logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-08-05

1 本周通告时间
本次通告时间为2013年7月份第5周。
2 本周网络威胁级别 2级。
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
网御星云网络威胁级别说明

普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。
3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Pasdoc.gen 病毒
4. Virus.Acad.Generic 病毒
5. HiddenObject.Multi.Generic 隐藏对象
6. Net-Worm.Win32.Kido.ir 网络蠕虫
7. Trojan.Acad.Qfas.b 木马
8. PSWTool.Win32.Dialupass.he 风险工具
9. Net-Worm.Win32.Kido.ih 网络蠕虫
10. Virus.MSExcel.Agent.f 病毒

关注恶意软件:Trojan-Dropper Win32 Delf ahi
大小:874078字节
加壳方式:未加壳
创建文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\[随机五位数字].log
C:\Program Files\Internet Explorer\svchost.exe
C:\WINDOWS\fuck.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\Help\svchost.exe
C:\WINDOWS\system32\ShellExt\lsass.exe
C:\WINDOWS\system32\wins\svchost.exe

主要行为:
此木马是一个捆绑了色情电子相册的释放器木马,会伪装成色情相册引诱用户点击运行。运行后会获得%temp%目录,创建随机文件名的xxxxx.log文件,释放名为“CHUFEN”的资源到此文件中并加载调用其中的导出函数。此导出函数会将自身注入进程%sysdir%\svchost.exe和%sysdir%\winlogon.exe中,创建文件%Programdir%\Internet Explorer\svchost.exe、%sysdir%\wins\svchost.exe和%sysdir%\ShellExt\lssass.exe并创建自启动服务Print Server以自动启动%sysdir%\wins\svchost.exe。%sysdir%\wins\svchost.exe是一个后门木马,被杀毒软件检测为Backdoor.Win32.Visel.h,会反向连接http://i.6to**.com/zuncjk/ip.txt,使得黑客得以连接并完全操纵用户计算机。然后木马会创建运行C:\WINDOWS\fuck.exe,显示色情相册。
4 安全漏洞通告
4.1 多个思科产品远程安全限制绕过漏洞
发布日期:2013-08-01
受影响系统:
漏洞编号:
BUGTRAQ ID: 61566
CVE(CAN) ID: CVE-2013-0149
描述:
--------------------------------------------------------------------------------
思科(CiscoSystems,Inc.),是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。
多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。

<*来源:Dr. Gabi Nakibly
Eitan Menahem
Yuval Elovici
Ariel Waizel
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20130801-lsaospf)以及相应补丁:
cisco-sa-20130801-lsaospf:OSPF LSA Manipulation Vulnerability in Multiple Cisco Products
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf
4.2 多个思科产品命令注入漏洞
发布日期:2013-07-31
受影响系统:
Cisco Content Delivery System (CDS-IS) 3.x
Cisco Enterprise Content Delivery System (ECDS)
Cisco VideoScape Delivery System for Internet Streamer 3.x
Cisco VideoScape Delivery System Origin Server (VDS-OS) 1.x
Cisco Videoscape Distribution Suite Optimization Engine 1.x
Cisco Videoscape Distribution Suite Service Broker 1.x
漏洞编号:
CVE(CAN) ID: CVE-2013-3444
描述:
--------------------------------------------------------------------------------
思科(CiscoSystems,Inc.),是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。
多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。此漏洞源于没有正确过滤用户输入,然后就用设备的下层命令行接口执行操作。

<*来源:vendor
链接:http://secunia.com/advisories/54370/ http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130731-cm*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20130731-cm)以及相应补丁:
cisco-sa-20130731-cm:Authenticated Command Injection Vulnerability in Multiple Cisco Content Network and Video Delivery Products
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130731-cm
4.3 Google Chrome 28.0.1500.95之前版本多个安全漏洞
发布日期:2013-07-30
受影响系统:Google Chrome < 28.0.1500.95
漏洞编号:
BUGTRAQ ID: 61514
CVE(CAN) ID:
CVE-2013-2881,CVE-2013-2882,CVE-2013-2883,CVE-2013-2884,CVE-2013-2885,CVE-2013-2886
描述:
--------------------------------------------------------------------------------
Google Chrome是由Google开发的一款设计简单、高效的Web浏览工具。
Chrome 28.0.1500.95存在多个安全漏洞,攻击者可利用这些漏洞在浏览器中执行任意代码、绕过安全限制、泄露敏感信息、造成拒绝服务。

<*来源:Karthik Bhargavan
Cloudfuzzer
Ivan Fratric*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Google
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.google.com
4.4 ISC BIND 9 DNS RDATA处理远程拒绝服务漏洞
发布日期:2013-07-26
受影响系统:ISC BIND 9.8.x
漏洞编号:
BUGTRAQ ID: 61479
CVE(CAN) ID: CVE-2013-4854
描述:
--------------------------------------------------------------------------------
BIND是一个应用非常广泛的DNS协议的实现。

ISC BIND 9.8.0-9.8.5-P1、9.9.0-9.9.3-P1在解析DNS查询内的RDATA时出错,远程攻击者通过特制的查询利用此漏洞可触发REQUIRE断言,使服务器崩溃。

<*来源:Maxim Shudrak
链接:http://secunia.com/advisories/54195/
https://kb.isc.org/article/AA-01016/*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
ISC
---
ISC已经为此发布了一个安全公告(AA-01016)以及相应补丁:
AA-01016:CVE-2013-4854: FAQ and Supplemental Information
链接:https://kb.isc.org/article/AA-01016/
补丁下载:http://www.dns-co.com/solutions/
4.5 Apache OpenOffice DOCM内存破坏漏洞
发布日期:2013-07-26
受影响系统:OpenOffice OpenOffice 3.4.0 - 3.4.1
漏洞编号:
BUGTRAQ ID: 61468
CVE(CAN) ID: CVE-2013-4156
描述:
Apache OpenOffice是开源办公软件套装。
OpenOffice 3.4.0、3.4.1处理畸形OOXML文件内的XML元素不当会造成内存破坏,导致拒绝服务。

<*来源:Jeremy Brown
链接:http://secunia.com/advisories/54133/
http://www.openoffice.org/security/cves/CVE-2013-4156.html*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
OpenOffice
----------
OpenOffice已经为此发布了一个安全公告(CVE-2013-4156)以及相应补丁:
CVE-2013-4156:CVE-2013-4156
链接:http://www.openoffice.org/security/cves/CVE-2013-4156.html
补丁下载:http://download.openoffice.org/

5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn


北京网御星云信息技术有限公司
2013-08-05

 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云WEB应用防护系统
网御星云/PowerV6000-NF3699-FJSC 防火墙
网御星云/Leadsec-RS-599-FJSC安全审计设备
网御星云/LA-OS-36AB-FJSC运维安全网关
服务与下载
支持与服务
在线升级
联系我们
二维码