logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-08-08
 网御星云安全通告
1 本周通告时间
本次通告时间为20118月份第1周。

20118

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 

 

 

 

 

 

  2 本周网络威胁级别 2级。

 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

 网御星云网络威胁级别说明

1 普通状态 

正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

2预警状态

有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

3严重状态

某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

4紧急状态

网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施

3   病毒和网络攻击预警

3.1   “系统杀手”变种brm(Trojan/AntiAV.brm)

病毒长度:274432字节

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
Trojan/AntiAV.brm“系统杀手”变种brm是“系统杀手”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0编写,经过加壳保护处理。“系统杀手”变种brm运行后,会自我复制到被感染系统的“%programfiles%\Windows NT\”文件夹下,重新命名为“SERVICES.EXE”。其会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“ACE.dll”。遍历当前系统运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的防护。“系统杀手”变种brm运行时,会将释放的恶意DLL组件“ACE.dll”插入到系统桌面程序“explorer.exe”等进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。其会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。“系统杀手”变种brm在运行完成后会创建批处理文件“$$c1.tmp.bat”并在后台调用执行,以此将自身删除。另外,“系统杀手”变种brm会修改注册表启动项中的登陆初始化内容,以此实现自动运行。
3.2   “调戏鬼”变种ae (Backdoor/Yoddos.ae)

病毒长度:42496字节

病毒类型:后门

危险级别:★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
 Backdoor/Yoddos.ae“调戏鬼”变种ae是“调戏鬼”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0编写,经过加壳保护处理。“调戏鬼”变种ae会被伪装成“QQ2010,从而诱骗用户点击运行。“调戏鬼”变种ae运行后,会设置自身进程的报错模式(SetErrorMode),从而防止自身出错时系统弹出提示信息。尝试获得并卸载名为“kmon.dll”的模块,其为瑞星卡卡的功能模块。获得系统及自身路径,比较是否为“%SystemRoot%\system32\WinHelp32.exe”和“%SystemRoot%\system32\svchost.exe”,若不是以上路径,“调戏鬼”变种ae会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“WinHelp32.exe”。还会在“%SystemRoot%\system32\drivers\”文件夹下释放恶意驱动文件“PCIDump.sys”,文件属性设置为“系统、隐藏”。将恶意代码注入到系统进程“svchost.exe”的内存空间中隐秘运行。不断尝试与客户端“56*1095.3322.org”进行连接,如果连接成功,被感染的计算机就会沦为傀儡主机。骇客可向被感染的计算机发送恶意指令,从而执行任意控制操作(其中包括:文件管理、进程控制、注册表操作、服务管理、远程命令执行,甚至屏幕监控、键盘监听、鼠标控制、音频监控、视频监控等),会给用户的信息安全构成严重的威胁。其还会在被感染系统的后台连接骇客指定的站点,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“调戏鬼”变种ae在运行完成后会将自身删除,从而达到消除痕迹的目的。

4 安全漏洞通告

4.1   Skype "Mobile Phone"字段HTML注入漏洞

 

Skype "Mobile Phone"字段HTML注入漏洞

漏洞发现时间:

2011-08-01

漏洞号:

BUGTRAQ  ID: 48951

受影响的系统:

受影响系统:

Skype Skype 5.x

Skype Skype 4.x

漏洞详细信息:

Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。

 

SkypeMobile Phone字段的处理上存在HTML注入漏洞,远程攻击者可利用此漏洞在受影响浏览器中执行HTML和脚本代码,窃取Cookie验证凭证或控制网站外观。

 

此漏洞源于"mobile phone"配置文件条目缺少输入验证和输出过滤。

 

<*参考:noptrix    

链接:http://www.noptrix.net/advisories/skype_xss.txt*>

建议:

厂商补丁:

Skype

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.skype.com/

4.2   Red Hat Linux Kernel VLAN报文处理远程拒绝服务漏洞

Red Hat Linux Kernel VLAN报文处理远程拒绝服务漏洞

漏洞发现时间:

发布日期:2011-07-15

更新日期:2011-08-02

漏洞号:

BUGTRAQ  ID: 48907

CVE ID: CVE-2011-1576

受影响的系统:

受影响系统:

