利用IE漏洞的Download_Ject木马的告警

发布时间:2004-07-05发布部门:信息化办公室
安全公告CN-SA04-31B
发布日期:2004-7-4
安全等级
公开程度:公共
更新说明:更新微软提供的解决方案

  Download.Ject木马初现于6月15日,它试图通过利用IE中的漏洞下载和安装一个文件。该木马是通过访问含有恶意代码的网站而触发的。
  CNCERT/CC已对此进行分析并开始监测。

分析

  Download.Ject会利用IE浏览器中的跨域脚本漏洞,通过一个对话框模式的重定向和延迟的脚本注入来下载和执行一个文件。这个文件被下载到C:\x.cab下然后进行安装。

受影响的平台

  Microsoft windows 2000
  Microsoft windows XP
  Microsoft Windows 98
  Microsoft Windows Me
  Microsoft Windows NT

解决方案

  家庭用户可采取的措施

  1.安装重要安全更新
  请访问Windows Update Web 站点,并安装所有的关键更新。

  2.检查受感染情况
  要确定您的计算机中是否被植入了恶意代码,请搜索以下文件:
  kk32.dll
  surf.dat
  
  Windows NT 4.0、Windows 2000、Windows XP和Windows Server 2003用户可采取的步骤:

  a. 在屏幕底部的任务栏上单击开始,然后单击运行。
  b. 在运行对话框中,输入:cmd 然后单击确定。
  c. 在command 弹出窗口中,输入:
   dir /a /s /b &systemdrive%\kk32.dll
   然后按ENTER键开始搜索您的电脑。
   如果该文件存在,该文件的路径将会被显示出来。
   如果该文件不存在,系统会提示您无法找到该路径下的文件。
  d. 在command 窗口中,输入:
   dir /a /s /b &systemdrive%\surf.dat
   然后按ENTER键开始搜索您的电脑。
   如果该文件存在,该文件的路径将会被显示出来。
   如果该文件不存在,系统会提示您无法找到该路径下的文件。

  如果找到其中任何一个文件,则表明计算机可能已被感染。要清除计算机中的病毒并获得最新的病毒防护功能,您可以从下列参与微软病毒信息联盟的软件提供商处获取工具:

  Symantec
  F-Secure
  Trend Micro
  Network Associates
  Computer Associates

  3. 增强网页浏览和电子邮件的安全性
  请按照页面列出的步骤来增强网页浏览和电子邮件的安全性

  企业用户可采取的措施

  1.安装 MS04-013 更新
  安装与 Microsoft 安全公告 MS04-013相关的837009更新。

  2.安装有关 Microsoft Data Access Components 的重要更新
  浏览知识库文章 870669并下载有关 Microsoft Data Access Components 的重要更新。

  3.增强本地机器Internet Explorer的安全性
  企业用户可以通过增强本地机器Internet Explorer的安全性降低危险。 请访问知识库文章 833633获取更多信息。

  4.检查与IIS相关的受感染情况
  运行IIS的企业客户应该浏览知识库文章 871277并且按照文章中提供的步骤检测受感染情况。

参考信息

  http://www.cert.org.cn/..../2004062821780.shtml
  http://www.microsoft.com/china/..../download_ject.mspx
  http://securityresponse.symantec.com/....ject.html
  http://www.cert.org.cn/..../2004061421755.shtml
  http://www.cert.org.cn/..../2004061821764.shtml

其他信息
  CVE编号: CAN-2004-0549
  首次发布日期:2004-7-4
  修订次数:1

摄影:
编辑:
信息员:系统管理员
撰写: