Thông tin virus mới

[baothanh12345]

~*~ Thông tin virus mới ~*~​

Chào các bạn hiện nay tình hình virus ngày càng phức tạp. Mình lập topic này, để giúp các bạn có thông tin về mức độ nặng hay nhẹ của virus. Qua đó biết cách phòng ngừa kịp thời và hiệu quả nhất.



Lỗ hổng zero-day nguy hiểm của MS Access



1. Thông tin chung



ActiveX dùng trong chức năng Snapshot Viewer của Microsoft Access cho phép người dùng có thể xem các file Access Report Snapshot mà không cần phải cài đặt bất kì phiên bản Microsoft Office Access nào. Bạn có thể dùng Internet Explorer hoặc bất kì phần mềm nào có hỗ trợ ActiceX để sử dụng chức năng này.



Vào đầu tháng 7-2008, một lỗi nguy hiểm của ActiveX này được Microsoft công bố, dựa vào lỗi này, attacker chỉ cần lừa người dùng vào trang web có chứa mã độc khai thác lỗi trên, rồi sau đó xâm nhập, chiếm quyên điều khiển máy người dùng, lấy đi các thông tin cá nhân ...Nguy hiểm hơn, khi ActiveX này có trong hầu hết các phần mềm Microsoft Access và lỗ hổng này chưa được Microsoft đưa ra bản vá.



ActiveX Snapshot Viewer được sử dụng trong các phiên bản:



Microsoft Access 2000

Microsoft Access 2002

Microsoft Access 2003

Microsoft Access Snapshot Viewer

Microsoft Office 2000

Microsoft Office 2003 Professional Edition

Microsoft Office 2003 Small Business Edition

Microsoft Office 2003 Standard Edition

Microsoft Office 2003 Student and Teacher Edition

Microsoft Office XP



2. Mô tả kỹ thuật



Trung tâm An ninh mạng Bkis đã tiến hành thử nghiệm và xác minh mức độ nguy hiểm của lỗ hổng này. Kết quả phân tích cho thấy, lỗi nằm ở file snapview.ocx ActiveX Control. Ngoài chức năng xem các file Report Snapshot (có đuôi mở rộng là .snp) trên có trên máy local, ActiveX này cho phép người dùng có thể xem các file snp qua mạng thông qua mã nhúng html chạy trên Internet Explorer. Thực chất của công việc này là Snapview sẽ tự động download file thông qua đường link được định trong đoạn mã html về thư mục Temp rồi sau đó mới bắt đầu xử lý như đối với file trên máy local.



Tuy nhiên, Snapview ActiveX đã không kiểm tra định dạng của các file mà download luôn về máy, lợi dụng sơ hở này, thay vào việc đưa vào mã nhúng html các link file snp, kẻ xấu sẽ đưa vào link của các file có chứa mã độc, thậm chí cả các file thực thi (*.exe). Attacker hoàn toàn có thể cho người dùng download những file bất kì về những vị trí bất kì trên máy người dùng.



Khi các file chứa mã độc đã có trên máy người dùng, người dùng có thể vô tình kích hoạt file chứa mã độc hoặc file mã độc sẽ được đặt trong những thư mục nhạy cảm, như thư mục Windows Startup nơi mà các file trong đó sẽ tự động chạy vào lần khởi động tiếp theo của máy.





3. Cập nhật bản vá



Mặc dù đây là lỗi nguy hiểm nhưng hiện nay, Microsoft vẫn chưa đưa ra bản vá. Vì vậy chúng tôi xin khuyến cáo các bạn đọc kỹ Microsoft Security Advisory số 955179 và phòng tránh bằng cách thực hiện một trong các thao tác sau:





- Vô hiệu hóa ActiveX Snapshot Viewer của Microsoft Access trong Internet Explorer:



+Bật regedit editor, tìm đến các K.@.y sau:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExpl orer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExpl orer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExpl orer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]



+Đặt giá trị "Compatibility Flags" của các K.@.y này thành dword:00000400



- Cập nhật phiên bản Internet Explorer 7: Internet Explorer 7 sẽ an toàn hơn cho người dùng trong việc sử dụng các ActiveX.



- Lưu ý khi sử dụng: Tránh vào các website không rõ nguồn gốc, bấm vào các đường link hay email lạ



Chuyên viên phân tích: Mai Xuân Cường (bkav.com.vn)

[nguyenvinh16121993]

~*~ Thông tin virus mới ~*~​

Chào các bạn hiện nay tình hình virus ngày càng phức tạp. Mình lập topic này, để giúp các bạn có thông tin về mức độ nặng hay nhẹ của virus. Qua đó biết cách phòng ngừa kịp thời và hiệu quả nhất.



