logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-10-10

 网御星云安全通告
1  本周通告时间
本次通告时间为201110月份第1周。

201110

 

 

 

 

1

2

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 


 

2 本周网络威胁级别 2级。

 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

 网御星云网络威胁级别说明
1 普通状态 
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。 
2预警状态

有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

3严重状态

某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

4紧急状态

网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施

 

3  病毒和网络攻击预警

3.1   “谍之眼”变种fuf(TrojanSpy.SpyEyes.fuf)

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.SpyEyes.fuf“谍之眼”变种fuf是“谍之眼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“谍之眼”变种fuf运行后,会自我复制到被感染系统盘“Recycle.Bin\”文件夹下,重新命名为“B6232F3ABEC.exe”,还会在该文件夹下释放恶意文件“9AA74E7C220F6EE”。后台秘密窃取系统中的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。后台连接骇客指定的站点“hhasd***sd.ru”,下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。秘密连接骇客指定的站点“ko**na.ru”,侦听骇客指令,然后在被感染的计算机上执行相应的恶意操作。骇客可通过“谍之眼”变种fuf完全远程控制被感染的计算机系统,从而给用户的个人隐私甚至是企业的商业机密造成不同程度的侵害。该间谍木马一般会被插入到被感染系统中几乎所有的进程(并不是所有进程,因为某些进程该间谍木马无权插入)中隐秘运行。后台执行恶意操作,以此隐藏自我,防止被轻易地查杀。另外,“谍之眼”变种fuf会在被感染系统注册表启动项中添加键值,以此实现自动运行。
3.2   “视频宝宝”变种aaje (TrojanDropper.VB.aaje)

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:           
“视频宝宝”变种aaje是“视频宝宝”家族中的最新成员之一,采用“Microsoft Visual Basic 5.0 / 6.0编写。“视频宝宝”变种aaje运行后,在被感染系统的“%programfiles%\common files\”文件夹下释放恶意图标文件“t.ico”、“d.ico”。文件属性设置为“系统、隐藏”。在被感染系统的用户桌面释放恶意快捷方式“internet explorer.hdh”、“在线小游戏.hyx”、“看电影.hpf”、“网上购物.htb”、“上网导航.h35、“图片新闻.hli”,同时将这些文件对应复制到文件夹“\Documents and Settings\All Users\「开始」菜单\”下。设置这些图标的权限,使用户不能够删除。在注册表中创建“*.hdh”、“*.hyx”、“*.hpf”、“*.htb”、“*.h35、“*.hli”等类型文件的关联信息,修改默认图标分别为IEXPLORE.EXESHELL32.dllSHELL32.dllt.icod.icoSHELL32.dll,修改对应的打开命令的键值,从而达到用户双击运行对应类型的文件时会通过IE访问“http://www.he**uo.com/?1121 、“http://www.d**d.com/?1121、“http://www.pi**ng.net/?1121、“http://taobao.lo**o.com/?1121、“http://www.35**.com/?1121、“http://www.lo**o.com/?1121的目的。还会在当前目录下释放恶意程序“网聚.exe”和“jies.bak.vbs”。“视频宝宝”变种aaje运行时,还会在用户的计算机系统中安装被称为“风影影视”的软件,这是一款网络电视程序。当运行恶意程序“网聚.exe”时,其会提供若干人体艺术网站浏览入口。还具有进程守护功能,当发现主程序被调试的时候,会强行结束运行。“视频宝宝”变种aaje在运行完成后会创建批处理文件并在后台调用执行,以此将自身删除。

4  安全漏洞通告

4.1   VLC Media Player "httpd_ClientRecv()"函数拒绝服务漏洞

VLC Media Player "httpd_ClientRecv()"函数拒绝服务漏洞

漏洞发现时间:

2011-10-07

漏洞号:

 

受影响的系统:

受影响系统:

VideoLAN VLC Media Player 1.x

漏洞详细信息:

VLC Media Player是多媒体播放器(最初命名为VideoLAN客户端)是VideoLAN计划的多媒体播放器。

 

VLC Media Player"httpd_ClientRecv()"函数(src/network/httpd.c)在实现上存在空指针引用错误,可通过特制的HTTPRTSP请求使服务器进程崩溃。成功利用要求开启HTTP网络接口、HTTP输出、RTSP输出或RTSP VoD服务。

 

<*参考:Jouni Knuutinen 

  链接:http://www.videolan.org/security/sa1107.html*>

建议:

厂商补丁:

VideoLAN

--------

VideoLAN已经为此发布了一个安全公告(VideoLAN-SA-1107)以及相应补丁:

VideoLAN-SA-1107Heap overflow in AVI demuxer

链接:http://www.videolan.org/security/sa1107.html

4.2   Adobe Photoshop Elements Brush / Gradient文件解析缓冲区溢出漏洞

Adobe Photoshop Elements Brush / Gradient文件解析缓冲区溢出漏洞

漏洞发现时间:

2011-10-03

漏洞号:

CVE ID: CVE-2011-2443

受影响的系统:

受影响系统:

Adobe Photoshop Elements 8.x

Adobe Photoshop Elements 7.x

Adobe Photoshop Elements 6.x

Adobe Photoshop Elements 5.x

Adobe Photoshop Elements 4.x

Adobe Photoshop Elements 3.x

Adobe Photoshop Elements 2.x

Adobe Photoshop Elements 1.x

漏洞详细信息:

Adobe Photoshop ElementsAdobe公司是继Photoshop之后全新推出的图像编辑、照片修饰和Web 图形解决方案。

 

