最新消息:

新一波利用安全漏洞病毒袭击网吧,请各位及时做好安全防护(开启IE安全及网页木马拦截)

热点问题 顺网小哥 18402浏览 0评论

在经历了一次暴雷漏洞的袭击后,近日又一利用严重的漏洞的病毒在网吧传播,导致部分网吧收到重创。顺网技术部人员在排查过程中发现,安装了净网先锋(MainPro.exe)的网吧在开机弹出一个网页广告后,此病毒就开始运行。分析发现在打开的广告的地址中包含一个html,访问此html后及触发了漏洞。

2013-05-16_183909

此时会在不经过用户任何同意的情况下执行一个名为Flash_ActiveX.exe的进程,看名字还以为是adobe官方的,其实不然。此程序会下载一些木马程序,关闭一些网吧维护软件的防护程序。导致在网维大师无盘环境下未开启网页木马拦截功能的网吧右下角出现一排绿色安全中心的图标。而原因正是此程序下载了一个名为conime.exe的程序将安全中心进程(BarClientSafeCenter.exe)结束,被结束后网维大师游戏菜单进程(BarClientView.exe)发现安全中心进程不存在又重新运行了起来,这样反复的运行关闭,最终我们看到的就是客户机右下角会有一排安全中心的小图标!

     2013-05-18_135911

2013-05-16_184049

在对病毒进行简单分析后,初步定位为flash的漏洞,曾亲自测试安装微软所有补丁修复程序(包括MS13-038)并升级IE Flash Player到最新版本(11.7.700.202),此问题依然可以复现,而adobe官方及各大0day分析网站并没有关于类似漏洞的分析情况。

2013年5月17日,经过研发人员分析,此病毒是利用MS12-063执行的病毒,IE6 7 8 9均会受到影响,而病毒作者在网页代码中只针对IE7 8做了操作。

【解决方案】

方法1:在安装网维大师后,只需要开启安全中心的“IE安全”(8系列版本为网页木马拦截)功能即可防御利用此漏洞的病毒。

QQ图片20130516203912

【如何开启7系列版本IE安全及8系列版本网页木马拦截?】

7系列版本中点击网维大师控制台最上方安全中心-IE安全,勾选启用即可。

2

8系列版本同样点击安全中心-第一页开启“网页木马拦截”功能即可。

1

【如何查看功能是否生效?】

在客户机打开IE浏览器,点击最上方工具-管理加载项,7系列查看方法如下图:

2013-05-16_211250

8系列版本只需在服务端开启此功能并保证客户机BarClientSafeCenter.exe进程存在,客户机会自动生效!

方法2:在路由上面临时屏蔽目前发现的病毒木马地址:222.186.33.73

【解决方案2】

安装微软针对MS12-063补丁程序:

XP SP3 IE6环境请安装:

WindowsXP-KB2744842-x86-CHS.rar    2,112 次

XP SP3 IE8环境请安装:

IE8-WindowsXP-KB2744842-x86-CHS.rar    2,808 次

WIN7 IE8环境请安装:

Windows6.1-KB2744842-x86.rar    1,929 次

WIN7 IE9环境请安装:

IE9-Windows6.1-KB2744842-x86.rar    1,687 次

转载请注明:网维大师帮助与支持 » 新一波利用安全漏洞病毒袭击网吧,请各位及时做好安全防护(开启IE安全及网页木马拦截)