Websense预警:ANI漏洞攻击将大规模爆发(图)

　　Websense安全实验室（Websense Security Labs）宣布正在跟踪100多个正在传播ANI"零日"漏洞攻击的站点。该漏洞的Proof-of-concept(POC)攻击代码现在已经可以下载，未来将看到更多的攻击形式浮出水面。

　　据悉，早在2006年12月份，微软就已经公布了该漏洞。该漏洞可能在用户使用IE和Outlook的时候，导致缓冲区溢出，自动下载恶意木马程序。该漏洞出现在微软Windows光标格式文件(.ANI)，不仅会影响Windows 2000/Windows XP/Windows 2003所有版本，而且微软最新系统Vista和Outlook也会受该漏洞影响。

　　目前该漏洞的大多数攻击方式表现为下载并安装通用的密码窃取代码。如下面的图表显示，大多数的传播站点主机分布在中国，并且大多数都感染的是.com的域名站点。

图示1：IP地址所在国家和地区分布图

图示2：不同域名的网站

图示3：创建恶意代码的站点

　　因为POC代码现在已经可以在黑客网站上下载，微软也还没有提供补丁，而Websense已经跟踪到的一些攻击者已经感染了上百个网站，这个漏洞的攻击将继续浮出水面，被感染的站点数量会越来越多。

　　来自中国的报告也指出该蠕虫的扩散是利用了下面这个网站上的漏洞代码：http://www.cisrt.org/enblog/read.php?68。

　　Websense正在扫描该站点，同时建议用户阻挡所有未知网站的.exe后缀文件的访问，因为大多数漏洞攻击是通过下载漏洞感染网站上的.exe程序来完成攻击的。