RedHat Enterprise Virtualization Hypervisor

RedHat RedHat Enterprise Linux 5 server

RedHat Red Hat Enterprise Linux Desktop 5 client

OpenVZ Project OpenVZ 028stab091.1

OpenVZ Project OpenVZ 028stab089.1

OpenVZ Project OpenVZ 028stab085.2

OpenVZ Project OpenVZ 028stab081.1

OpenVZ Project OpenVZ 023stab054.1

OpenVZ Project OpenVZ 023stab053.2

不受影响系统:

OpenVZ Project OpenVZ 028stab092.2

漏洞详细信息:

Linux KernelLinux操作系统的内核。

 

Linux Kernel在处理VLAN报文的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成内核崩溃,拒绝服务合法用户。

 

<*参考:Ryan Sweat 

  链接:https://bugzilla.redhat.com/show_bug.cgi?id=695173*>

建议:

厂商补丁:

RedHat

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.redhat.com/apps/support/errata/index.htm


4.3 Google Chrome 13.0.782.107之前版本多个安全漏洞

Google Chrome 13.0.782.107之前版本多个安全漏洞

漏洞发现时间:

2011-08-02

漏洞号:

BUGTRAQ  ID: 48960

CVE ID: CVE-2011-2358,CVE-2011-2359,CVE-2011-2360,CVE-2011-2361,CVE-2011-2782,CVE-2011-2783,CVE-2011-2784,CVE-2011-2785,CVE-2011-2786,CVE-2011-2787,CVE-2011-2788,CVE-2011-2789,CVE-2011-2790,CVE-2011-2791,CVE-2011-2792,CVE-2011-2793,CVE-2011-2794,CVE-2011-2795,CVE-2011-2796,CVE-2011-2797,CVE-2011-2798,CVE-2011-2799,CVE-2011-2800,CVE-2011-2801,CVE-2011-2802,CVE-2011-2803,CVE-2011-2804,CVE-2011-2805,CVE-2011-2818,CVE-2011-2819

受影响的系统:

受影响系统:

Google Chrome 9.x

Google Chrome 8.x

Google Chrome 13

Google Chrome 12.x

Google Chrome 11.x

Google Chrome 10.x

不受影响系统:

Google Chrome 13.0.782.107

漏洞详细信息:

Google Chrome是一个由谷歌公司开发的开放源码网页浏览器。

 

Google Chrome 13.0.782.107之前版本在实现上存在多个安全漏洞,远程攻击者可利用这些漏洞通过受影响应用程序执行任意代码或造成拒绝服务。

 

<*参考:Sergey Glazunov 

  链接:http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html*>

建议:

厂商补丁:

Google

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.google.com



WordPress TimThumb插件远程代码执行漏洞

漏洞发现时间:

2011-08-03

漏洞号:

 

受影响的系统:

受影响系统:

WordPress TimThumb 1.32

漏洞详细信息:

WordPress是一种使用PHP语言和MySQL数据库开发的Blog(博客、网志)引擎,用户可以在支持PHPMySQL数据库的服务器上建立自己的Blog

 

WordPress TimThumb插件在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用程序中执行任意代码。

 

此漏洞源于脚本没有正确远程检查上传的缓存文件,通过构造带有有效MIME类型的图像文件,然后再附加PHP代码,可欺骗TimThumb使其认为是合法图像,然后本地缓存在缓存目录。

 

<*参考:MaXe 

  链接:

http://www.exploit-db.com/exploits/17602/        http://packetstormsecurity.org/news/view/19615/Zero-Day-Bug-Threatens-Many-WordPress-SItes.html*>

建议:

厂商补丁:

WordPress

---------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://wordpress.org/

HP Network Automation SQL注入漏洞

漏洞发现时间:

2011-07-28

漏洞号:

BUGTRAQ  ID: 48924

CVE ID: CVE-2011-2403

受影响的系统:

受影响系统:

HP HP Network Automation 9.10

HP HP Network Automation 9.0

HP HP Network Automation 7.6

HP HP Network Automation 7.5

HP HP Network Automation 7.2

漏洞详细信息:

HP Network Automation软件可改善网络可用性、加强网络合规性以及增强安全性。

 

HP Network Automation在实现上存在SQL注入漏洞,远程攻击者可利用此漏洞控制应用程序,访问或修改数据,利用下层数据库中的其他漏洞。

 

<*参考:HP*>

建议:

厂商补丁:

HP

--

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://itrc.hp.com

  5   关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-08-08

 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码