近日,瑞星公司网络安全研发部捕获了一批利用ie7漏洞进行传播的网页木马,此网页木马依靠IE7在处理畸形XML代码时导致内存越界的漏洞,执行任意代码。用户只要用IE7内核的浏览器(如遨游、世界之窗、腾讯TT等)访问了被挂马的网页,就有可能遭受个人信息被盗、计算机被远程控制或成为新的病毒传播源等问题。
通过对已经掌握的样本进行分析,所有版本Windows XP,Windows Server2003上的IE7浏览器均存在该问题,目前,这个漏洞仍然是一个0day(零日),但微软已经声称正在由全球紧急应变中心进行处理。
对此,瑞星公司研发部副总经理马杰表示:12月8日,就发现了被挂该木马的网站,截止到12月9日,共发现有数百个网站被挂马,并指向以下22个域名:
· baidu-bai6.cn
· baidu-baiduxin1.cn
· baidu-baiduyi4.cn
· baidu-baiduyi5.cn
· baidu-du6.cn
· baidu-du8.cn
· baidu-jlk11.cn
· cc4y6.cn
· cc4y7.cn
· cc4y8.cn
· cc4y9.cn
· fyesn.cn
· jdwdh.cn
· sothink2.cn
· sothink3.cn
· sothink4.cn
· sothink5.cn
· sothink6.cn
· sothink7.cn
· sothink8.cn
· sothink9.cn
· vip.4s3w.cn
· wyyyyywww.cn
· sllwrnm5.cn
而这些域名主要分布在来自江苏和广东省以下3个IP:
· 218.3.53.168
· 121.10.107.233
· 121.12.173.218
所以,该漏洞目前已经造成的影响可能比目前大家已经了解到的情况要更为严重一些。目前,瑞星已经在防毒墙产品上对于此类问题进行更新,能够有效在网关处对改木马进行拦截,进而避免企业内部网络受到该问题的影响。在此,对个人以及企业用户,希望大家及时做好安全防范工作,避免不必要的损失。
· 对于个人用户
安装最新版卡卡助手;
将以上域名加入本机hosts文件,将其域名解析成127.0.0.1,进行隔离;
除非必要情况,暂时使用其他非IE内核的浏览器(Firefox,Opera,Chrome)等。
· 对于企业用户
及时升级瑞星防毒墙;
在网关处添加防火墙规则,禁用上述IP地址;
经常检查自己的网站内容是否被挂马,特别留意是否指向以上地址。