Lỗ hổng zero-day nguy hiểm của MS Access



1. Thông tin chung



ActiveX dùng trong chức năng Snapshot Viewer của Microsoft Access cho phép người dùng có thể xem các file Access Report Snapshot mà không cần phải cài đặt bất kì phiên bản Microsoft Office Access nào. Bạn có thể dùng Internet Explorer hoặc bất kì phần mềm nào có hỗ trợ ActiceX để sử dụng chức năng này.



Vào đầu tháng 7-2008, một lỗi nguy hiểm của ActiveX này được Microsoft công bố, dựa vào lỗi này, attacker chỉ cần lừa người dùng vào trang web có chứa mã độc khai thác lỗi trên, rồi sau đó xâm nhập, chiếm quyên điều khiển máy người dùng, lấy đi các thông tin cá nhân ...Nguy hiểm hơn, khi ActiveX này có trong hầu hết các phần mềm Microsoft Access và lỗ hổng này chưa được Microsoft đưa ra bản vá.



ActiveX Snapshot Viewer được sử dụng trong các phiên bản:



Microsoft Access 2000

Microsoft Access 2002

Microsoft Access 2003

Microsoft Access Snapshot Viewer

Microsoft Office 2000

Microsoft Office 2003 Professional Edition

Microsoft Office 2003 Small Business Edition

Microsoft Office 2003 Standard Edition

Microsoft Office 2003 Student and Teacher Edition

Microsoft Office XP



2. Mô tả kỹ thuật



Trung tâm An ninh mạng Bkis đã tiến hành thử nghiệm và xác minh mức độ nguy hiểm của lỗ hổng này. Kết quả phân tích cho thấy, lỗi nằm ở file snapview.ocx ActiveX Control. Ngoài chức năng xem các file Report Snapshot (có đuôi mở rộng là .snp) trên có trên máy local, ActiveX này cho phép người dùng có thể xem các file snp qua mạng thông qua mã nhúng html chạy trên Internet Explorer. Thực chất của công việc này là Snapview sẽ tự động download file thông qua đường link được định trong đoạn mã html về thư mục Temp rồi sau đó mới bắt đầu xử lý như đối với file trên máy local.



Tuy nhiên, Snapview ActiveX đã không kiểm tra định dạng của các file mà download luôn về máy, lợi dụng sơ hở này, thay vào việc đưa vào mã nhúng html các link file snp, kẻ xấu sẽ đưa vào link của các file có chứa mã độc, thậm chí cả các file thực thi (*.exe). Attacker hoàn toàn có thể cho người dùng download những file bất kì về những vị trí bất kì trên máy người dùng.



Khi các file chứa mã độc đã có trên máy người dùng, người dùng có thể vô tình kích hoạt file chứa mã độc hoặc file mã độc sẽ được đặt trong những thư mục nhạy cảm, như thư mục Windows Startup nơi mà các file trong đó sẽ tự động chạy vào lần khởi động tiếp theo của máy.





3. Cập nhật bản vá



Mặc dù đây là lỗi nguy hiểm nhưng hiện nay, Microsoft vẫn chưa đưa ra bản vá. Vì vậy chúng tôi xin khuyến cáo các bạn đọc kỹ Microsoft Security Advisory số 955179 và phòng tránh bằng cách thực hiện một trong các thao tác sau:





- Vô hiệu hóa ActiveX Snapshot Viewer của Microsoft Access trong Internet Explorer:



+Bật regedit editor, tìm đến các K.@.y sau:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExpl orer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExpl orer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExpl orer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]



+Đặt giá trị "Compatibility Flags" của các K.@.y này thành dword:00000400



- Cập nhật phiên bản Internet Explorer 7: Internet Explorer 7 sẽ an toàn hơn cho người dùng trong việc sử dụng các ActiveX.



- Lưu ý khi sử dụng: Tránh vào các website không rõ nguồn gốc, bấm vào các đường link hay email lạ



Chuyên viên phân tích: Mai Xuân Cường (bkav.com.vn)

Mà cho mình hỏi, sao bản virus của ông đến giờ chưa ra vậy, nói cuối tháng 7 đầu tháng 8 sẽ ra, giờ không nói nữa.