logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-07-01

1 本周通告时间
本次通告时间为2013年6月份第4周。
2 本周网络威胁级别 2级。
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
网御星云网络威胁级别说明

普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。
3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Pasdoc.gen 病毒
4. Virus.Acad.Generic 病毒
5. PSWTool.Win32.Dialupass.he 风险工具
6. HiddenObject.Multi.Generic 隐藏对象
7. Trojan.Acad.Qfas.b 木马
8. Net-Worm.Win32.Kido.ir 网络蠕虫
9. Trojan.Script.Iframer 木马
10. Net-Worm.Win32.Kido.ih 网络蠕虫

关注恶意软件:Trojan.Win32.Agent.xsil
•大小:64000字节
•加壳方式:ASPack
创建文件:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[随机文件名].dat
C:\Documents and Settings\Infortmp.txt

修改文件:
C:\WINDOWS\system32\tapisrv.dll

创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller LDN hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control ActiveService "TapiSrv"
修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TapiSrv Start dword:00000003 dword:00000002

删除注册表:
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network

主要行为:
这是一个下载器木马。木马运行后会将自身拷贝为临时目录下[随机文件名].dat,之后通过挂钩IMM32.dll中的ImmLoadLayout函数和ntdll.dll中的ZwOpenKey和ZwOpenKeyEx函数并向explorer.exe发送WM_INPUTLANGCHANGEREQUEST消息使得explorer.exe进程运行[随机文件名].dat。之后木马会随机从AppMgmt、Netman、CryptSvc等服务中选择一个,并将自身修改为DLL格式替换原服务对应的DLL,而后将相应的服务设置为自动启动。这样当系统启动这些服务时就会启动木马。为防止用户进入安全模式,木马会删除安全模式相关注册表。木马还会将用户网卡的MAC地址发送到87.138.250.***/aa*/Count.asp?进行安装量统计。木马会从54.169.9.***、115.238.237.***、61.132.227.**等地址下载其它恶意程序。
4 安全漏洞通告
4.1 Cisco Jabber Video Engine拒绝服务漏洞
发布日期:2013-06-26
受影响系统:Cisco Precision Video Engine
漏洞编号:
CVE(CAN) ID: CVE-2013-3393
描述:
--------------------------------------------------------------------------------
Cisco Precision Video Engine是基于H.264 AVC标准的媒体引擎,用在Cisco Jabber客户端中。
Cisco Precision Video Engine代码中存在安全漏洞,可使未经身份验证的远程攻击者造成多个进程崩溃并断开所有活动调用。此漏洞源于处理高频发送的特制RTP报文时存在错误。攻击者通过发送特制的RTP报文到受影响系统利用此漏洞。

<*参考:vendor
链接:http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3393 *>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(CVE-2013-3393)以及相应补丁:
CVE-2013-3393:Cisco Jabber Video Engine Denial of Service Vulnerability
链接:http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3393
4.2 Xen 页面引用计数拒绝服务漏洞
发布日期:2013-06-26
受影响系统:
XenSource Xen 4.1.2
XenSource Xen 4.1.1
XenSource Xen 4.0
漏洞编号:
BUGTRAQ ID: 60799
CVE(CAN) ID: CVE-2013-1432
描述:
--------------------------------------------------------------------------------
Xen是一个开源虚拟机监视器,由剑桥大学开发。
Xen的CVE-2013-1918补丁存在安全漏洞,没有保留延迟清理所用的页面引用,使错误处理路径可以预置为空闲,中断了页面引用计数,导致管理程序过早尝试释放页面,发现页面仍然使用时产生崩溃。

<*参考:Andrew Cooper the Citrix XenServer team
链接:http://seclists.org/oss-sec/2013/q2/618 *>

建议:
-----------------------------------------------------------------------------
厂商补丁:
XenSource
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.xen.org/archives/html/xen-announce
4.3 Cisco ASA Next-Generation Firewall碎片报文拒绝服务漏洞
发布日期:2013-06-26
受影响系统:Cisco Next-Generation Firewall
漏洞编号:
CVE(CAN) ID: CVE-2013-3382
描述:
--------------------------------------------------------------------------------
Cisco ASA Next-Generation Firewall 是下一代防火墙产品,是附加服务模块,扩展了ASA平台。
Cisco ASA Next-Generation Firewall在实现上存在碎片报文拒绝服务漏洞,可造成设备重载或停止检验父Cisco ASA到ASA NGFW模块发送的用户报文。此漏洞源于解析重组报文无效。攻击者通过发送碎片报文由ASA NGFW拒绝策略处理利用此漏洞。

<*参考:vendor
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-ngfw*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20130626-ngfw)以及相应补丁:
cisco-sa-20130626-ngfw:Cisco ASA Next-Generation Firewall Fragmented Traffic Denial of Service Vulnerability
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130626-ngfw
4.4 Cisco Linksys X3000路由器多个安全漏洞
发布日期:2013-06-22
受影响系统:Cisco Linksys X3000 Router
漏洞编号:
BUGTRAQ ID: 60736
描述:
--------------------------------------------------------------------------------
Cisco Linksys X3000是无线路由器产品。
Cisco Linksys X3000 1.0.03 build 001 及其他版本存在多个命令执行漏洞、安全绕过漏洞、多个跨站脚本执行漏洞,攻击者可利用这些漏洞执行任意命令、绕过某些安全限制、窃取cookie身份验证凭证、在用户会话上下文中执行未授权操作。

<*参考:Michael Messner (michae.messner@integralis.com)*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.linksys.com/en-eu/products/gateways/x3000
4.5 Cisco ASA-CX TCP报文解析拒绝服务漏洞
发布日期:2013-06-21
受影响系统:Cisco ASA-CX Context-Aware Security 9.x
漏洞编号:CVE(CAN) ID: CVE-2013-1203
描述:
Cisco ASA-CX Context-Aware Security是模块化安全服务。
Cisco ASA-CX Context-Aware Security 9.0.1, 9.0.1-40, 9.0.2, 9.0.2-68.在解析转发到Cisco ASA-CX的TCP报文时存在错误,未经身份验证的远程攻击者通过特制的TCP报文利用此漏洞可导致受影响设备重载。

<*参考:vendor
链接:http://secunia.com/advisories/53866/
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1203 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cisco.com/go/psirt
5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn


北京网御星云信息技术有限公司
2013-07-01
 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
IPS特征库升级服务
防火墙
入侵检测系统
网御WEB防火墙Leadsec-7GXWAF-ZF
服务与下载
支持与服务
在线升级
联系我们
二维码