

病毒为了保护自身的运行,会终止一些与安全软件相关的进程,以便阻止他们的运行。

清除该病毒的一些建议:

1、终止病毒进程

在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows N
免费打赏

相关推荐

APP内打开