|
|
多個病毒利用微軟 MS04-011 LSASS 弱點攻擊
|
在 houseofdabus 於 2004/4/29 釋出 "Lsasrv.dll RPC buffer overflow remote exploit" 原始碼後,已經出現 4 個以利用 LSASS 安全弱點所製作的病毒。
Sasser 病毒大事記:
在 "MS04011 Lsasrv.dll RPC buffer overflow remote exploit" 原始碼中針對 WinXP 及 Win2000 的 LSASS(本地安全性授權子系統服務) 弱點進行攻擊(445 通訊埠),一但攻擊成功便植入 ShellCode,攻擊者便可以經由指定的通訊埠對被攻擊的電腦下指令,完全控制受害的電腦。
病毒製造者在參考 exploit 原始碼後在一天內製造並散播病毒,因此病毒的程式碼大致上與 exploit 原始碼相似,Sasser 病毒在攻擊成功後會有以下的感染步驟:
- 安裝 avserve.exe
. W32.Gaobot.AFC 安裝檔名為 wmiprvsw.exe
. W32.Gaobot.AFJ 安裝檔名為 msiwin84.exe
. W32.Gaobot.AFW 安裝檔名為 hkey.exe
- 在登錄檔 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入 %WINDIR%\avserve.exe 以便開機時自動執行。
- 產生 "Jobaka31" 程序名稱。
- 於通訊埠 5554 啟動 FTP 伺服器,準備把病毒再傳遞出去。
- 產生 128 個執行序掃描網路上其他的 IP 位址。
被攻擊成功的電腦會在通訊埠 9996 開啟 Shell,讓遠端的攻擊者(感染源)對電腦下命令,電腦則會經由 FTP 去取得病毒的執行程式。
|
關於 DragonSoft Security Associates, Inc. (中華龍網股份有限公司)
- DragonSoft 於 2002 年推出全球第一個全中文的網路安全弱點評估軟體.
- DragonSoft Secure Scanner 於 2003 年 10 月獲得國際安全組織 CVE(Common Vulnerability and Exposure) 的認可, 為台灣第一個獲得 CVE 認可的資訊安全產品.
- DragonSoft 安全弱點資料庫於 2004 年 1 月取得國際安全組織 CVE 頒發的 "CVE Compatibility Questionnaire Posted" 認證標章.
國際安全組織 CVE (Common Vulnerability and Exposure),是目前在國際上最具公信力的安全弱點披露與發佈單位,其目前與全球九十四個組織機構(包含相關之非營利政府單位、學術研究機構、公司單位)及全球一百四十一項安全產品、三十九家開發原廠共同合作,「CVE」 是編號與命名特定弱點的標準協定,以確保哪個弱點已經清楚確實的被辨識出來。商業工具將提供追隨 CVE 協定的結果。並不是所有的軟體工具都會提供這樣的功能,而是只有少數的專屬工具(proprietary)會被 CVE 協定編入。
|
所有內容版權屬於中華龍網股份有限公司所有
電話:886-3-5630989 傳真:886-3-5797758
新竹市光復路一段607巷30號6樓
Copyright © DragonSoft Security Associates, Inc. All Rights Reserved
| 關於我們 |取消訂閱|聯絡我們|
|
|
