10月30日病毒与木马预报

我不是专家

谨防“蚁案贼”变种窃取RO仙境网游装备物品


江民今日提醒您注意：在今天的病毒中Trojan/PSW.Maran.ri“蚂案贼”变种ri和Trojan/PSW.GamePass.abfv“网游大盗”变种abfv值得关注。

　　病毒名称：Trojan/PSW.Maran.ri

　　中 文 名：“蚂案贼”变种ri

　　病毒长度：96768字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.Maran.ri“蚂案贼”变种ri是“蚂案贼”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“蚂案贼”变种ri运行后，在被感染计算机上释放一个恶意程序和一个恶意DLL组件文件。自我注册为系统服务，实现木马开机自动运行。修改注册表，实现该恶意DLL组件文件开机自动运行。在后台秘密监视用户打开的窗口标题，盗取网络游戏《RO 仙境》玩家的游戏帐号、游戏密码、仓库密码、角色等级等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“蚂案贼”变种ri还可以自升级。

　　病毒名称：Trojan/PSW.GamePass.abfv

　　中 文 名：“网游大盗”变种abfv

　　病毒长度：32379字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.GamePass.abfv“网游大盗”变种abfv是“网游大盗”木马家族的最新成员之一，采用Delphi6.0-7.0编写，并经过加壳处理。“网游大盗”变种abfv运行后，自我复制到指定目录下并释放木马DLL组件文件，将文件属性设置为隐藏、存档。修改注册表，实现木马开机自动运行。将木马释放出来的恶意DLL组件文件注入到被感染计算机系统所有用户级权限的进程中加载运行。采用特殊技术，致使木马DLL组件文件在运行时不存在于硬盘中。连接指定站点，获取被感染计算机的IP地址和所在城市。利用HOOK技术盗取用户的QQ帐号和QQ密码等资料信息，并在后台发送到骇客指定的远程服务器站点上。在被感染计算机系统的后台利用“explorer.exe”进程连接指定站点，收集用户的个人信息，并在后台将用户个人信息发送到骇客指定的远程服务器站点。另外，如果被感染计算机上存在E盘，“网游大盗”变种abfv还会在被感染计算机系统的E盘下生成磁盘映像劫持文件“AutoRun.Inf”（自动播放文件）和病毒体文件“AUTORUN.EXE”，致使用户一双击E盘木马就会自动运行。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级杀毒软件，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

　　4、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

我不是专家

盛大密宝用户当心病毒\"网游盗窃者49152\"


\"木马下载号37888\"(Win32.TrojDownloader.Baser.W.37888)这是一个木马下载者。当病毒运行时会通过网络下载其他的木马文件至本机并执行。另外，病毒运行后还会衍生病毒文件至本机，创建服务，和在每个盘的根目录下。

\"网游盗窃者49152\"(Win32.Troj.OnlineGamesT.ck.49152)这是一个盗号木马，专门盗取使用盛大密宝绑定的网络游戏账号或盛大通行证，在绑定盛大通行证能够使用密宝保护的游戏有：传奇世界、盛大音乐、起点中文网、边锋、浩方平台、泡泡堂、梦幻国度、冒险岛等。

一、\"木马下载号37888\"(Win32.TrojDownloader.Baser.W.37888) 威胁级别：★

该病毒是一个木马下载器，当运行该病毒后，会在%system32%下产生servver.exe病毒文件。而且还会在用户的机器各盘符中生成AUTO病毒，分别是AutoRun.inf和servver.exe病毒文件，且文件属性已经被设置为系统隐藏属性，如果用户没有把隐藏属性显示出来，则无法轻易看到该病毒隐藏文件。而且当用户在左键双击进入该盘时，病毒会随之触发。当触发病毒后，会通过已经生成的servver.exe病毒文件从网络上下载更多的病毒文件并运行，其下载的路径为：h**p://ads.ganbibi.com/*.exe。当病毒文件被下载并在系统中运行时，用户的系统速度明显变慢，因为病毒在占用内存。该病毒给用户带来极大的危害。

