針對微軟“DirectShow”漏洞掛馬攻擊或?qū)⒋竺娣e爆發(fā)

落日黃沙

所有網(wǎng)頁都可能被惡意利用 建議網(wǎng)友盡快打臨時安全補(bǔ)丁

　　360安全中心今日發(fā)布入夏以來首個橙色安全警報：360惡意網(wǎng)頁監(jiān)控系統(tǒng)昨夜攔截到多起針對微軟“DirectShow視頻開發(fā)包”漏洞的惡意攻擊，攻擊方式極為隱蔽，普通用戶很難防范，鑒于微軟官方目前尚未發(fā)布補(bǔ)丁，未來幾天內(nèi)此類攻擊很可能大面積爆發(fā)。建議用戶立即使用360衛(wèi)士漏洞補(bǔ)丁修復(fù)功能，以便獲得相應(yīng)“免疫”能力。

　　據(jù)悉，這是工信部《木馬和僵尸網(wǎng)絡(luò)監(jiān)測與處置機(jī)制》出臺后出現(xiàn)的首個重大網(wǎng)絡(luò)安全威脅，360安全中心已將相關(guān)樣本信息提交國家計算機(jī)病毒應(yīng)急處理中心，并緊急呼吁網(wǎng)民盡快安裝360臨時補(bǔ)丁。

　　據(jù)360安全專家石曉虹博士介紹，最新監(jiān)控到的針對“DirectShow視頻開發(fā)包”漏洞的攻擊方式主要有兩種：一種是網(wǎng)頁掛馬攻擊，網(wǎng)民只要訪問了掛有攻擊代碼的網(wǎng)頁，其電腦就會自動下載運(yùn)行一個遠(yuǎn)程控制木馬；另一種是通過網(wǎng)民間的視頻分享方式傳播，用戶只要播放他人發(fā)來的惡意視頻，電腦也同樣會成為任由黑客擺布的“肉雞”。

　　石曉虹進(jìn)一步解釋稱，這兩種攻擊方式之所以都很嚴(yán)重，是因為其攻擊方式過于隱蔽，網(wǎng)民很難防范。比如，此次監(jiān)控到的網(wǎng)頁掛馬，可以“通殺”所有主流瀏覽器，凡WindowsXP、2000及2003系統(tǒng)用戶，無論使用IE內(nèi)核瀏覽器還是FireFox瀏覽器，只要沒有打這一補(bǔ)丁，其電腦都會“中招”。如此一來，任何網(wǎng)頁都有可能成為傳播木馬的“毒源”。

　　據(jù)悉，360安全中心于5月21日率先發(fā)現(xiàn)微軟“DirectShow視頻開發(fā)包”漏洞后，第一時間通報給微軟中國公司。5月28日，微軟全球發(fā)布了針對該漏洞的安全建議，號召用戶手動關(guān)閉DirectShow功能。360安全工程師發(fā)現(xiàn)，最初黑客只是針對該漏洞進(jìn)行小范圍地攻擊演習(xí)，但隨著微軟對外發(fā)布相關(guān)信息后，黑客對該漏洞的攻擊逐步進(jìn)入了實戰(zhàn)階段。通過對此次監(jiān)控到的掛馬網(wǎng)頁測試，360工程師發(fā)現(xiàn)，用戶即便手動關(guān)閉DirectShow功能仍無法抵御該遠(yuǎn)程控制木馬，因為該木馬通過加密實現(xiàn)自我“偽裝”，能躲過殺毒軟件堂而皇之地侵入受害用戶電腦。


　　圖片說明：黑客針對“directshow視頻開發(fā)包”漏洞的最新網(wǎng)頁掛馬攻擊遭360安全衛(wèi)士攔截



　圖片說明：使用360臨時補(bǔ)丁后，惡意視頻同樣可以被360攔截

　　據(jù)石曉虹透露，360安全中心在過去兩周內(nèi)與微軟公司保持緊密聯(lián)系，由于微軟官方補(bǔ)丁尚處于開發(fā)測試階段，短期內(nèi)很難正式發(fā)布。在獲得微軟方面同意后，360安全中心于5月31日發(fā)布了臨時安全補(bǔ)丁。截至發(fā)稿前，已有數(shù)千萬360用戶打上了該補(bǔ)丁。由于360臨時補(bǔ)丁是一種內(nèi)存補(bǔ)�。ㄓ址Q熱補(bǔ)丁），這種補(bǔ)丁不但獲得了微軟官方的承認(rèn)，而且也不會與官方補(bǔ)丁發(fā)生沖突。所有360用戶未來仍可下載官方補(bǔ)丁徹底修復(fù)“DirectShow視頻開發(fā)包”漏洞。因此，用360臨時補(bǔ)丁來屏蔽該漏洞的方式，是目前應(yīng)對攻擊的最有效方案。

