时间:2022-09-24 07:06:50
第一漏洞
Microsoft PowerPoint畸形文件解析代码执行漏洞
漏洞描述:近期微软公布了针对Microsoft PowerPoint软件的漏洞缺陷,网络上随即出现了多个利用此漏洞的病毒程序。在被安全公司发现的病毒文件中,黑客利用PowerPoint在解析特制的PPT文件时可能会导致访问内存中的无效对象,从而允许用户计算机执行任意代码。
临时解决方案:
1.使用Microsoft Office文件阻断策略以防止打开未知或不可信任来源的PPT、PPS。
(需安装MOICE,下载地址:/downloads/details.aspx?displaylang=zh-cn&FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466)
2.可使用以下注册表脚本(下载地址:/cfan/200910/pptfh.rar)为Office 2003设置文件阻断策略:
3.调整PowerPoint中“工具宏安全性安全级”,将调整策略为中级。
4.调整PowerPoint中“工具宏安全性可靠发行商”,取消对“信任所有安装的加载项和模板”的勾选。
第一病毒
“天使鱼”病毒变种
当此病毒运行后,动态加载系统DLL文件msvcrt.dll,该DLL是标准的微软C运行库文件,创建线程、遍历进程查找多种杀毒软件(AD)主动防御模块,强行退出线程,并利用Adobe Flash Player SWF文件漏洞、MS08-067等微软漏洞执行代码提升进程操作权限,衍生病毒驱动文件到%System32\drivers\目录下,命名为infor.sys、tesafe.sys,该驱动文件删除部分安全软件服务,终止部分安全软件进程,恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:\\.\infor、\\.\tesafe,删除本地hosts文件,并重新创建一个hosts文件,劫持大量域名地址,添加病毒注册表服务,衍生病毒文件fsrtdf.exe到临时目录下,调用函数打开衍生的病毒文件,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件,释放大量usp10.dll文件,病毒运行完后删除自身。
传播方式:WEB页面、IFRAME弹窗、外挂等。
中毒现象:当病毒运行后大多杀毒软件防火墙自动关闭现象,并在重新启动计算机后提示msvcrt.dll文件损坏,开机速度明显变慢。
解决方案:
1.在安全模式下强行删除病毒衍生的文件
%System32%\drivers\etc\hosts
%System32%\drivers\infor.sys
%System32%\drivers\tesafe.sys
%Windir%\Fonts\System32.exe
%Documents and Settings%\当前所在用户\Local Settings\Temp\fsrtdf.exe
2.删除病毒添加的注册表项
将[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]下的tesafe删除
3.更新MS09-002、MS08-067、Adobe Flash Player SWF文件漏洞补丁、联众世界GLIEDown2.dll ActiveX控件溢出漏洞补丁。
4.瑞星、江民等杀毒软件防火墙需要重新安装。