二、\"网游盗窃者49152\"(Win32.Troj.OnlineGamesT.ck.49152) 威胁级别：★

该病毒的主要作用是盗取用户的网游信息。当病毒成功运行后，会自删除病毒源文件，使用户无法找到病毒源。病毒通过遍历的方式，监测打开的进程是否有RavMon.exe（瑞星进程）、AVP.AlertDialog（卡巴警告窗口），当发现，则会立即关闭，使其杀软没有防御功能，用户机器的安全性将会大大降低。而且该病毒生成的病毒文件csdoor0.dll，其命名规则是csdoor(N+1).dll。病毒还会注入到explorer.exe系统进程，监控是否有指定的游戏进程，当发现所指定的进程时，则进行病毒操作，通过消息钩子，将截取的信息发送到http://www.w***8.org/o***nd/cs/lin.asp?a=&s=&u=&p=&sp=&r=&l=0&m=0，使盗窃者成功盗取用户的账号信息，造成用户的网络虚拟财产受到损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

我不是专家

木马\"QQ通行证变种YVR\"盗取用户的QQ密码



据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“QQ通行证变种YVR（Trojan.PSW.Win32.QQPass.yvr）”病毒。该病毒在后台运行，盗取QQ密码。

本日热门病毒：

“QQ通行证变种YVR（Trojan.PSW.Win32.QQPass.yvr）”病毒：警惕程度★★★，该病毒盗取QQ密码，通过优盘等移动存储类产品传播。依赖系统：WINNT/2000/XP/2003。

这是一个木马病毒，它会搜索用户的QQ安装位置，通过对QQ运行情况的检测来盗窃密码。病毒运行之后，会在优盘、移动硬盘等设备中的根目录下建立具有隐藏性质的newumsg.exe、newautorun.inf、autorun.inf等病毒文件，然后便等待用户的操作，一旦用户双击盘符，病毒既可实现自动运行并以此传播。由于病毒通过优盘传播，所以极易感染其它电脑并且不容易被发现。

反病毒专家建议电脑用户采取以下措施预防该病毒：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；

2、很多病毒利用漏洞传播，一定要及时给系统打补丁；

3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；

4、为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播。

5、打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。

我不是专家

Windows Services for UNIX本地权限提升漏洞


发布日期：2007-09-11

更新日期：2007-09-12

受影响系统：

Microsoft Windows Services for UNIX 3.0

- Microsoft Windows XP SP2

- Microsoft Windows Server 2003 SP2

- Microsoft Windows Server 2003 SP1

- Microsoft Windows 2000 SP4

Microsoft Windows Services for UNIX 3.5

- Microsoft Windows XP SP2

- Microsoft Windows Server 2003 SP2

- Microsoft Windows Server 2003 SP1

- Microsoft Windows 2000 SP4

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25620

CVE(CAN) ID: CVE-2007-3036

Microsoft Windows是微软发布的非常流行的操作系统。

Windows操作系统所安装的Windows Services for UNIX和基于UNIX的应用程序子系统组件没有正确的处理setuid二进制程序，本地攻击者可以登录到系统并运行特制的setuid二进制程序获得权限提升。

<*来源：Brian A. Reiter

链接：http://secunia.com/advisories/26757/

http://www.us-cert.gov/cas/techalerts/TA07-254A.html

http://www.microsoft.com/technet/security/Bulletin/MS07-053.mspx?pf=true

*>

建议：

--------------------------------------------------------------------------------

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS07-053）以及相应补丁:

MS07-053：Vulnerability in Windows Services for UNIX Could Allow Elevation of Privilege (939778)

链接：http://www.microsoft.com/technet/security/Bulletin/MS07-053.mspx?pf=true

我不是专家

Agent ActiveX控件存在畸形URL栈溢出漏洞

发布日期：2007-09-11

更新日期：2007-09-12

受影响系统：

Microsoft Windows 2000SP4

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25566

CVE(CAN) ID: CVE-2007-3040

Microsoft Windows是微软发布的非常流行的操作系统。

Windows系统所带的Agent ActiveX控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户系统。

