Re: [Log ] svchost.exe的問題..

看板AntiVirus (防毒)作者kukulcan (kkc)時間18年前 (2006/08/14 02:18)推噓12(12推 0噓 4→)

留言16則, 14人參與討論串1/2 (看更多)

作者澄清 2006/08/15 抱歉，我必須修正本文，關於此攻擊程式對於Windows XP繁體版之行為我之前說『該攻擊程式對於繁體中文不會造成嚴重傷害』今天實驗證實我昨天說的是錯的該攻擊程式可以對沒有修補過的WinXP SP1中文版開啟後門更可以造成其他嚴重的傷害，請各位小心這是一個真實的事件一場生吞活剝的網路攻擊。首先， Microsoft 在 2006年8月8日公佈了編號為 MS06-040 的系統漏洞 http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx (中文的資訊在8/10公佈) https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-040.mspx 這個弱點公告說了什麼？其實就在這一行講得清清楚楚： Server 服務中的弱點可能會允許遠端執行程式碼 (921883) 講白話，就是說某個Server程式具有漏洞，攻擊者可以透過這個漏洞，在你的電腦上執行任意他想要做的動作。這種漏洞跟blaster的MS03-026、Sasser的MS04-011、或是PNP MS05-039 一樣危險。換言之，處理不好，就可能造成與疾風病毒同樣嚴重的傷害。 Ok，暗黑莫非定律『情勢只要有變糟糕的可能，就會一路爛下去』首些我找到一些國外資安的討論在 8/11 號 eEye這公司提供了 MS06-040弱點掃描軟體 http://www.it-observer.com/news/6660/ eeye_offers_free_ms06_040_vulnerability_scanner/ 其中有一句駭人聽聞的說法： This vulnerability was being exploited in the wild as a "zero day" attack previous to Microsoft's patch release. 什麼意思呢？這個漏洞遠在MS自己發現前，就已經被 "其他高人"所發現，更可能早就被加以利用與攻擊。換句話說，這個漏洞可能在7月甚至 6月就已經被發現了。而且當時沒有任何修補與防禦的辦法。某些人可能早已葬身與此，只是他們不知道而已。之後，更可怕的消息出來了。 http://isc.sans.org/diary.php?storyid=1582&rss MS06-040 exploit(s) publicly available 什麼意思呢？針對 MS06-040 的攻擊程式已經『對外公佈』了... 這代表寫這種蠕蟲已經不是 "某些人的秘密技術" 任何人只要能夠找到這個攻擊程式，加以修改，就是一個獨一無二的新蠕蟲。然後就可以在網路上散佈，大肆攻城掠地。沒錯，事情果然是這麼糟糕...運用這種攻擊技術的蠕蟲已經出現了... http://www.tweakness.net/index.php?topic=2809 http://www.eweek.com/article2/0,1895,2002132,00.asp "With Exploits Out, MS Braces for Worm Attack" http://news.yahoo.com/s/cmp/191901665 "Windows Worm Warnings No Joke" 這邊有一些比較技術性的說明與現象的發覺： http://isc.sans.org/diary.php?storyid=1595 "Programs That Request A Lot Of Contiguous Memory May Fail After Security Update Is Applied (NEW)" http://isc.sans.org/diary.php?storyid=1592 *MS06-040 exploit in the wild (NEW) http://isc.sans.org/diary.php?storyid=1593 "MS06-040 wgareg / wgavm update (NEW)" 我想，上面的文章很明確的記載他們發現到的惡意攻擊、攻擊方式，與執行檔名稱。 Ok, 故事到這裡，已經演變成一個大規模散佈的蠕蟲，接下來的故事不用講了。應該會有一狗票的人因為沒有patch而中毒，然後又是一段慘痛的災後修補、blah~blah~~ 在這樣黑暗的時代，有沒有比較光明的消息？有的，但是要從最黑暗的地方看到光明 http://www.milw0rm.com/exploits/2162 這是用於 metasploit的攻擊模組，也就是 MS06-040 攻擊的元兇：主要攻擊程式。其中有一段寫到： 'Targets' => [ [ '(wcscpy) Automatic (NT 4.0, 2000 SP0-SP4, XP SP0-SP1)' ], [ '(wcscpy) Windows NT 4.0 / Windows 2000 SP0-SP4', 1000, 0x00020804 ], [ '(wcscpy) Windows XP SP0/SP1', 612, 0x00020804 ], [ '(stack) Windows XP SP1 English', 656, 680, 0x71ab1d54], \ # jmp esp @ ws2_32.dll ], 這表示攻擊的目標有 Win NT 4.0/Win2K Sp0-Sp4/WinXP Sp0/Sp1 與 Windows XP SP1 English 他會這樣列出，表示這個攻擊程式可能會依照不同的語系，必須使用不同的參數。繁體中文的XP 可能因此逃過一劫。我說得 "逃過一劫" 意思是此攻擊程式應該不會發揮作用，所以惡意程式應該不會在電腦上執行。只是遭到此攻擊仍可能造成某些程式當機。相信我，與其『成功攻擊被安裝惡意程式』，程式當掉已經是很輕微的傷害了。作者 Update 以經實驗證實，此攻擊可對Windows XP SP1 繁體中文造成傷害惡意程式可以透過此方式，成功於該平台上運作請各位特別留意 Well 這是一個血淋淋的故事，檯面上的戰爭就發生在這個星期內。檯面下的，天知道醞釀了多久。 Good Night and Good Luck. -- 為甚麼在 MS公佈了 KB921883之後兩天，MS06-040 Exploit才正式公佈出來？這段才是真正有趣的故事，不過我想全台灣沒人知道吧 XD。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.68.32.56