　　石曉虹提醒廣大用戶，一定要摒棄事后查殺的僥幸心理，盡快按如下方案處理：

　　一、WindowsXP/2003用戶盡快使用360安全衛(wèi)士漏洞修復(fù)功能進(jìn)行修復(fù)（WindowsVista及Windows7用戶不受此漏洞影響）。

　　二、切勿訪問不明網(wǎng)址，不隨意點(diǎn)擊陌生人發(fā)布的網(wǎng)頁鏈接。

落日黃沙

　美國當(dāng)?shù)貢r間5月28日，微軟公司發(fā)布安全建議（971778），證實WindowsXP等操作系統(tǒng)存在一個“DirectShow視頻開發(fā)包”漏洞。一旦該0day漏洞被黑客利用，當(dāng)網(wǎng)民在線觀看經(jīng)黑客惡意構(gòu)造的視頻文件時，電腦將自動下載和運(yùn)行木馬程序。

　　【W(wǎng)indowsVista及Windows7用戶無需使用360臨時補(bǔ)丁】

　　據(jù)悉，360安全中心通過惡意網(wǎng)頁監(jiān)控系統(tǒng)在5月21日發(fā)現(xiàn)了該漏洞，并在第一時間緊急通報給了微軟公司。經(jīng)微軟安全專家分析研究后，認(rèn)為該漏洞是一個高風(fēng)險的安全漏洞。鑒于該漏洞的威脅正在擴(kuò)散，為防止其對用戶造成大面積危害，360安全中心于今日獨(dú)家首發(fā)臨時安全補(bǔ)丁，建議所有用戶使用360衛(wèi)士漏洞補(bǔ)丁修復(fù)功能，立刻安裝這一補(bǔ)丁，并打開360網(wǎng)頁防火墻實時保護(hù)，以便獲得相應(yīng)“免疫”能力。

　　據(jù)360安全專家介紹，DirectShow是微軟公司推出的新一代基于網(wǎng)絡(luò)流媒體處理的開發(fā)包，廣泛支持asf、mpeg、avi、dv、mp3、wave等各種媒體格式。此次曝出的“DirectShow視頻開發(fā)包”漏洞是一個動態(tài)鏈接庫文件在使用濾鏡進(jìn)行“著色”時產(chǎn)生的，當(dāng)用戶在線觀看惡意視頻文件時，Realplayer、暴風(fēng)影音、QQ影音、WindowsMediaPlayer、Quicktime等主流播放器都會觸發(fā)該漏洞，從而使自己的網(wǎng)游、網(wǎng)銀面臨被盜風(fēng)險。除WindowsVista及Windows7用戶不受影響外，WindowsXP、Windows2000及Windows2003操作系統(tǒng)的用戶均會受這一漏洞的影響。目前，微軟公司已在其官方網(wǎng)站發(fā)布安全建議（971778），而正式補(bǔ)丁預(yù)計將在未來兩個月內(nèi)面向全球Windows用戶同時發(fā)布。

　　據(jù)了解，黑客利用熱門視頻傳播木馬已成為慣用伎倆，而對“DirectShow視頻開發(fā)包”漏洞的利用則是在視頻播放時下載木馬，而視頻文件本身并不需要捆綁木馬，因此可以避開殺毒軟件和防火墻的防護(hù)，黑客可以通過在線播放“網(wǎng)頁掛馬”、網(wǎng)友間視頻共享等多種途徑傳播木馬。

　　為此，360安全專家提醒廣大網(wǎng)民，包括“DirectShow開發(fā)包視頻”0day漏洞在內(nèi)的操作系統(tǒng)和第三方軟件漏洞在得到官方修復(fù)前，木馬病毒往往會伺機(jī)而動，未來數(shù)周內(nèi)網(wǎng)上有可能會批量出現(xiàn)惡意在線視頻網(wǎng)址，形成“影視劇流感”，網(wǎng)民在收看視頻時應(yīng)提高警覺，并盡快使用360安全衛(wèi)士提供的臨時安全補(bǔ)丁加以預(yù)防。

　　附：名詞解釋

　　“0day漏洞”，是指安全補(bǔ)丁發(fā)布前被外界掌握的有關(guān)操作系統(tǒng)或第三方軟件的漏洞信息。