科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道终端安全微软漏洞频发 节日上网仍需谨慎

微软漏洞频发 节日上网仍需谨慎

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

9月15日,微软向全球用户发布9月安全更新,共修补了9个漏洞,涉及Windows、Outlook、写字板等程序的多个安全漏洞,涉及的漏洞也多被黑客用于网页挂马及恶意邮件攻击。

作者:ZDNet安全频道 来源:ZDNet安全频道 2010年9月21日

关键字: KILL 冠群金辰 微软

  • 评论
  • 分享微博
  • 分享邮件

  9月15日,微软向全球用户发布9月安全更新,共修补了9个漏洞,涉及Windows、Outlook、写字板等程序的多个安全漏洞,涉及的漏洞也多被黑客用于网页挂马及恶意邮件攻击。

  中秋佳节将至,冠群金辰祝愿广大用户节日快乐!阖家欢乐!同时冠群金辰公司也特别提醒广大用户:在节日期间,注意保护自己的数据安全!

  冠群金辰公司建议个人用户及时安装以下补丁:

  KB2347290 (MS10-061) : Windows打印机服务远程代码执行漏洞。可用于实行恶意代码。

  KB975558 (MS 10-062) : Windows-MPEG4编解码器远程代码执行漏洞。当用户打开一个恶意的媒体文件时、浏览恶意网页打开包含恶意文件的文件夹时,都可能执行恶意代码。以上两个漏洞相对而言更加危险!

  KB2320113 (MS 10-063): Windows Unicode脚本处理组件远程代码执行漏洞。当用户浏览恶意的页面时,可能会执行恶意代码。

  KB2315011 (MS 10-064): 微软Outlook远程代码执行漏洞。当用户使用存在漏洞的Outlook连接到Exchange服务器并打开恶意邮件时,可能会执行恶意代码。

  KB982802 (MS10-066) :Windows远程过程调用组件远程代码执行漏洞。

  KB2259922 (MS10-067):Windows写字板中文本转换器远程代码执行漏洞。用户打开恶意文件时,可能会执行恶意代码。

  KB983539 (MS10-068): Windows本地安全权威子系统服务(LSASS)远程代码执行漏洞。

  KB2121546(MS10-069): Windows客户服务器运行时子系统(CSRSS)本地权限提升漏洞。

  以上几个漏洞多涉及本地提权或远程代码执行,极有可能被黑客利用,建议用户及时安装。微软曾透露将在本月修复13个漏洞,至此已修复9个。

  我们建议用户持续关注微软的最新动态,及时安装重要的安全补丁,不随意访问未知信息网站,不随意下载安装可疑的程序和浏览器插件,及时更新防病毒软件病毒库。

  一周关注病毒:

  病毒名称:Win32.Matcash.A

  病毒别称:Matcash (McAfee)

  Win32/Matcash!generic

  RiskTool.Win32.Starter.a (Kaspersky)

  病毒属性:木马

  危害性: 中等危害

  病毒特性:

  Win32/Matcash.A是一种多成分的特洛伊病毒,能够下载并运行任意文件。

  感染方式:

  Win32/Matcash.A会在%Windows%目录中生成2个文件:svchosts.lzma和unsvchosts.lzma

  解压后,在%Windows%目录中生成两个文件:svchosts.exe和unsvchosts.exe

  随后压缩文件被删除。

  Matcash生成一个Class ID,从以下注册表键值读取这些信息:

  HKLM\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~Mhz

  HKLM\HARDWARE\DESCRIPTION\System\SystemBiosDate

  HKLM\HARDWARE\DESCRIPTION\System\VideoBiosDate

  例如,Class ID是{18AD7F03-09CA-3081-0221-072902003d}。

  随后病毒运行svchosts.exe文件,那么就会生成以下键值:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ =

  "%Program Files Common%\\Update.exe" te-110-12-0000257"

  病毒还在%Program Files Common%\目录中生成以下压缩文件:

  directorexe.lzma

  directordll.lzma

  这些文件解压缩后在相同目录中生成以下文件:

  Update.exe

  system.dll

  完成这些操作后,压缩文件就会被删除,并会运行Update.exe文件。

  svchosts.exe文件安装一个名为"COM+ Messages"的服务,在系统启动时运行。这个服务会检查以下注册表键值是否存在:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

  如果没有这个键值,就会重新生成这个键值,并重新安装以上文件。

  危害:

  下载和执行恶意程序

  本周常见病毒列表:

病毒名称

特性

Win32.SillyBHO

下载器类木马,给用户浏览器添加插件;

GIF.EXEDropper

后缀是.gif的图片文件,一般在文件的末尾添加<iframe>函数代码连接到其他有害信息URL,通常被挂马网站使用;

Win32/Gamepass

近期最常见的木马程序也是数量最多的家族,本周共捕获6种变体; 

Win32.Wapomi.A

NONE;

Win32.Zuten!generic

盗取在线游戏的木马;

Win32.HookDll

autorun类蠕虫,模拟系统子目录图标,隐含根目录下的文件夹;

JS/CVE-2010-0249!exploit 

IE极光漏洞利用脚本

JS.CVE-2010-0806exploit

IE漏洞利用脚本;

JS.MSDirectShowexploit

微软DirectShow漏洞类脚本,通常为挂马病毒使用。

Win32.QQPass

盗号木马类

Win32.Sality.AK

是一种多形态病毒,感染Win32 PE可运行程序

Win32.Wapomi.BJ

网游盗号类;

Win32.Lolyda.HK

网游盗号类木马

Win32.Onlinegame!sgeneric

网游盗号类木马

Trojan.Win32.StartPage

修改IE等浏览器主页的木马程序;

Win32.Sality.AA

Win32/Sality.AA 是一种多形态病毒,感染Win32 PE可运行程序。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章