利用IE漏洞的木马的告警(new)

安全公告CN-SA04-31B
发布日期：2004-7-4
安全等级：三级
公开程度：公共
更新说明：更新微软提供的解决方案

　　Download.Ject木马初现于6月15日，它试图通过利用IE中的漏洞下载和安装一个文件。该木马是通过访问含有恶意代码的网站而触发的。
　　CNCERT/CC已对此进行分析并开始监测。

分析：

　　Download.Ject会利用IE浏览器中的跨域脚本漏洞，通过一个对话框模式的重定向和延迟的脚本注入来下载和执行一个文件。这个文件被下载到C:\x.cab下然后进行安装。

受影响的平台：

　　Microsoft windows 2000
　　Microsoft windows XP
　　Microsoft Windows 98
　　Microsoft Windows Me
　　Microsoft Windows NT

解决方案：

　　家庭用户可采取的措施

　　1.安装重要安全更新
　　请访问Windows Update Web 站点，并安装所有的关键更新。

　　2.检查受感染情况
　　要确定您的计算机中是否被植入了恶意代码，请搜索以下文件：
　　kk32.dll
　　surf.dat
　　
　　Windows NT 4.0、Windows 2000、Windows XP和Windows Server 2003用户可采取的步骤：

　　a. 在屏幕底部的任务栏上单击开始，然后单击运行。
　　b. 在运行对话框中，输入：cmd 然后单击确定。
　　c. 在command 弹出窗口中，输入：
　　　dir /a /s /b &systemdrive%\kk32.dll
　　　然后按ENTER键开始搜索您的电脑。
　　　如果该文件存在，该文件的路径将会被显示出来。
　　　如果该文件不存在，系统会提示您无法找到该路径下的文件。
　　d. 在command 窗口中，输入：
　　　dir /a /s /b &systemdrive%\surf.dat
　　　然后按ENTER键开始搜索您的电脑。
　　　如果该文件存在，该文件的路径将会被显示出来。
　　　如果该文件不存在，系统会提示您无法找到该路径下的文件。

　　如果找到其中任何一个文件，则表明计算机可能已被感染。要清除计算机中的病毒并获得最新的病毒防护功能，您可以从下列参与微软病毒信息联盟的软件提供商处获取工具：

　　Symantec
　　F-Secure
　　Trend Micro
　　Network Associates
　　Computer Associates

　　3. 增强网页浏览和电子邮件的安全性
　　请按照页面列出的步骤来增强网页浏览和电子邮件的安全性。

　　企业用户可采取的措施

　　1.安装 MS04-013 更新
　　安装与 Microsoft 安全公告 MS04-013相关的837009更新。

　　2.安装有关 Microsoft Data Access Components 的重要更新
　　浏览知识库文章 870669并下载有关 Microsoft Data Access Components 的重要更新。

　　3.增强本地机器Internet Explorer的安全性
　　企业用户可以通过增强本地机器Internet Explorer的安全性降低危险。 请访问知识库文章 833633获取更多信息。

　　4.检查与IIS相关的受感染情况
　　运行IIS的企业客户应该浏览知识库文章 871277并且按照文章中提供的步骤检测受感染情况。

参考信息：

　　http://www.cert.org.cn/..../2004062821780.shtml
　　http://www.microsoft.com/china/..../download_ject.mspx
　　http://securityresponse.symantec.com/....ject.html
　　http://www.cert.org.cn/..../2004061421755.shtml
　　http://www.cert.org.cn/..../2004061821764.shtml

其他信息：
　　CVE编号： CAN-2004-0549
　　首次发布日期：2004-7-4
　　修订次数：1

安全公告文档编写：
　　CNCERT/CC
-----------------------------------------------------------------------------------

　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident

　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。

　　如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn

(责任编辑：