瑞星卡卡安全论坛

ANI漏洞曝光，微软没及时跟进发布补丁，导致了一场不大不小的风波。中招者不在少数。
第三方ANI漏洞补丁推出，不少人似乎见到了一根“救命稻草”，纷纷打上。
然而，这个第三方补丁的作用又遭质疑（http://bbs.hzva.org/viewthread.php?tid=43972&extra=page%3D1）。尴尬局面再现。

上述现实，再次暴露了我国网民安全意识薄弱的现状。

其实，面对这个微软还没提供补丁的ANI漏洞，网民也不是束手无策。关键在于人们是否重视这个问题。

本人不才，孤陋寡闻。但知道的防范措施至少有以下这些：
1、针对ANI漏洞曝光而微软未提供相应补丁，杀软商已经及时跟进，升级了病毒库。用户及时跟着升级病毒库，也算一个办法吧。
2、瑞星防火墙用户，使用“杭州志愿者论坛”提供的规则包，据说也可有效防范这个ANI漏洞引发的问题。但是，使用这个规则包是有具体要求的（详见“可能与规则包冲突的软件列表”：http://bbs.hzva.org/viewthread.php?tid=7486&extra=page%3D1）。如果你能满足这些要求，使用该规则包并跟着及时升级，也能解决问题（不是广告哈，我与杭州志愿者论坛无任何利益瓜葛）。
3、像我这样的网民（不用瑞星防火墙而偏爱另类安全软件且不肯放弃者），也有办法：
（1）在Tiny防火墙的规则中加入下图所示的规则一条，作为第一道防线。加上Tiny中的IDS（默认）、AD、FD、RD规则（自设），基本可以挡住大多数病毒。
（2）如果Tiny的这道防线不幸被病毒突破，还有SSM（这个工具需要熟悉系统才能运用自如。规则自设）。
（3）使用OPERA浏览器上网。
（4）用下载工具（迅雷或IDM）接管全部下载任务。凡是浏览网页时提示的文件下载————一律拒绝（因为浏览网页时，我并没要下载任何东西。）
我的系统缺少N个补丁。不是不能打，而是不愿意打。目的是考验我的安全工具是否管用。这种状态已经持续了近8个月，目前尚未出现问题。（不建议别人这么做）。

总之，办法是有的。就看用户自己是否重视这些安全问题、安全措施落实与否。
对于病毒，防远远重于杀。等到病毒进入你的系统，才意识到问题的严重，麻烦已经大了。

还是想办法防吧！！！！！！！！！！！！！

附件: 155847200742115008.jpg

狂晕  对付病毒意识薄弱者  直接给他的电脑装个还原精灵 在他怎么弄 启动又还原了 实在运气差劲 弄个GHOST  要是连这都遭了那实在是太会用电脑了 只能再给他弄系统了  顶。。。。。。嘿嘿

这种0day 是最可怕的.呵呵

第三方的补丁 实际上不是补丁

对这个补丁 包括 eeye 和 台湾的补丁 不要报希望了 群里几个人测试的有效率是0


对于 满足 规则的条件  实际上 某些 软件会导致系统的 缺失和 破坏 进而影响安全

baobao够苦口婆心的，大部分人依然听不进去

第三方补丁失效，等MS出个大包（这次可算是重大更新吧）

下载工具拦截也烦死，还是看看baohe的规则……

那个补丁站刚被hacked!

有空开QQ吧，有好玩的交流一下:-)

我已经打上第三方提供的补丁，应该不会有什么问题的！

连ghost文件被感染，对于一般人来说！恢复系统是无效的

引用:

【musicolour的贴子】我已经打上第三方提供的补丁，应该不会有什么问题的！ ………………

原文如下

..::[ jamikazu presents ]::..

Windows Animated Cursor Handling Exploit (0day) (Version3)

Works on fully patched Windows Vista
I think it is first real remote code execution exploit on vista =)

Tested on:
Windows Vista Enterprise Version 6.0 (Build 6000) (default installation and UAC enabled)
Windows Vista Ultimate Version 6.0 (Build 6000) (default installation and UAC enabled)
Windows XP SP2
(It also must to work on all nt based windows but not tested)

Update: It also bypass eeye security ani patch!
Author: jamikazu
Mail: jamikazu@gmail.com

Bug discovered by determina (http://www.determina.com)

下面测试 文件的地址我就不贴出了

红色部分的译文为
我认为这是第一个真正的VISTA 系统的远程任意代码执行漏洞

蓝色部分译文为

更新: 它同时可以绕过eEye的的ani 安全补丁

早上得到了个样本...一个被感染的"极点中文"运行程序.

由于是在正常模式,只分析了大概了情况...

