Vista在正式发布后的一段时间内被认为是目前最安全的操作系统。可是接二连三的一些系统漏洞打破了Vista的安全神话。最新爆发的IE Speech API漏洞,更是让Vista的安全防线形同虚设,黑客可以利用这个漏洞控制整个系统。同时,由于这个漏洞是IE引起的,所以,使用IE的所有微软系统均受到影响。
最近一段时间,使用Vista的小张感觉自己的操作系统怎么也不听使唤,好像被别的什么东西控制了:不是操作系统自动重启,就是程序窗口自动关闭,甚至有的时候还会弹出各种各样的提示窗口。这到底是怎么回事?
这段时间里,受到同小张一样困扰的微软用户不在少数。他们都是中了黑客的木马。是什么木马这么厉害让系统里面的杀毒软件集体实效?其实,不是木马厉害,而是黑客利用IE Speech API漏洞绕过了系统安全防线,直接获取了系统的控制权限。
什么是IE Speech API漏洞
IE浏览器调用的Speech API的ActiveX控件存在缓冲区溢出漏洞,黑客可以利用此漏洞控制远程用户机器。微软的Speech API软件包主要提供文本语音和语音识别的相关功能,IE浏览器通过调用其中的一些ActiveX控件来实现这样的功能。
但是调用的这些功能组件分别由Xlisten.dll和XVoice.dll库提供,而正是这些控件存在着多个缓冲区溢出漏洞,造成了IE浏览器最终被漏洞击垮。wWW.itCOmPUter.COm.Cn如果用户受骗访问了恶意站点的话,则在处理有漏洞的ActiveX控件的某些方式或属性时可能会触发堆溢出或栈溢出,导致在远程用户计算机系统上执行任意指令。
微软近期有关IE的漏洞:
IE navcancl.htm跨站脚本执行漏洞、Outlook Express MHTML URL解析信息泄露漏洞、Vista不安全存储用户信息漏洞、IE语言包安装远程代码执行漏洞等。
黑客利用漏洞攻陷系统
首先,黑客会配置一个木马的服务端程序。运行木马Outbreak后点击“文件”中的“生成”命令,在弹出的窗口设置服务端程序的相关信息。最后点击“生成”按钮即可生成服务端程序,并且生成的服务端的大小非常适合制作网页木马(图1)。
当木马服务端程序生成完毕后,将它上传到网络空间中。黑客只要在程序窗口中的“网马地址”选项中,输入木马服务端程序的网络路径后,点击“生成木马”按钮即可生成一个网页文件,这就是黑客要利用IE Speech API漏洞的网页木马(图2)。
现在将刚刚生成的网页木马也上传到网络空间中,将网页木马的地址通过电子邮件、网络论坛等形式进行发布,然后利用各种各样的借口诱骗其他网友点击网页木马。只要用户浏览就会立即被安装木马服务端程序,从而被黑客进行远程控制操作(图3)。
漏洞虽大,仍有法可防
由于IE Speech API漏洞是利用网页木马这种形式进行传播的,同时影响的范围又特别的广泛,因此各位用户应该立即对该漏洞修补防范。
1.及时安装安全补丁
不论遇到怎样的漏洞,最简单最有效的方法就是安装相应的安全补丁。用户只要登录到微软“IE Speech API 4 COM对象实例化缓冲区溢出漏洞”的相关网页,根据自己的系统版本进行下载安装即可,当然用户也可以直接利用杀毒软件的漏洞修复功能来进行安装(补丁地址http://www.microsoft.com/china/technet/security/Bulletin/ms07-033.Mspx)。
2.系统临时防范方法
如果用户在第一时间里无法安装安全补丁的话,可以利用在IE浏览器中禁用Speech API 软件包的ActiveX控件进行临时性防范。运行《Windows优化大师》后,点击“系统维护”中的“其它设置选项”。在“禁止浏览网页时安装下列ActiveX控件”选项中点击“添加”按钮,在“ActiveX控件ID”中设置插件{4E3D9D1F-0C63-11D1-8BFB-0060081841DE}和{EEE78591-FE22-11D0-8BEF-0060081841DE}(图4)。完成后在列表中选中刚刚增加的CLSID,最后点击“确定”按钮就可以进行防范。
虽然这个漏洞出自微软的IE浏览器,但是归根结底还是由ActiveX控件造成的。自从微软1996年推出ActiveX技术以来,ActiveX技术已经得到很多软件公司的支持和响应。虽然ActiveX技术确实为软件开发以及应用带来了便利,但是与此同时也带来了极大的风险,正如今天我们讲解的这个漏洞。目前,利用ActiveX技术漏洞的网页木马已经很多了,而且随着ActiveX技术的不断发展以后会越来越多。如果没有一种能够取代ActiveX的更加安全的技术,那么此类漏洞仍然会成为对微软系统安全性的一大挑战。
