logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2008-08-15
 网御星云安全通告
1   本周通告时间
本次通告时间为20118月份第2周。 

20118

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 

 

 

 

 

 

 

 2 本周网络威胁级别 2级。

 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

 网御星云网络威胁级别说明

1 普通状态 

正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

2预警状态

有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

3严重状态

某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

4紧急状态

网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。

 


3    病毒和网络攻击预警
3.1   “克隆先生”变种jus(Packed.Klone.jus)

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“克隆先生”变种jus是“克隆先生”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0编写,经过加壳保护处理,是一个由其它恶意程序释放的DLL功能组件。“克隆先生”变种jus运行后,会将自身插入到系统桌面程序“explorer.exe”进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。遍历当前系统运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的防护。“克隆先生”变种jus是一个专门盗取网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视系统所运行程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“克隆先生”变种jus属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。
3.2   “灰鸽子”变种aehv (Backdoor/Huigezi.aehv)

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“灰鸽子”变种aehv是“灰鸽子”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0编写,经过加壳保护处理。“灰鸽子”变种aehv运行后,会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“07115422.tmp”,然后将其复制到“%SystemRoot%\system32\”下,重新命名为“Scardsvr.exe”。“灰鸽子”变种aehv属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“cq5133016.3322.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“灰鸽子”变种aehv的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等,给互联网的信息安全造成了更多的威胁。“灰鸽子”变种aehv在运行完成后会将自身删除,从而达到消除痕迹的目的。另外,“灰鸽子”变种aehv会在被感染系统中注册名为“Smart card Helper”的系统服务,以此实现自动运行。

4  安全漏洞通告

4.1   Adobe Shockwave Player多个内存破坏漏洞

Adobe Shockwave Player多个内存破坏漏洞

漏洞发现时间:

2011-08-09

漏洞号:

BUGTRAQ  ID: 49102

CVE ID: CVE-2010-4308,CVE-2010-4309,CVE-2011-2420,CVE-2011-2421,CVE-2011-2422,CVE-2011-2423

受影响的系统:

受影响系统:

Adobe Shockwave Player 11.x

不受影响系统:

Adobe Shockwave Player 11.6.1.629

漏洞详细信息:

Adobe Shockwave Player是播放使用Director Shockwave Studio制作的网页的外挂软件。

 

Adobe Shockwave Player在实现上存在多个内存破坏漏洞,远程攻击者可利用这些漏洞使受影响应用程序崩溃或在其中执行任意代码。

 

<*参考:Mark Yason

        Aaron Portnoy aportnoy@ccs.neu.edu

        Logan Brown

        Andrzej Dyjak 

  链接:http://www.adobe.com/support/security/bulletins/apsb11-19.html*>

建议:

厂商补丁:

Adobe

-----

Adobe已经为此发布了一个安全公告(APSB11-19)以及相应补丁:

APSB11-19:Security update available for Adobe Shockwave Player

链接:http://www.adobe.com/support/security/bulletins/apsb11-19.html

4.2   Microsoft Windows TCP/IP栈ICMP处理拒绝服务漏洞(MS11-064)

Microsoft Windows TCP/IP栈ICMP处理拒绝服务漏洞

漏洞发现时间:

发布日期:2011-08-09

漏洞号:

BUGTRAQ  ID: 48987

CVE ID: CVE-2011-1871

受影响的系统:

受影响系统:

Microsoft Vista

Microsoft Server 2008

Microsoft Windows 7

漏洞详细信息:

Microsoft Windows是一款流行的操作系统。

 

Windows TCP/IP(Tcpip.sys)在解析收到的ICMP消息时存在错误,不正确处理特制构建的ICMP消息序列,远程攻击者可以利用漏洞发送特制消息使系统停止响应或自动重新启动。

 

<*参考:Microsoft 

  链接:http://www.microsoft.com/technet/security/bulletin/MS11-064.mspx*>

建议:

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS11-064)以及相应补丁:

MS11-064Vulnerabilities in TCP/IP Stack Could Allow Denial of Service (2563894)

链接:http://www.microsoft.com/technet/security/bulletin/MS11-064.mspx

4.3   Microsoft Windows TCP/IP QOS远程拒绝服务漏洞(MS11-064)

Microsoft Windows TCP/IP QOS远程拒绝服务漏洞(MS11-064)Chrome 13.0.782.107之前版本多个安全漏洞

漏洞发现时间:

2011-08-09

漏洞号:

BUGTRAQ  ID: 48990

CVE ID: CVE-2011-1965

受影响的系统:

受影响系统:

Microsoft Vista

Microsoft Server 2008

Microsoft Windows 7

漏洞详细信息:

Microsoft Windows是一款流行的操作系统。

 

Microsoft Windows在解析URL时,TCP/IP(Tcpip.sys)中存在错误。可通过提交给启用了基于URLQoSWeb服务器的特制URL请求造成系统停止响应或重启。远程攻击者可利用此漏洞重启受影响系统,拒绝服务合法用户。

 

<*参考:Microsoft 

  链接:http://www.microsoft.com/technet/security/bulletin/MS11-064.mspx*>

建议:

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS11-064)以及相应补丁:

MS11-064Vulnerabilities in TCP/IP Stack Could Allow Denial of Service (2563894)

链接:http://www.microsoft.com/technet/security/bulletin/MS11-064.mspx

4.4   Microsoft Windows DNS Server NAPTR查询远程代码执行漏洞(MS11-058)

Microsoft Windows DNS Server NAPTR查询远程代码执行漏洞

漏洞发现时间:

2011-08-09

漏洞号:

BUGTRAQ  ID: 49012

CVE ID: CVE-2011-1966

受影响的系统:

受影响系统:

Microsoft Server 2008

Microsoft Server 2003

漏洞详细信息:

Windows DNS Server是微软公司推出的域名系统或者域名服务,域名系统为Internet上的主机分配域名地址和IP地址。

 

Windows DNS ServerNAPTR查询的实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞以系统级别的权限执行任意代码,造成完全控制受影响计算机。

 

Windows DNS Server在处理不存在域的查询时存在错误,可造成服务器停止响应。

 

<*参考:Grischa Zenge 

  链接:http://www.microsoft.com/technet/security/bulletin/MS11-058.mspx*>

建议:

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS11-058)以及相应补丁:

MS11-058Vulnerabilities in DNS Server Could Allow Remote Code Execution (2562485)

链接:http://www.microsoft.com/technet/security/bulletin/MS11-058.mspx

4.5   Microsoft Windows DNS Server未初始化内存破坏远程拒绝服务漏洞(MS11-058)

Microsoft Windows DNS Server未初始化内存破坏远程拒绝服务漏洞

漏洞发现时间:

2011-08-09

漏洞号:

BUGTRAQ  ID: 49019

CVE ID: CVE-2011-1970

受影响的系统:

受影响系统:

Microsoft Server 2008

Microsoft Server 2003

漏洞详细信息:

Windows DNS Server是微软公司推出的域名系统或者域名服务,域名系统为Internet上的主机分配域名地址和IP地址。

 

Windows DNS Server在实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成DNS服务器停止响应,拒绝服务合法用户。

 

<*参考:Microsoft 

  链接:http://www.microsoft.com/technet/security/bulletin/MS11-058.mspx*>

建议:

厂商补丁:

Microsoft

---------

Microsoft已经为此发布了一个安全公告(MS11-058)以及相应补丁:

MS11-058:Vulnerabilities in DNS Server Could Allow Remote Code Execution (2562485)

链接:http://www.microsoft.com/technet/security/bulletin/MS11-058.mspx

  
5    关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-08-15
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码