File size: 38408 bytes

MD5: 0c5d0c533a6efd534aa7cbcddbc53e4d

SHA1: a7b1c8a1f2dcf54123a3f62106ca71adf6900d8c

加壳方式:无

编写语言:Delphi

13151F10  |. BF 30331513    |MOV EDI,极点中文.13153330          ;  ASCII ".EXE"



13151F69  |. BF 28331513    |MOV EDI,极点中文.13153328          ;  ASCII ".ASP"


感染:exe .asp .jsp.php.htm.html等后缀名格式.....


写入注册表RUN项
"Software\Microsoft\Windows\CurrentVersion\Run"
131527FE  |. 68 01000080    PUSH 80000001                            ; |hKey = HKEY_CURRENT_USER
13152803  |. FF15 14301513  CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; \RegOpenKeyA

指向:C:WINDOWS\SYSTEM32\sysload3.exe


..
调用IE在"h**p://a.2007ip.com/css.css"

下载病毒...

上面的别去点..









由于在正常系统模式,无法确认汇编内的内容...

暂时只能等待杀软的升级或者专杀了..





要样本的PM我..

引用:

【孤独更可靠的贴子】早上得到了个样本...一个被感染的"极点中文"运行程序. 由于是在正常模式,只分析了大概了情况... File size: 38408 bytes MD5: 0c5d0c533a6efd534aa7cbcddbc53e4d SHA1: a7b1c8a1f2dcf54123a3f62106ca71adf6900d8c 加壳方式:无 编写语言:Delphi 13151F10  |. BF 30331513    |MOV EDI,极点中文.13153330          ;  ASCII ".EXE" 13151F69  |. BF 28331513    |MOV EDI,极点中文.13153328          ;  ASCII ".ASP" 感染:exe .asp .jsp.php.htm.html等后缀名格式..... 写入注册表RUN项 "Software\Microsoft\Windows\CurrentVersion\Run" 131527FE  |. 68 01000080    PUSH 80000001                            ; |hKey = HKEY_CURRENT_USER 13152803  |. FF15 14301513  CALL DWORD PTR DS:[<&ADVAPI32.RegOpenKey>; \RegOpenKeyA 指向:C:WINDOWS\SYSTEM32\sysload3.exe .. 调用IE在"h**p://a.2007ip.com/css.css" 下载病毒... 上面的别去点.. 由于在正常系统模式,无法确认汇编内的内容... 暂时只能等待杀软的升级或者专杀了.. 要样本的PM我.. ………………

http://a.2007ip.com/css.css内容：




附件: 155847200742163627.jpg

一句话,防范胜于救灾,国民的网络安全意识不够.他们只看眼前,出了问题再想办法.只可惜,亡羊补牢,为时晚已.

还是要等待微软的官方补丁最可靠吧？

http://a.2007ip.com/5949645046.exe下载运行后（释放的文件）

附件: 155847200742164253.jpg

http://a.2007ip.com/5949645046.exe下载运行后（注册表更改）

附件: 155847200742164346.jpg

猫叔的Tiny的追踪分析日志...

口水...

哎，真是让人头疼，期待微软的官方补丁早一点出来了！

不知火狐行不行?

苦口婆心,好人哪

引用:

【kaka流浪猫的贴子】狂晕  对付病毒意识薄弱者  直接给他的电脑装个还原精灵 在他怎么弄 启动又还原了 实在运气差劲 弄个GHOST  要是连这都遭了那实在是太会用电脑了 只能再给他弄系统了  顶。。。。。。嘿嘿 ………………

GHOST备份的使用，也涉及“用户的安全意识”问题。如果GHOST.EXE被威金之类的蠕虫感染了，用户又不知道先找个干净的GHOST.EXE替换染毒的GHOST.EXE，即便用GHOST备份恢复系统————也是瞎忙。

引用:

【不动如山的贴子】不知火狐行不行? ………………

这个漏洞并不是IE独有的

而是 系统自身存在


只要你用windows 2000以上就存在

十分感謝 斑竹的提醒和建議。不過本人剛接觸電腦不久 不知道以下
（4）用下载工具（迅雷或IDM）接管全部下载任务。凡是浏览网页时提示的文件下载————一律拒绝（因为浏览网页时，我并没要下载任何东西。）
    因該如何設置 拒絕瀏覽網頁時候的文件下載呢？怎麽才能讓迅雷接管所有任務。。。－ －＃

-.- 光标缺陷画面的那个怎么弄啊..