Adobe Photoshop Elements在处理Brush (ABR)Gradient (GRD)文件中的某些结构时存在错误,通过特制的".abr"".grd"文件可造成堆缓冲区溢出,成功利用后可执行任意代码,控制用户系统。

 

<*参考:Gjoko Krstic liquidworm@gmail.com 

  链接:http://www.adobe.com/support/security/advisories/apsa11-03.html*>

建议:

厂商补丁:

Adobe

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.adobe.com/support/security/

4.3   Perl "decode_xs()"和"File::Glob::bsd_glob()"远程代码执行漏洞

Perl "decode_xs()""File::Glob::bsd_glob()"远程代码执行漏洞

漏洞发现时间:

2011-09-22

漏洞号:

BUGTRAQ  ID: 49858

CVE ID: CVE-2011-2728,CVE-2011-2939

受影响的系统:

受影响系统:

Perl Perl 5.14.1

不受影响系统:

Perl Perl 5.14.2

漏洞详细信息:

Perl是一种高级、通用、直译式、动态的程序语言。

 

Perl"decode_xs()""File::Glob::bsd_glob()"函数在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞执行任意代码。

 

1)在处理GLOB_ALTDIRFUNC旗标时,"File::Glob::bsd_glob()"函数中存在的错误可被利用造成非法访问和执行任意代码。

 

2Encode中的"decode_xs()"函数中的错误可通过特制输入造成堆缓冲区溢出。

 

<*参考:Robert Zacek

        Cl&Atilde;&copy;ment Lecigne 

  链接http://cpansearch.perl.org/src/FLORA/perl-5.14.2/pod/perldelta.pod

http://secunia.com/advisories/46172/*>

建议:

厂商补丁:

Perl

----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.perl.com

4.4   Cisco IOS SIP多个远程拒绝服务漏洞

Cisco IOS SIP多个远程拒绝服务漏洞

漏洞发现时间:

2011-09-21

漏洞号:

BUGTRAQ  ID: 49825

CVE ID: CVE-2011-0939,CVE-2011-3275

受影响的系统:

受影响系统:

Cisco IOS 15.x

Cisco IOS 12.x

Cisco IOS XE 3.x

Cisco IOS XE 2.x

不受影响系统:

Cisco IOS Cisco IOS 15.1(3)T2

Cisco IOS Cisco IOS 15.1(2)T4

Cisco IOS Cisco IOS 15.1(1)T4

Cisco IOS Cisco IOS 15.0(1)M7

Cisco IOS Cisco IOS 12.4(9)XG3

Cisco IOS Cisco IOS 12.4(24)T6

Cisco IOS Cisco IOS 12.4(24)GC4

Cisco IOS Cisco IOS 12.4(15)XM3

Cisco IOS Cisco IOS 12.4(15)XM

Cisco IOS Cisco IOS 12.4(15)T16

Cisco IOS XE 3.3.2S

漏洞详细信息:

Cisco IOS是一款流行的Internet操作系统。数据流交互功能DLSw可以实现在IP网络上传输IBM SNA和网络BIOS流量。

SIP协议在Cisco IOS中的实现上存在多个安全漏洞,远程非法攻击者可利用这些漏洞造成重载受影响设备或触发内存泄露,导致系统不稳定。

Cisco IOS设备处理发送到受影响设备的特制SIP消息时会触发此漏洞。经过的SIP流量不会触发。

<*参考:Cisco 

  链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95d59.shtml*>

http://xforce.iss.net/xforce/xfdb/69802*>

建议:

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20110928-nat)以及相应补丁:

cisco-sa-20110928-natCisco IOS Software Network Address Translation Vulnerabilities

链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95d4d.shtml

4.5   Cisco IOS IPS和Zone-Based Firewall多个远程拒绝服务漏洞

Skype for iOS "Chat Message"窗口跨站脚本执行漏洞

漏洞发现时间:

2011-09-22

漏洞号:

BUGTRAQ  ID: 49826

CVE ID: CVE-2011-3273,CVE-2011-3281

受影响的系统:

受影响系统:

Cisco IOS 15.x

Cisco IOS 12.x

不受影响系统:

Cisco IOS Cisco IOS 15.1(4)M1

Cisco IOS Cisco IOS 15.1(3)T2

Cisco IOS Cisco IOS 15.1(2)T4

Cisco IOS Cisco IOS 15.1(1)T4

Cisco IOS Cisco IOS 15.0(1)M7

漏洞详细信息:

Cisco IOS是一款流行的Internet操作系统。数据流交互功能DLSw可以实现在IP网络上传输IBM SNA和网络BIOS流量。

 

Cisco IOSCisco IOS入侵检测系统(IPS)Cisco IOS区域防火墙功能在实现上存在内存泄露漏洞,远程非法攻击者可利用此漏洞造成设备崩溃或挂起。

 

类似" *CCE: CCE 7 tuple table entry to add not malloced.""CCE: CCE 7 tuple table adding data to invalid hash entry."的报文可造成内存泄露;在设备支持并用scheduler isr-watchdog配置时,处理特制HTTP报文可使设备崩溃或挂起。

 

<*参考:Cisco 

  链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95d59.shtml*>

建议:

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20110928-zbfw)以及相应补丁:

 

cisco-sa-20110928-zbfwCisco IOS Software IPS and Zone-Based Firewall Vulnerabilities

链接:http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95d57.shtml


5 上周活跃恶意域名TOP5

上周网御星云通过云防御平台监测到的用于网络病毒木马传播的活跃恶意域名TOP5如下表所示。请各网站管理机构注意检查网站页面中是否被嵌入含有下述恶意域名的 URL,并及时修补漏洞,加强网站的安全防护水平。

 

6 关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-10-10
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码