xiaofe123

　

  补丁公告：微软安全公告 MS06-070

补丁相关：新年伊始，微软的漏洞不断，Workstation微软的工作组功能控件被发现远程执行任意代码的漏洞，由于Workstation 服务的缓冲区未经过验证保护，假如攻击者在短时间内发送大量含有恶意代码的数据包对Workstation组件进行溢出式攻击的情况下，有可能出现Workstation组件继续用户登陆的权限执行任意代码，从而实现远程控制计算机。攻击者在发动攻击的时候需要用户正在使用Workstation组件中的相关服务才能成功。此次补丁对Workstation组件缓冲区增加了数据通过的验证方案，避免了攻击者利用此处漏洞，由于Workstation组件中有很多服务是默认启动的，所以推荐所有使用Win2000 SP4/WinXP SP2的用户尽快更新此补丁。

补丁下载：

针对Win2000 SP4的补丁程序：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=3ad5c57d-d3f6-46a1-8dee-3e16d0977f80

针对WinXP SP2的补丁程序：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=f4c8e767-4ed2-4e36-aa43-612f3017efc7

临时解决方案：

假如用户无法及时更新此补丁，或者补丁安装后出现异常现象（如：无法连接上互联网、自动重起等问题）可以采用临时解决方案来减轻漏洞的危害，在默认情况下，WinXP中的Windows防火墙功能可通过阻止未经请求传入的通信保护你的Internet 连接。 我们建议你阻止所有来自 Internet 的非法传入通信。

要使用网络安装向导启用 Windows 防火墙功能，请按照以下步骤进行操作：

第一步：单击“开始”，然后单击“控制面板”。

第二步：双击“网络连接”，然后单击“更改 Window 防火墙设置”。

第三步：在“常规”选项卡上，确保选择了“启用（推荐）”。 这将启用 Windows 防火墙。

第四步：启用 Windows 防火墙之后，请选择“不答应例外”以阻止所有传入的通信。



假如想要启用某些程序和服务以便通过防火墙进行通信，请取消选择“不答应例外”，并单击“例外”选项卡。在“例外”选项卡上，选择想要启用的程序、协议和服务。如下几个服务假如不需要也可以停用，用来减少攻击的可能性：

1.使用邮件槽或命名管道（RPC over SMB）的应用程序

2.服务器（文件和打印共享）

3.打印后台处理程序

4.传真服务

5.性能日志和警报

6.许可证记录服务

病毒信息：“圣诞之星”用户ID注入形木马后门

新年的来临让病毒木马进入了疯狂的时期，新技术也随之出现了，近期出现一种新的木马运行隐藏技术：“用户ID注入”，被发现利用这项技术的木马程序被称为“圣诞之星”此木马是一个利用群发带毒邮件进行传播的网络蠕虫，开启后门，降低被感染计算机上的安全设置。木马运行后，自我复制到系统目录下。修改注册表，实现开机自启。遍历用户计算机的C到Y驱动器，搜索有效的邮箱地址，利用自带的SMTP群发带毒邮件。开启TCP 5190端口，连接指定站点，侦听黑客指令，从指定站点下载特定文件，盗取用户计算机系统信息，终止某些与安全相关的进程和服务。修改hosts文件，阻止用户对某些安全网站的访问，降低被感染计算机上的安全设置。

解决方案：1.通过防火墙监视TCP协议上的5190端口，进行封闭数据。

2.将注册表中RUN里的RUNDLO键值内容删除

3.删除正在使用的用户ID 如：admin

4.用记事本打开C:\WinDOWS\system32\drivers\etc\hosts文件，将其中www.v111.com地址删除。

小知识：什么是用户ID注入木马

这项技术是最近才有国外流传出来的木马隐藏方式，木马程序通过将自身寄存在用户登陆的TEMP目录中随着临时文件的加载运行，这样的启动方式不会涉及到注册表的启动项，并且也没有系统进程。因为它的进程被注入到用户本身的进程中，在用户ID注销的状态下木马进程也随之关闭，非常难被发现。

解决方法：删除中木马的用户ID，从新建立一个新的用户。