微软在上个月月底发布的2269637号安全公告中公开披露了“Dll劫持漏洞(DLL Hijacking Exploit)”,利用该漏洞病毒木马可以随着文档的打开而加载自身,绕过杀软的检测而获得“系统控制权”。目前已发现包括Windows XP、Windows 7及数百款常用软件都可能受该漏洞影响。目前,微软已经发布一款临时工具来解决此问题,而国内安全厂商金山和瑞星都发布了相关的专杀工具。
DLL劫持漏洞的一些特性
据悉,当攻击者利用DLL劫持漏洞(DLL Hijacking Exploit)构造一个特殊的DLL文件,将这个DLL文件打包到一些JPG、PPT、MP3、MPG、HTML文件中分发,用户解压后双击打开这些文档,病毒即被立即触发。
“DLL挟持类病毒”之所以可以躲避杀毒软件查杀,甚至绕过主动防御功能,是因为病毒在加载时,会借助正常软件来运行。正常的商业软件通常具有正规数字签名,目前主流的安全软件在监测病毒时,对于含有正规数字签名的程序往往会采取放行的原则,这就导致病毒注入到常用软件后,杀毒软件验证了软件签名进行放行,随后病毒即可获取“免死金牌”实施破坏。
由于相关应用程序运行时需要在当前路径,特别是在系统路径下搜索和加载必要的库文件(包括扩展名为DLL的文件),若对应库文件存在编写不规范等问题,便会导致其被黑客利用,加载各类病毒木马。由于包括Windows XP和Windows 7等操作系统均采用类似技术,近百款第三方应用软件也应用此项技术,导致大量用户面临此类风险。
DLL劫持漏洞的危害
大量第三方常用软件由于软件编程安全机制的问题,存在DLL挟持的缺陷,容易导致遭受黑客远程攻击。在安全组织exploit-db公布的存在Dll劫持漏洞的软件列表中,可以发现大家十分熟悉的应用软件,包括:AutoCAD 2007、Daemon tools、Winamp、Media Player Classic、Mozilla Thunderbird、Microsoft Office、Adobe Photoshop 、Adobe Dreamweaver CS5、Skype、Snagit 10、Safari、WinDVD、Opera、Firefox等等。简单的讲,安装了上述软件的电脑,当用户在打开一个图片、音乐、视频、BT种子、网页文件都有可能感染病毒。
据介绍,该漏洞影响Windows XP SP2以上版本的操作系统,就连安全性能大幅提升的Windows 7也会受到攻击,所以随着病毒的不断增加,可能遭受破坏的用户电脑将快速增加。目前,安全厂商已多次截获利用该漏洞,恶意篡改用户浏览器首页,甚至盗取网络财产的木马病毒。
如何防范DLL劫持漏洞
由于DLL劫持漏洞能够使病毒木马绕过杀毒软件的检测,影响多个操作系统和数百款常用软件,因此其危害不容忽视,必须严加防范该漏洞。
目前微软已经发布了一款临时工具来解决DLL劫持漏洞的问题,当攻击者利用DLL加载漏洞在管理员升级受感染的应用软件而发起攻击时,该临时工具可以拦截那些攻击。
国内安全厂商金山毒霸也率先推出可提供对DLL劫持免疫的专杀工具,下载地址:
http://cu003.www.duba.net/duba/tools/dubatools/usb/fixdllloader.exe