作者:BlackWing
安全研究人员已经发现微软的Word程序中存在一个Zero-day(“零天攻击”是说在隐患发现的当天就发生了攻击事件)隐患,这个隐患已经被中国大陆和台湾的黑客利用。微软的安全响应中心表示,它正与杀毒厂商合作来阻止攻击,并计划在6月13号推出一个安全升级。
这个隐患是通过电子邮件附带Word文档的方式来被利用的。当用户通过Word XP或Word 2003来打开这些附件时,类似于Rootkit的木马就会感染用户的电脑并针对杀毒扫描程序隐藏以逃过杀毒软件的查杀。
这个木马会把数据发回某个服务器,不过目前还不清楚期间传输的是什么数据。SANS Internet Storm Center的研究人员Chris Carboni表示,当利用代码运行之后,在初始阶段它就会在系统中埋伏一个僵尸(bot),很可能是Rbot或某种变体。一旦埋伏好僵尸之后,它就开始侦测系统,侦测的对象包括已经安装的补丁,已经安装的AV,“我的文档”的内容,启动文件的内容还有IE的配置等等。
据SANS表示,目前还没有杀毒程序能够检测到这种攻击方式。微软计划对其Windows Live Safety Center进行病毒特征库的升级,以使其能够检测到这种新的攻击。
微软的安全研究专员Stephen Toulouse表示,Office项目组正对补丁进行测试以确保品质。微软计划把这个补丁作为6月的安全升级在6月13号推出,又或者会提前退出。
F-Secure把这个木马称为“Ginwui.A”,它表示它允许黑客创建、读取、写入、删除和搜索文件和目录;访问并修改注册表;操控服务;开始和结束进程;甚至能做更多其他的事。
同时,赛门铁克在收到这个隐患被利用的消息后把它的ThretCon等级提升为2。DeepSight Threat Analyst组建议管理员屏蔽掉电子邮件中的Word文档附件,并且处理不认识人发来的电子邮件中的Word附件时要特别注意。
由于要感染电脑,必须通过用户下载恶意软件才能实现,所以McAfee把这个木马的危险程度列为“低”。
微软表示,虽然这个隐患会影响到Word XP和Word 2003,但是并不会对使用Word Viewer来查看文档的用户造成威胁。Word Viewer是一个可以读取Word文档而不需安装Word程序的软件。
|