7月7日,瑞星公司发布橙色安全警报,微软视频控件(Microsoft Video ActiveX Control)漏洞导致的挂马网站攻击大幅增加,7月5日凌晨瑞星“云安全”系统首次监控到利用该漏洞的攻击代码出现,随后的5日6日短短两天内,监测到130万用户遭到利用该漏洞的攻击。
目前微软已经通报了该漏洞,但是还没有提供漏洞补丁。瑞星安全专家建议用户立刻下载使用免费的瑞星安全软件(http://all.rising.com.cn/download/transfer.asp?ver=risfree)(免费使用期为一个月)。“瑞星杀毒软件2009”和“瑞星全功能安全软件2009”中独有“网页防挂马”模块,采用“网页脚本行为分析技术”,无需微软补丁即可有效拦截利用该漏洞的挂马网站。
(瑞星2009成功拦截利用该漏洞的挂马网站)
瑞星安全专家表示,利用该漏洞的新木马病毒来势凶猛,预计7月7日被攻击的电脑数量还会大幅度增加,目前利用该漏洞的挂马网站已有1万多个。用户访问这些网站后就会中毒,被植入木马下载器、盗号木马等恶意程序。
(瑞星恶意网站监测网的数据mwm.rising.com.cn)
据瑞星安全专家介绍,该漏洞主要影响Windows XP、Windows 2003系统。由于Vista、Win 7系统采用了不同的安全机制,受到的影响比较小。瑞星公司作为微软MAPP项目的合作伙伴,已经将漏洞信息和利用代码提供给微软。微软已于昨日凌晨(北京时间)确认该漏洞,并向所有MAPP伙伴做出通报。该漏洞补丁正在紧张开发,但目前尚没有可用的微软官方补丁。
瑞星安全专家分析,产生漏洞的原因是用户系统中的msvidctl.dll组件不正确读取持久化的字节数组,攻击者可随意覆盖SEH或者RET,将EIP设置成任意数值,结合javascript堆喷射方式可远程执行任意代码,黑客不必让用户运行被恶意修改的视频文件就可以进行挂马攻击。
用户一旦访问被挂马的网站后,就会自动触发MPEG-2视频组件的msvidctl.dll组件,然后运行黑客植入的网页木马,最终下载大量盗号木马病毒,导致用户电脑系统异常甚至蓝屏,并盗取用户网游账号密码等个人信息。
瑞星2009产品的“木马入侵拦截-网站拦截”模块,采用了完善的“智能网页脚本行为分析”技术,能有效拦截利用该漏洞的挂马网站。针对此次漏洞,瑞星2009用户将无需升级,就可以把这些挂马网站所传播的木马病毒阻止在电脑之外。不仅如此,在今年5月份被曝的DirectShow视频开发包漏洞,“木马入侵拦截-网站拦截”功能也提前具有防御能力。
小贴士:
什么是瑞星橙色(二级)安全警报?
答:自从2004年起,针对全国性的新病毒疫情,瑞星推出安全预警系统,分为红色(一级)橙色(二级)、黄色(三级)和绿色(正常)四个级别,其中红色(一级)是指国内互联网受到大规模的病毒攻击,威胁范围和程度达到最高。
本次警报为2009年第二次警报,第一次警报为红色安全警报,针对IE7漏洞发出,2月19日,有高达866万人次网民被挂马网站攻击,所以发出红色警报。
附:MPEG2 0DAY漏洞分析报告
该漏洞表现在在MSVidCtl.dll(xpsp2:6.5.2600.2180,vista:6.5.6000.16386)中,MSVidCtl.dll为系统标准组件。产生漏洞的原因是不正确读取持久化的字节数组(VT_UI1|VT_ARRAY),攻击者可以通过构造特殊的文件触发该漏洞,最终导致以当前进程权限执行任意代码。
以下是存在漏洞代码的分析:
以6.5.2600.2180版本的MSVidCtl.dll为例:
.text:59F0D5E3 push edi
.text:59F0D5E4 mov edi, [ebp+arg_3C]
.text:59F0D5E7 mov eax, [edi]
.text:59F0D5E9 push ebx
.text:59F0D5EA push 2
.text:59F0D5EC lea ecx, [ebp+vt]