更新日期:2007/4/13 @ 18:11
更新資訊:微軟已提供修補程式,如果沒問題,請儘快更新吧
在最近分析的樣本中,有幾個樣本非常詭異,昨天晚上稍微檢查他們的檔案格式,發現是 Animated Cursor (*.ani) (但卻取名為 *.jpg),今天早上有個朋友通知我,微軟公佈一個安全漏洞 (Vulnerability in Windows Animated Cursor Handling),才恍然大悟,原來是零時差攻擊 (Zero-Day Attack)。這些惡意檔案內容的一部份,如下圖所示:
而且,每個檔案中都包含一個惡意連結在其中。這些惡意檔案是從「臺安醫院生殖醫學中心網站又被植入惡意連結」、「ESPNSTAR 體育台網站被植入惡意連結」、「台灣 Nikon 網站又被植入惡意連結」、「東風電視台網站被植入惡意連結」、「台灣電子地圖服務網網站又被植入惡意連結」、「淡江大學網站被植入惡意連結」、「大興旅行社網站被植入惡意連結」、「台灣豐田汽車 (Toyota) 網站被植入惡意連結」、「司法院網站被植入惡意連結」、「理想大地渡假飯店網站被植入惡意連結」、「智勝文化網站被植入惡意連結」、「媽媽寶寶網站又被植入惡意連結」、「台北市雜誌商業同業公會網站被植入惡意連結」、「廣福旅行社網站被植入惡意連結」、「手機王網站又被植入惡意連結」、「ASUS 華碩網站 (台灣、日本) 被植入惡意連結」、「iThome 網站被植入惡意連結」、「台灣小冠鸚鵡俱樂部網站被植入惡意連結」、「公職王網站又被植入惡意連結」、「收藏家 (台灣防潮科技) 網站被植入惡意連結」、「HiNet 理財網又被植入惡意連結」、「彩虹國際旅行社網站又被植入惡意連結」、「Lush 亞洲麗達網站被植入惡意連結」等文章所列網站中發現的。
到目前為止,下面的防毒軟體可以偵測這些惡意檔案:
2007/3/30 @ 22:23
======================================
ANI_attack-all\1.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\2.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.a"
ANI_attack-all\7888p.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\9197p.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\da.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.a"
ANI_attack-all\z1.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\z2.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.a"
2007/3/30 @ 11:49
======================================
ANI_attack-all/1.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/2.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/7888p.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/9197p.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/da.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
受影響軟體:
修補程式:已提供,可利用自動更新做更新。
至於詳細的資訊,請參考:
Microsoft Security Bulletin MS05-002: Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)
Microsoft Security Advisory (935423): Vulnerability in Windows Animated Cursor Handling
Microsoft Security Bulletin MS07-017: Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
更新資訊:微軟已提供修補程式,如果沒問題,請儘快更新吧
在最近分析的樣本中,有幾個樣本非常詭異,昨天晚上稍微檢查他們的檔案格式,發現是 Animated Cursor (*.ani) (但卻取名為 *.jpg),今天早上有個朋友通知我,微軟公佈一個安全漏洞 (Vulnerability in Windows Animated Cursor Handling),才恍然大悟,原來是零時差攻擊 (Zero-Day Attack)。這些惡意檔案內容的一部份,如下圖所示:
而且,每個檔案中都包含一個惡意連結在其中。這些惡意檔案是從「臺安醫院生殖醫學中心網站又被植入惡意連結」、「ESPNSTAR 體育台網站被植入惡意連結」、「台灣 Nikon 網站又被植入惡意連結」、「東風電視台網站被植入惡意連結」、「台灣電子地圖服務網網站又被植入惡意連結」、「淡江大學網站被植入惡意連結」、「大興旅行社網站被植入惡意連結」、「台灣豐田汽車 (Toyota) 網站被植入惡意連結」、「司法院網站被植入惡意連結」、「理想大地渡假飯店網站被植入惡意連結」、「智勝文化網站被植入惡意連結」、「媽媽寶寶網站又被植入惡意連結」、「台北市雜誌商業同業公會網站被植入惡意連結」、「廣福旅行社網站被植入惡意連結」、「手機王網站又被植入惡意連結」、「ASUS 華碩網站 (台灣、日本) 被植入惡意連結」、「iThome 網站被植入惡意連結」、「台灣小冠鸚鵡俱樂部網站被植入惡意連結」、「公職王網站又被植入惡意連結」、「收藏家 (台灣防潮科技) 網站被植入惡意連結」、「HiNet 理財網又被植入惡意連結」、「彩虹國際旅行社網站又被植入惡意連結」、「Lush 亞洲麗達網站被植入惡意連結」等文章所列網站中發現的。
到目前為止,下面的防毒軟體可以偵測這些惡意檔案:
2007/3/30 @ 22:23
======================================
ANI_attack-all\1.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\2.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.a"
ANI_attack-all\7888p.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\9197p.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\da.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.a"
ANI_attack-all\z1.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.b"
ANI_attack-all\z2.jpg:
[ Microsoft ], "TrojanDownloader:Win32/Anicmoo.gen!D"
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
[ Sophos ], "Troj/Animoo-U"
[ Rising ], "Hack.Exploit.RIFF.a"
2007/3/30 @ 11:49
======================================
ANI_attack-all/1.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/2.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/7888p.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/9197p.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
ANI_attack-all/da.jpg:
[ Kaspersky ], "Trojan-Downloader.Win32.Ani.g"
[ McAfee ], "Exploit-ANIfile.c"
受影響軟體:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 for Itanium-based Systems
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Vista
修補程式:已提供,可利用自動更新做更新。
至於詳細的資訊,請參考:
Microsoft Security Bulletin MS05-002: Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711)
Microsoft Security Advisory (935423): Vulnerability in Windows Animated Cursor Handling
Microsoft Security Bulletin MS07-017: Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
文章標籤
全站熱搜
COMMENT: 還有這兩家也能偵測到.... BitDefender found Exploit.Win32.Ani.Gen Sophos Sweep found Troj/Animoo-U -----
COMMENT: 在我的測試中,BitDefender無法偵測到。
COMMENT: 不好意思...常常來您的網站...收獲很多... :D 但是還是有點建議... 常常看到 「到目前為止,下面的防毒軟體可以偵測這些惡意檔案:」 但... 1. 能否加上「目前」的時間呢?...因為時間一久...那個「目前」就不曉得是什麼時候了.... 2. 在更新該網站已修復的資訊時,會再更新能偵測到這些惡意檔案的防毒程式嗎?如會,感謝您!如否,是否該改用詞比較冾當? 謝謝您!