Ttwd.net是什么 最近举报数量连续数周激增后首度有所下降,暂时也没出现新的重大危害恶意网站,难道是正在酝酿新一轮的攻击?我们拭目以待。
天天网导www.ttwd.net是少数几个举报得较多的网站,受害者表示访问该站后系统会莫名其妙多出很多不知名的插件同时弹出大量广告窗口,电脑速度异常缓慢。
打开www.ttwd.net后是一个再普通不过的网址导航站,但此类网站往往却是流氓恶意软件集中出没区域。突然Web迅雷自己启动了,似乎要下载什么东西,几乎就在同时杀毒软件也跳了出来报告发现7个病毒,于是逐一清除并关闭迅雷。
原本以为这样没事了,这时360安全卫士的实时保护却弹出警告窗口提示一个名为“server.hat”的未知启动项正在被装入,立即阻止此动作并勾选“重启前对该项采用相同操作”。
看来还是有恶意程序窜进来了,将它在“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”中揪出来分析代码后发现是一个病毒下载器,随系统自动加载后会在后台下载大量病毒木马,杀毒软件在前台拼命杀毒,下载器却在后台疯狂下载木马。这也就是为什么众多读者反应系统被莫名其妙安装很多插件并弹出广告窗口的原因。
用文件粉碎机将它彻底删除后,进入安全模式用杀毒软件全盘查杀,已被下载了恶意插件的用户要先运行反流氓工具后再进行杀毒。
QQ快速升级计划
恶意页面:www.level-qq.cn
举报人数:291
危害程度 ★★★★
IP地址:211.144.68.36
虚假钓鱼网站,页面仿造腾讯,实施所谓的“QQ升级计划”谎称将这个链接转发给30人后QQ将自动升级,实则是骗取访问量的把戏。更为无耻的是,该页面还嵌有恶性病毒木马.hta,当它侵入系统后便下载大量恶意插件并弹出广告窗口,企图利用社会工程学扩大传播范围,以此获得黑色收入。
防范方法:在路由器或IE受限地址中直接屏蔽此站,向QQ安全中心举报阻止其大范围转发传播。
y66.us木马是什么
看来这伙犯罪分子丝毫不知悔改,硬要与广大网民斗争到底。继7y7、5y5、16a、9166之后一个新的y66.us又被炮制出来了,与前者无异,依旧是ARP欺骗感染全网用户,并利用微软MS06-14、MS07-17系统漏洞植入木马下载器,随后下载10多种盗号木马,盗取包括《魔兽世界》、《征途》、《梦幻西游》等多款热门网络游戏账户。
这些恶性ARP病毒将自身伪装成网关,在网民访问网页时调用并添加http://y66.us/2.js的病毒代码,打开任何网页杀毒软件都会报警且屡杀不净。
轮番ARP攻击已经使众多校园网、企业局域网、网吧遭受重创,垃圾数据在网内疯狂传播,使网络负荷超载,出现频繁掉线、网速下降严重等情况。部分院校的校园网甚至濒临崩溃的境地,客户端之间互相传毒,只能靠不断封杀IP地址的方式隔离染毒客户端,严重影响了正常的工作和学习。
建议网管及普通用户尝试以下方法应对:
1. 所有客户机及服务器下载并安装微软MS06-14、MS07-17补丁。
2. 关闭系统还原清空临时文件夹,局域网用户在路由器中屏蔽http://y66.us及对应IP地址,普通用户在IE受限地址中进行屏蔽。删除HOST文件中被添加的网址和IP地址。
3. 下载360ARP安装专杀工具(http://dl.360safe.com/kill_arp.exe)清理ARP病毒。
4. 将网卡MAC地址与IP地址绑定后进入安全模式,用杀毒软件彻底查杀侵入系统的木马下载器及残留病毒。
由于其传播速度和破坏性超强,预计此类ARP病毒还将持续更新,广大网民和网络管理员要提高警惕预防,及时屏蔽恶性病毒网站。
琴咯游戏网
恶意链接:www.qinlo.com
举报人数:509
危害程度 ★★★★
IP地址:60.191.239.100
恶意下载网站,其页面不仅嵌有病毒,此站所有软件下载地址均指向一个名为“Csetup2957.exe”的恶意软件包,强行安装大量木马及恶意插件,危害严重。
解决方法:在路由器或IE受限地址中屏蔽此站,如已中招则进入安全模式用Windows清理大师清理后,用杀毒软件全盘查杀。
From:http://www.itcomputer.com.cn/Article/Network/201309/422.html