发布于:2004-11-09 13:52:09
来自:站务休闲 / 闲聊茶吧
[复制转发]
近日,IE浏览器又出现一个严重的安全漏洞,恶意用户可以利用HTML电子邮件信息或恶意网页,控制计算机系统。由于利用该漏洞的代码已经被公布在互联网上,因此,目前这一漏洞具有高危险性。
IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出,新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时,都有可能会受到攻击。
目前,只有安装了Windows XP SP2的系统就不存在这一漏洞, Windows XP SP1和Windows 2000即使安装了所有的补丁,其所带的IE 6.0浏览器仍然存在这一漏洞。目前微软还没有发布相关的安全补丁。
针对该漏洞的建议
1、 使用Windows XP的用户,安装Windows XP SP2
2、 系统管理员还可以禁用活动脚本(active scri pting),阻止访问非主动链接
3、 在电子邮件中使用纯文本,这样也可以减少部分危险性
4、 浏览网页时提高警惕,不要随便进入不明网站,一旦发现IE浏览器失去响
应,立即终止IE进程,并断开网络连接,查找问题
5、 及时更新防病毒软件,并启动"实时监控"功能
"贝革热"病毒变种Worm_Bbeagle.AT
国家计算机病毒应急处理中心通过对互联网的监测,发现"贝革热"病毒出现了新的变种。该变种通过邮件和共享文件夹进行传播,病毒运行后修改注册表,在系统目录下创建文件。
病毒在本地搜索邮箱地址时,排除了安全厂商及相关机构的邮箱地址,避免过早的被这些企业、机构得到病毒样本。同时病毒还会终止一些安全软件的运行。病毒邮件的附件名称为price或joke,邮件的内容为":))"。由于该病毒特征较为明显,希望用户引起注意,遇到此类邮件立即删除。
病毒名称:Worm_Bbeagle.AT("贝革热"病毒变种)
其它英文命名:Win32.Bagle.AQ (Computer Associates)
Worm_Bbeagle.bf(瑞星)
Worm_Bbeagle.t(金山)
W32.Beagle.AV@mm (Symantec)
W32/Bagle.BC.worm (Panda)
WORM_BAGLE.AT (Trend Micro)
Bagle.AT (F-Secure)
W32/Bagle.bb@mm (McAfee)
W32/Bagle-AU (Sophos)
I-Worm.Bagle.at (Kaspersky)
W32/Bagle.AQ@mm (Norman)
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP
病毒特征:
1、生成病毒文件
病毒运行后在%System%目录下生成wingo.exe、wingo.exeopen、wingo.exeopenopen。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32)
2、修改注册表项
病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加
"wingo" = "%System%\wingo.exe"
病毒还会在HKEY_CURRENT_USER\Software\Microsoft\Params下添加
"Timekey" = "[ 随机变量 ]"
3、通过电子邮件传播
病毒通过电子邮件进行传播,病毒搜索被感染计算机内多种类型的文件(文件类型见文档末尾),从中找到邮件地址,并使用自带得SMTP引擎向这些地址发送病毒邮件,病毒同时会避免向一些包含特定字符的地址发送邮件(过滤的字符见文档末尾)。病毒邮件格式如下
发信人:虚假的地址
主题:(为下列之一)
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks :)
内容:
:))
附件名称:(为下列之一)
Price
price
Joke
附件的扩展名:(为下列之一)
COM
CPL
EXE
SCR
4、通过网络共享进行传播
病毒搜索包含字符串shar的文件夹,并在找到的文件夹下生成自身的拷贝,拷贝有多种名称,如"Kaspersky Antivirus 5.0"、"WinAmp 6 New!.exe"、"Porno Screensaver.scr"。
5、阻止安全软件的运行
病毒为了保护自身的运行,会终止一些与安全软件相关的进程,以便阻止他们的运行。
清除该病毒的一些建议:
1、终止病毒进程
在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择"任务管理器--〉进程",选中正在运行的进程wingo.exe、wingo.exeopen、wingo.exeopenopen,并终止其运行。
2、注册表的恢复
点击"开始--〉运行",输入regedit,
全部回复(5 )
只看楼主 我来说两句回复 举报
回复 举报