【2009年7月8日台北訊】吉瑞科技今日針對惡意程式攻擊微軟MSVidCtl (Microsoft Video Streaming ActiveX Control)零時差漏洞提出警訊。吉瑞科技指出，此波攻擊自7月6日開始散播，至目前為止已發現有上千個大陸網站含有惡意程式碼，部分惡意程式碼下載連結已經失效，台灣也有部份網站被值入相關惡意連結(如www(dot)3br(dot)org/c.js)。使用者若瀏覽包含此惡意連結的網頁，將會下載一個名為TR/Crypt.FKM.Gen的惡意程式執行檔。感染此惡意程式後，電腦中的個人資料有被竊取的風險。

MSVidCtl零時差漏洞受影響軟體(請參考微軟 972890)：

• Windows XP Service Pack 2和Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems

 

MSVidCtl零時差漏洞暫時解決方案：

在微軟尚未釋出此漏洞修復程式前，請利用KillBit方式修改註冊碼，將MSVidCtl功能暫時關閉。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]
"Compatibility Flags"=dword:00000400

其中{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}的值，如下所示：

{011B3619-FE63-4814-8A84-15A194CE9CE3}

{0149EEDF-D08F-4142-8D73-D23903D21E90}

{0369B4E5-45B6-11D3-B650-00C04F79498E}

{0369B4E6-45B6-11D3-B650-00C04F79498E}

{055CB2D7-2969-45CD-914B-76890722F112}

{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}

{15D6504A-5494-499C-886C-973C9E53B9F1}

{1BE49F30-0E1B-11D3-9D8E-00C04F72D980}

{1C15D484-911D-11D2-B632-00C04F79498E}

{1DF7D126-4050-47F0-A7CF-4C4CA9241333}

{2C63E4EB-4CEA-41B8-919C-E947EA19A77C}

{334125C0-77E5-11D3-B653-00C04F79498E}

{37B0353C-A4C8-11D2-B634-00C04F79498E}

{37B03543-A4C8-11D2-B634-00C04F79498E}

{37B03544-A4C8-11D2-B634-00C04F79498E}

{418008F3-CF67-4668-9628-10DC52BE1D08}

{4A5869CF-929D-4040-AE03-FCAFC5B9CD42}

{577FAA18-4518-445E-8F70-1473F8CF4BA4}

{59DC47A8-116C-11D3-9D8E-00C04F72D980}

{7F9CB14D-48E4-43B6-9346-1AEBC39C64D3}

{823535A0-0318-11D3-9D8E-00C04F72D980}

{8872FF1B-98FA-4D7A-8D93-C9F1055F85BB}

{8A674B4C-1F63-11D3-B64C-00C04F79498E}

{8A674B4D-1F63-11D3-B64C-00C04F79498E}

{9CD64701-BDF3-4D14-8E03-F12983D86664}

{9E77AAC4-35E5-42A1-BDC2-8F3FF399847C}

{A1A2B1C4-0E3A-11D3-9D8E-00C04F72D980}

{A2E3074E-6C3D-11D3-B653-00C04F79498E}

{A2E30750-6C3D-11D3-B653-00C04F79498E}

{A8DCF3D5-0780-4EF4-8A83-2CFFAACB8ACE}

{AD8E510D-217F-409B-8076-29C5E73B98E8}

{B0EDF163-910A-11D2-B632-00C04F79498E}

{B64016F3-C9A2-4066-96F0-BD9563314726}

{BB530C63-D9DF-4B49-9439-63453962E598}

{C531D9FD-9685-4028-8B68-6E1232079F1E}

{C5702CCC-9B79-11D3-B654-00C04F79498E}

{C5702CCD-9B79-11D3-B654-00C04F79498E}

{C5702CCE-9B79-11D3-B654-00C04F79498E}

{C5702CCF-9B79-11D3-B654-00C04F79498E}

{C5702CD0-9B79-11D3-B654-00C04F79498E}

{C6B14B32-76AA-4A86-A7AC-5C79AAF58DA7}

{CAAFDD83-CEFC-4E3D-BA03-175F17A24F91}

{D02AAC50-027E-11D3-9D8E-00C04F72D980}

{F9769A06-7ACA-4E39-9CFB-97BB35F0E77E}

{FA7C375B-66A7-4280-879D-FD459C84BB02}

 

此惡意程式碼，如下圖所示：

 

此惡意程式執行檔分析結果，如下所示：

[新增執行程序]

C:\Temp\directshow_0day_sample\svchost.exe

[DLL注入]

C:\WINDOWS\system32\func.dll

[新增檔案]

C:\autorun.inf

C:\WINDOWS\phpq.dll

C:\WINDOWS\system32\func.dll

至於惡意程式檔案掃描結果，請參考

http://www.virustotal.com/analisis/2bac100f366b21830a16d48e90a1cdd1460d4bd0b2a938d9137993012a92b2cc-1247020257

http://www.virustotal.com/analisis/b042bd0b82570a383124920aa76bec4893ff4b688ab5d4de029054c85a36c04f-1247021252

 

【有關吉瑞科技】

長期觀察與研究資訊安全威脅，以及專注於研發與代理資安軟硬體產品，並且提供專業資安服務給客戶，以降低客戶所承受的安全威脅風險。若欲瞭解更多相關資訊，歡迎瀏覽吉瑞科技公司網頁 www.g-ray.com.tw。

※無利益揭露：以上內容由該廠商提供，本站免費刊登，詳閱「供稿說明」。

（以上訊息皆由該公司所提供，如有錯漏以其正式公告為主。歡迎部份引用，需標示網址：http://sinwen.com/?p=3650 ）


小編:編輯部 | 發表時間:2009/07/08 | 分類: 安全防護 | Trackback 引用網址     

---