COMMENT: 從善如流,只要我記得的話,下此會加註這些資訊。
COMMENT: 非常感謝您如此的用心! :D 謝謝!
COMMENT: 使用 Firefox 瀏覽到被植入惡意連結網站也會受到影響嗎?
COMMENT: Firefox不受影響。
COMMENT: eEye Digital Security - Windows ANI Zero-Day With eEye Patch http://research.eeye.com/html/alerts/zeroday/20070328.html
COMMENT: 偶(XPhome)已中毒 Exploit-ANIfile.c 而VirusScan清除失敗 怎麼辦
COMMENT: 請問妳是瀏覽哪個網站中的呢?至少要先知道病毒的行為,才能根據它的行為,做清除的動作。 最後,很多網友都在問如何清除病毒,有時真的很難回答,因為跟經驗與專業訓練有關,所以,我們才會在資策會開設「惡意程式辨識、清除、預防與標準處理程序」教育訓練課程,以幫助那些為此煩惱的人。
COMMENT: 偶(XPhome)已中毒 Exploit-ANIfile.c 而VirusScan清除失敗 怎麼辦 偶素瀏覽「台灣電子地圖服務網」
COMMENT: 上面說用FireFox不受影響 但剛看了艾克索夫研究室那邊說 只要用到user32.dll裡面的LoadImage API就會受影響耶????????
COMMENT: 回應彩虹:請參考「台灣豐田汽車 (Toyota) 網站被植入惡意連結」。
COMMENT: 感謝Roger 偶看「台灣豐田汽車 (Toyota) 網站被植入惡意連結」沒有懂 但剛用VirusScan掃毒 又沒ㄌ 查VirusScan最新病毒定義建立時間為2007/3/31 是否已沒問題ㄌ
COMMENT: 妳可以檢查系統是否有「執行之後,有下面的行為」,如果有就是中毒了。建議妳可以使用HijackThis或IceSword檢查系統。
COMMENT: 他們是在VMWare中執行*.jpg(實際上是ANI檔案),是直接執行樣本,而不是經由瀏覽受感染的網站(*.ANI是由user32.dll負責處理),這樣是有差別的。如果你使用最新版的Firefox瀏覽此受感染之網站是不受影響的。
COMMENT: M$已經出修正檔 http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
COMMENT: 微軟發布游標漏洞修補程式 MS07-017 Microsoft Security Bulletin MS07-017 Vulnerabilities in GDI Could Allow Remote Code Execution (925902) Vulnerability Details: Windows Animated Cursor Remote Code Execution Vulnerability - CVE-2007-0038: A remote code execution vulnerability exists in the way that Windows handles cursor, animated cursor, and icon formats. An attacker could try to exploit the vulnerability by constructing a malicious cursor or icon file that could potentially allow remote code execution if a user visited a malicious Web site or viewed a specially crafted e-mail message. An attacker who successfully exploited this vulnerability could take complete control of an affected system. http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
COMMENT: 教大家一個方法, 如果你是最新的CPU以及是使用XP. 那你就可以到 開始->設定->控制台->系統->進階->效能->資料執行防止 選 [為所有的Windows程式和服務開啟DEP,除了我選擇的這些] 這樣應該就可以防掉因為堆疊溢位的病毒了. 可是,可別傻傻地,幫病毒加進去例外程式裡.
COMMENT: 剛剛才Post完, 就發現已經有人放出可以避掉DEP的 ani 檔案了. 所以剛剛那個方法是有問題的. 看樣子,得靠防毒軟體來擋掉病毒, 或者去安裝Patch程式(Eeye or 艾克索夫研究室), 才能避掉這個漏洞了.
COMMENT: AVIRA 的免費防毒軟體也可以偵測到了: EXP/MS05-002.Ani.A
COMMENT: 我的Nod32也偵查的到唷!