logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-08-20

1 本周通告时间
本次通告时间为2013年8月份第2周。
2 本周网络威胁级别 2级。
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
网御星云网络威胁级别说明

普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。
3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Generic 病毒
4. Virus.Acad.Pasdoc.gen 病毒
5. HiddenObject.Multi.Generic 隐藏对象
6. PSWTool.Win32.Dialupass.he 风险工具
7. Trojan.Acad.Qfas.b 木马
8. Net-Worm.Win32.Kido.ih 网络蠕虫
9. Trojan.Win32.StartPage 木马
10. Trojan.Script.Iframer 木马

关注恶意软件:Trojan-Dropper.Win32.Dycler.qwk
大小:954368字节
加壳方式:未加壳
创建文件:
%temp%\小牛多开.exe
%temp%\svchost.exe

主要行为:
木马运行后会遍历系统进程,查找是否有进程temp\svchost.exe,如果没有则从自身资源中释放文件%temp%\svchost.exe和%temp%\小牛多开.exe并运行。之后木马会打开http://tj.**454.com/2/t.htm?0803TL_XL,进行安装量统计。%temp%\svchost.exe运行后会执行“net stop "Windows Firewall/Internet Connection Sharing (ICS)"”来关闭Windows防火墙;从183.60.107.***:19991下载文件到%system32%\asianlan8.dll;遍历进程搜索explorer.exe,注入asianlan8.dll;遍历进程搜索game.exe,若存在则结束game.exe进程;创建%sysdir%\chinasougou.ime,安装输入法,使得激活输入法时会加载asianlan8.dll。asianlan8.dll被卡巴斯基检测为Trojan-GameThief.Win32.OnLineGames.pef,是一个《天龙八部》的盗号木马。
4 安全漏洞通告
4.1 Microsoft Windows 远程权限提升漏洞
发布日期:2013-08-13
受影响系统:
Microsoft Windows XP
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows RT
Microsoft Windows 8
Microsoft Windows 7
Microsoft Windows 2003
漏洞编号:
BUGTRAQ ID: 61673
CVE(CAN) ID: CVE-2013-3175
描述:
--------------------------------------------------------------------------------
Windows是微软公司推出的一款流行的窗口化操作系统。
Windows在处理发给共享主机的畸形异步RPC请求时存在权限提升漏洞。远程攻击者成功利用此漏洞可执行任意代码并完全控制受影响系统。

<*参考:Microsoft
链接:http://secunia.com/advisories/54394/
http://technet.microsoft.com/security/bulletin/MS13-062*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS13-062)以及相应补丁:
MS13-062:Vulnerability in Remote Procedure Call Could Allow Elevation of Privilege (2849470)
链接:http://technet.microsoft.com/security/bulletin/MS13-062
4.2 Microsoft Internet Explorer 内存破坏漏洞
发布日期:2013-08-13
受影响系统:Microsoft Internet Explorer 6 - 10
漏洞编号:
BUGTRAQ ID: 61675
CVE(CAN) ID: CVE-2013-3190
描述:
--------------------------------------------------------------------------------
Internet Explorer,简称IE,是微软公司推出的一款流行的网页浏览器。
Internet Explorer访问内存对象的方式存在远程代码执行漏洞,远程攻击者可利用此漏洞破坏内存,进一步执行任意代码。

<*参考:Ben Hawkes
van Fratric
链接:http://technet.microsoft.com/security/bulletin/MS13-059*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS13-059)以及相应补丁:
MS13-059:Cumulative Security Update for Internet Explorer (2862772)
链接:http://technet.microsoft.com/security/bulletin/MS13-059
4.3 Microsoft Internet Explorer 远程代码执行漏洞
发布日期:2013-08-13
受影响系统:Microsoft Internet Explorer 6 - 10
漏洞编号:
BUGTRAQ ID: 61663
CVE(CAN) ID: CVE-2013-3186
描述:
--------------------------------------------------------------------------------
Internet Explorer,简称IE,是微软公司推出的一款流行的网页浏览器。
Internet Explorer处理特定情况下的进程完整性级别分配存在权限提升漏洞,攻击者可利用此漏洞提升权限并执行任意代码。

<*参考:Fermin J. Serna (fjserna@ngsec.com)
链接:http://technet.microsoft.com/security/bulletin/MS13-059*>

建议:
-----------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS13-059)以及相应补丁:
MS13-059:Cumulative Security Update for Internet Explorer (2862772)
链接:http://technet.microsoft.com/security/bulletin/MS13-059
4.4 Microsoft Windows TCP/IP ICMPv6 远程拒绝服务漏洞
发布日期:2013-08-13
受影响系统:
Microsoft Windows Windows Server 2012
Microsoft Windows Windows RT
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows 8
Microsoft Windows 7
漏洞编号:
BUGTRAQ ID: 61666
CVE(CAN) ID: CVE-2013-3183
描述:
--------------------------------------------------------------------------------------------------------------------
Windows是微软公司推出的一款流行的窗口化操作系统。
Windows TCP/IP栈内存在拒绝服务漏洞,此漏洞源于TCP/IP栈没有正确分配进栈ICMPv6报文的内存。远程攻击者利用此漏洞可导致目标系统停止响应。

<*参考:Microsoft
链接:http://secunia.com/advisories/54440/
http://technet.microsoft.com/security/bulletin/MS13-065 *>

建议:
--------------------------------------------------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS13-065)以及相应补丁:
MS13-065:Vulnerability in ICMPv6 could allow Denial of Service (2868623)
链接:http://technet.microsoft.com/security/bulletin/MS13-065
4.5 ISC BIND 9 SRTT算法授权服务器选择安全漏洞
发布日期:2013-08-13
受影响系统:ISC BIND 9.x
漏洞编号:BUGTRAQ ID: 61774
描述:
BIND是一个应用非常广泛的DNS服务器软件。
ISC BIND 9内的SRTT算法在实现中存在漏洞,理论上攻击者可利用此漏洞手动降低递归服务器与授权服务器相关联的SRTT值,从而影响特定授权服务器从NS资源记录集值内确定要查询的域服务器。SRTT选择不仅影响授权服务器,也影响递归或授权混合服务器。攻击者可利用此漏洞执行DNS缓存投毒等DNS相关的攻击。

<*参考:Roee Hay
Jonathan Kalechstei
Gabi Nakibly

链接:https://kb.isc.org/article/AA-01030 *>

建议:
-----------------------------------------------------------------------------------------------------------------
厂商补丁:
ISC
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.isc.org/software/bind/advisories/
5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn
 

北京网御星云信息技术有限公司
2013-08-19
 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
IPS特征库升级服务
防火墙
入侵检测系统
网御WEB防火墙Leadsec-7GXWAF-ZF
服务与下载
支持与服务
在线升级
联系我们
二维码