电脑安全黑名单

第一漏洞

Microsoft PowerPoint畸形文件解析代码执行漏洞

漏洞描述：近期微软公布了针对Microsoft PowerPoint软件的漏洞缺陷，网络上随即出现了多个利用此漏洞的病毒程序。在被安全公司发现的病毒文件中，黑客利用PowerPoint在解析特制的PPT文件时可能会导致访问内存中的无效对象，从而允许用户计算机执行任意代码。

临时解决方案：

1.使用Microsoft Office文件阻断策略以防止打开未知或不可信任来源的PPT、PPS。

（需安装MOICE，下载地址：/downloads/details.aspx?displaylang=zh-cn&FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466）

2.可使用以下注册表脚本（下载地址：/cfan/200910/pptfh.rar）为Office 2003设置文件阻断策略：

3.调整PowerPoint中“工具宏安全性安全级”，将调整策略为中级。

4.调整PowerPoint中“工具宏安全性可靠发行商”，取消对“信任所有安装的加载项和模板”的勾选。

第一病毒

“天使鱼”病毒变种

当此病毒运行后，动态加载系统DLL文件msvcrt.dll，该DLL是标准的微软C运行库文件，创建线程、遍历进程查找多种杀毒软件(AD)主动防御模块，强行退出线程，并利用Adobe Flash Player SWF文件漏洞、MS08-067等微软漏洞执行代码提升进程操作权限，衍生病毒驱动文件到%System32\drivers\目录下，命名为infor.sys、tesafe.sys，该驱动文件删除部分安全软件服务，终止部分安全软件进程，恢复SSDT躲避杀软主动查杀，创建病毒驱动设备名为：\\.\infor、\\.\tesafe，删除本地hosts文件，并重新创建一个hosts文件，劫持大量域名地址，添加病毒注册表服务，衍生病毒文件fsrtdf.exe到临时目录下，调用函数打开衍生的病毒文件，获取磁盘启动器类型，遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件，释放大量usp10.dll文件，病毒运行完后删除自身。

传播方式：WEB页面、IFRAME弹窗、外挂等。

中毒现象：当病毒运行后大多杀毒软件防火墙自动关闭现象，并在重新启动计算机后提示msvcrt.dll文件损坏，开机速度明显变慢。

解决方案：

1.在安全模式下强行删除病毒衍生的文件

%System32%\drivers\etc\hosts

%System32%\drivers\infor.sys

%System32%\drivers\tesafe.sys

%Windir%\Fonts\System32.exe

%Documents and Settings%\当前所在用户\Local Settings\Temp\fsrtdf.exe

2.删除病毒添加的注册表项

将[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]下的tesafe删除

3.更新MS09-002、MS08-067、Adobe Flash Player SWF文件漏洞补丁、联众世界GLIEDown2.dll ActiveX控件溢出漏洞补丁。

4.瑞星、江民等杀毒软件防火墙需要重新安装。