Office PowerPoint 0day漏洞攻擊程式碼驚現網路
2006年7月19日,江民公司反病毒中心截獲一個利用PowerPoint 0day漏洞傳播的惡意PPT我的文件(Exploit.PPTDownloader)。該我的文件是作為郵件附件的形式傳送的,一旦開啟此我的文件,內嵌其中的惡意程式碼會下載並執行後門程序,進而完全控制用戶電腦。目前微軟還沒有發怖關於此漏洞的修正檔程序。
江民反病毒專家介紹,該惡意PPT我的文件偽裝成一組「老外拍攝的上海照片」通過郵件傳播,郵件主題為「老外看上海」,內容為「一組老外拍攝的上海照片」,附件為大小為8704字元"照片.ppt"文件,該檔案即是利用最新PowerPoint 0day漏洞的惡意我的文件。用戶一旦使用PowerPoint開啟此我的文件,即會發生錯誤提示,同時導致該惡意我的文件中的程式碼執行,下載並執行
http://218.75.***.130/teacher.exe後門程序。
Teacher.exe執行後,將在系統目錄下新增大小為43520字元的explorer.exe文件,並在註冊表中增加下列相關啟動項從而使病毒與作業系統同步執行。專家介紹,感染Teacher.exe後,用戶電腦將被黑客遠端控制。
江民反病毒專家介紹,自從今年5月下旬,Word的一個0-day嚴重漏洞被發現以來,Office就成為黑客尋找漏洞的樂園。在不到2個月的時間內,微軟Office用戶最多的三大產品--Word、Excel和PowerPoint都先後出現了嚴重安全漏洞,而且PowerPoint的漏洞目前還沒有修正檔。微軟在6月13日發怖6月份安全更新時提供了Word 0-day漏洞的修正檔;但就在14日,Excel的嚴重漏洞又被曝光。7月11日微軟發怖了若干關於Excel和Office的修正檔,又是僅僅過了2天,PowerPoint的0-day漏洞出現了。黑客故意在微軟每月安全更新後不久解壓縮利用新漏洞的惡意Office我的文件,這樣,如果微軟不發怖緊急修正檔,這些新漏洞將有1個月左右的"無修正檔期"。
江民科技反病毒專家進一步介紹,從已經截獲的樣本看,該惡意文件很可能是中國黑客製作的,並且很有可能進一步流行起來。專家分析,我國線人的安全意識薄弱和網路使用習慣可能會助長該惡意文件的進一步傳播。一般人們認為Office我的文件比EXE程序安全得多,所以常常隨意點擊開啟,此外,目前網路用戶喜歡把一些笑話、圖片、祝福做成Office我的文件,然後互相轉發,病毒很容易偽裝成這類用於休閒的我的文件,考慮到目前給Office打修正檔的用戶比給Windows打修正檔的用戶還要少得多,而此類Office我的文件木馬產生器製作技術難度不大,因此,對於此類惡意Office我的文件的流行情況專家表示不容樂觀。
針對該惡意文件,江民殺毒軟體KV系列產品已緊急昇級,用戶只需昇級到7月20日病毒庫即可有效防殺該惡意程序。江民公司再次提醒廣大用戶,不要輕易開啟來源不明的Office我的文件,特別是Word、Excel和PowerPoint我的文件。並且要及時昇級殺毒軟體,安裝微軟提供的Office修正檔,以免遭到病毒侵害。