在安全性上被寄予很大希望的Vista操作系统,近日爆出首个重大漏洞。2007年3月29日,国内安全厂家发现该漏洞已经开始被黑客利用,使用Windows Vista和XP的用户,在访问带毒网站时会被威金病毒、盗号木马等多种病毒感染。据监测,国内已有近十个网站被黑客攻陷。
此漏洞影响Windows XP以上操作系统和IE6以上的浏览器,微软最新的Vista和IE7都不能幸免,目前微软还没有发布此漏洞的补丁。ANI文件是Windows鼠标动态光标文件,由于Vista等系统在处理ANI文件的方式上存在漏洞,黑客可以构造特殊格式的ANI文件,当用户浏览含有该文件的网页,或点击该文件就会自动下载运行黑客指定的病毒、木马及后门程序等。目前利用该漏洞的病毒中,威金(Worm.Viking)变种及窃取网络游戏的木马病毒占多数。
现象描述:
“光标漏洞”蠕虫的大小为13K左右,病毒运行后,会复制自身到下面目录:%SysDir%\sysload3.exe
并添加注册表键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SysDir%\sysload3.exe"
这样,病毒就可以随Windows系统启动自动运行。
病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型(.HTML .ASPX .HTM .PHP .JSP .ASP)网页文件,植入利用ANI文件处理漏洞的恶意代码。
“光标漏洞”病毒除了具备“熊猫烧香”所有的传播特征外,还可以通过电子邮件传播,病毒邮件特征如下:
发件人: i_love_cq@sohu.com主题:你和谁视频的时候被拍下的?给你笑死了!正文:看你那小样!我看你是出名了!你看这个地址!你的脸拍的那么清楚!你变明星了!http://macr.microfsot.com/
病毒还会复制自身到各逻辑磁盘盘根目录下,并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒,造成再次感染。这点与“熊猫烧香”通过U盘激活自身从而“死灰复燃”的特征如出一辙。
“光标漏洞”还会修改系统hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。
专家建议:
目前“光标漏洞”蠕虫已经产生了5个变种,在微软推出相应安全补丁之前,针对该病毒及其变种,51CTO安全频道建议广大计算机用户采取如下措施减轻安全威胁:
1、提高自身的网络安全意识,不要登陆一些不知名的小网站;
2、在打开陌生邮件以及IM聊天工具中传送的网络链接前,一定要开启杀毒软件的防火墙、实时监控等功能;
3、以文本方式而不是HTML方式打开邮件。这可以避免被入侵者通过发送邮件的方式进行攻击。
4、和以往的很多漏洞不同,这个漏洞也可能影响FireFox和Opera等浏览器。使用这些第三方浏览器可以降低被攻击的可能,但并不能绝对避免攻击。所以建议在微软发布安全补丁之前,尽可能减少使用任何浏览器访问网站。即使是那些合法的站点也可能因为被入侵而插入恶意代码。在必须访问的时候,应尽可能使用FireFox或Opera等浏览器。
5、打开资源浏览器的“工具->文件夹选项”菜单,在“Web 视图”中选择“使用Windows 传统风格的文件夹”。这个配置可以避免在资源浏览器中打开包含恶意动画光标文件而导致的危害。
6、如果您的操作系统是Windows XP/2003/Vista,请参考下面这个链接,将DEP配置为“为除下列选定程序之外的所有程序和服务启用 DEP”:
http://www.microsoft.com/china/technet/security/prodtech
/windowsxp/depcnfxp.mspx。
51CTO安全频道提示:虽然以上的措施不能消除漏洞,但是可以大大降低因为该漏洞而被入侵的风险。