引用:

【IceWow的贴子】十分感謝 斑竹的提醒和建議。不過本人剛接觸電腦不久 不知道以下 （4）用下载工具（迅雷或IDM）接管全部下载任务。凡是浏览网页时提示的文件下载————一律拒绝（因为浏览网页时，我并没要下载任何东西。）     因該如何設置 拒絕瀏覽網頁時候的文件下載呢？怎麽才能讓迅雷接管所有任務。。。－ －＃ ………………

按下图设置。有文件下载时，迅雷会有提示框询问你。如果你当时只是浏览网页，并未下载文件，则拒绝下载。

附件: 155847200742212736.jpg

引用:

【艾玛的贴子】第三方补丁失效，等MS出个大包（这次可算是重大更新吧） 下载工具拦截也烦死，还是看看baohe的规则…… 那个补丁站刚被hacked! 有空开QQ吧，有好玩的交流一下:-) ………………

SSM，简单的设置————

附件: 155847200742220447.jpg

SSM，基于那个简单设置而收到的效果（图）。
我不愿意在这里多谈这些。否则，自己底牌都亮出来，这些“法宝”就渐渐失灵了（这个论坛的潜水健将们————有些就是图谋不轨者）。

Tiny规则的设置————不谈了。

附件: 155847200742220615.jpg

没有大家说得这么复杂，还感染ghost文件~，只不过是感染了其他分区的部分exe文件。然后用ghost恢复了以后，再运行了其他分区的带毒程序，于是就认为ghost有问题吧~

我看过了sysload3的程序，作了个小工具给大家恢复被感染的exe

麦英（SysLoad3.exe）BMW版变种感染的exe文件恢复程序下载地址：
http://mumayi1.999kb.com/pic/2007-04-02/pdhk3he7cb5q1y4sg0bf.rar

注意：空间不支持exe格式，请下载后把后缀由rar改成exe

对其原理感兴趣的朋友可以去看看我的原帖：
SysLoad3.exe的分析
http://codinggg.spaces.live.com/blog/cns!8FF03B6BE1F29212!689.entry

BMW变种的变化
http://codinggg.spaces.live.com/blog/cns!8FF03B6BE1F29212!701.entry

引用:

【taylor05771的贴子】 这个漏洞并不是IE独有的 而是 系统自身存在 只要你用windows 2000以上就存在 ………………

存在于user32.dll中
用Opera（火狐我没试）浏览网页之所以不会有影响，只是因为Opera不支持设置动态鼠标图片的网页代码。这算是Opera在对HTML代码效果支持上的“缺陷”，但也正是这个缺陷避免了通过网页恶意代码传播这个方式。

引用:

【baohe的贴子】SSM，基于那个简单设置而收到的效果（图）。 我不愿意在这里多谈这些。否则，自己底牌都亮出来，这些“法宝”就渐渐失灵了（这个论坛的潜水健将们————有些就是图谋不轨者）。 Tiny规则的设置————不谈了。 ………………

这图一看就知道，是利用MS06-014漏洞的代码最新流行的运行方式之一，用cmd.exe /c来运行下载的病毒文件，下面给出这种恶意代码实现这样运行的部分的例子（前面部分略）：

var Q=df.CreateObject("Shell.Application",""); exp1=F.BuildPath(tmp+'\\system32','cmd.exe'); Q.ShellExecute(exp1,' /c '+fname1,"","open",0); } catch(i) { i=1; }

由此也可见猫叔连MS06-014的补丁都没有打，果然是缺了N个补丁。
猫叔的设置代表了一部分HIPS牛人们的方式，不是打全补丁让毒完全进不来，而是一方面测试安全软件，一方面直接抓样本。不过前提是安全防护足够强，而且有足够的经验，即使有意外情况也可及时处理。所以对于一般用户，还是老老实实打补丁的好。
微软这次很可能会提前发布补丁的，大家随时关注。

好玩

引用:

【轩辕小聪的贴子】 这图一看就知道，是利用MS06-014漏洞的代码最新流行的运行方式之一，用cmd.exe /c来运行下载的病毒文件，下面给出这种恶意代码实现这样运行的部分的例子（前面部分略）： var Q=df.Create("Shell.Application",""); exp1=F.BuildPath(tmp+''\\system32'',''cmd.exe''); Q.ShellExecute(exp1,'' /c ''+fname1,"","open",0); } catch(i) { i=1; } 由此也可见猫叔连MS06-014的补丁都没有打，果然是缺了N个补丁。 猫叔的设置代表了一部分HIPS牛人们的方式，不是打全补丁让毒完全进不来，而是一方面测试安全软件，一方面直接抓样本。不过前提是安全防护足够强，而且有足够的经验，即使有意外情况也可及时处理。所以对于一般用户，还是老老实实打补丁的好。 微软这次很可能会提前发布补丁的，大家随时关注。 ………………

小聪真好玩