Windows操作系统所安装的Microsoft Agent ActiveX控件用于使用动画人物引导用户了解如何使用计算机，该ActiveX控件注册如下：


文件：agentdpv.dll
ProgID：Agent.Control
CLASSID：D45FD31B-5C6E-11D1-9EC1-00C04FD7081F


Microsoft Agent控件处理某些特制URL的方式存在栈溢出漏洞，如果用户受骗访问了恶意网页的话攻击者就可以在受影响的系统上远程执行指令。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

<*来源：Yamata Li

链接：http://secunia.com/advisories/26753/

http://marc.info/?l=bugtraq&m=118953326322492&w=2

http://www.us-cert.gov/cas/techalerts/TA07-254A.html

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=592

http://www.microsoft.com/technet/security/Bulletin/MS07-051.mspx?pf=true

*>

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 阻止在Internet Explorer中运行Agent ActiveX控件，将以下文本粘贴于记事本等文本编辑器中。然后，使用.reg文件扩展名保存文件并双击导入。


Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{D45FD31B-
5C6E-11D1-9EC1-00C04FD7081F}]

\"Compatibility Flags\"=dword:00000400

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{F5BE8BD2-
7DE6-11D0-91FE-00C04FD701A5}]

\"Compatibility Flags\"=dword:00000400

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{4BAC124B-
78C8-11D1-B9A8-00C04FD97575}]

\"Compatibility Flags\"=dword:00000400

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{D45FD31D-
5C6E-11D1-9EC1-00C04FD7081F}]

\"Compatibility Flags\"=dword:00000400

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{D45FD31E-
5C6E-11D1-9EC1-00C04FD7081F}]

\"Compatibility Flags\"=dword:00000400


* 注销AgentSvr.exe，在命令行处或者在登录或计算机启动脚本中输入下列命令：

%windir%msagentagentsvr.exe /unregserver

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行活动脚本之前进行提示。

* 将Internet和本地intranet安全区设置为“高”以在运行ActiveX控件和活动脚本之前要求提示。

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS07-051）以及相应补丁:

MS07-051：Vulnerability in Microsoft Agent Could Allow Remote Code Execution (938827)

链接：http://www.microsoft.com/technet/security/Bulletin/MS07-051.mspx?pf=true

补丁下载：

http://www.microsoft.com/downloads/details.aspx?FamilyId=7cd248ed-d154_4dce-89ef-ceefd2700965&displaylang=en

我不是专家

Samba NSS_Info插件存在本地权限提升漏洞


发布日期：2007-09-11

更新日期：2007-09-12

受影响系统：

Samba Samba 3.0.25 - 3.0.25c

不受影响系统：

Samba Samba 3.0.26

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 25636

CVE(CAN) ID: CVE-2007-4138

Samba是一套实现SMB（Server Messages Block）协议、跨平台进行文件共享和打印共享服务的程序。

idmap_ad.so库中为Winbind提供了nss_info扩展用于从活动目录域控制台检索用户的主目录路径、登录shell和主组id等，可通过将winbind nss info的smb.conf选项定义为sfu或rfc2307来启用这个功能。

Windows的Identity Management for Unix和Services for Unix MMC插件允许为用户分配一个与Windows主组所不同的Unix客户端主组。在启用了rfc2307或sfu nss_info插件的情况下，如果缺少RFC2307或SFU主组属性，Winbind就会使用getpwnam() C库调用为查询的域用户分配主组ID 0，这就允许用户获得了root权限。

<*来源：Gerald (Jerry) Carter （jerry@samba.org）

链接：https://bugzilla.samba.org/show_bug.cgi?format=multiple&id=4927

http://marc.info/?l=bugtraq&m=118952453407934&w=2

http://secunia.com/advisories/26764/

*>

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 确保所有存储在AD中的用户都分配了Unix主组。

* 不再使用sfu或rfc2307 “winbind nss info”插件。

厂商补丁：

Samba

-----

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://us4.samba.org/samba/ftp/patches/security/samba-3.0.25-CVE-2007-4138.patch

http://www.samba.org/samba/ftp/stable/samba-3.0.26.tar.gz