最近微软的IE浏览器(包括IE7、IE6,腾讯TT、傲游Maxthon等基于IE内耗的浏览器,迅雷、MSN、Office、Outlook等基于IE的应用程序)爆出近期最严重的0day漏洞,大量黑客利用0day漏洞制造大量挂有木马的网站,我们正常浏览网页时就可能中毒。目前,微软官方还没有发布有效的升级补丁来填补0day漏洞,各大安全杀毒软件厂商也还未提供有效的清楚方法。因此,最近大家最好使用Firefox、Google Chrome等浏览器浏览网页,但这也不是万全之策,因为微软Windows操作系统早已整合了IE浏览器,任何使用Windows操作系统的用户都有因0day漏洞感染病毒。
所谓“0day漏洞”指微软官方未发现或发布补丁的漏洞。2007年就出现过多起针对微软office“0Day漏洞”的病毒,比如“ANI漏洞”病毒。其中,0day 泛指所有在官方发布该作品之前或者当天,主要涵盖了影视、软件、游戏、音乐、资料等方面,由一些特别小组非法发布的数码内容。基本上每个0day发布作品中都包含了说明该发布作品的.nfo文件,该文件主要包括发布小组的信息、发布作品的信息、破解信息等。现在黑客已经开始利用IE浏览器的0day漏洞伺机疯狂传播木马,相应挂马网页的数量也呈现出爆发式增长势头。据了解,这些挂马网页上传播的都是那些曾经非常流行的顽固木马下载器,包括“机器狗”系列、“AV终结者”、“ghost软件”、“僵尸网络下载者”等。网友一旦访问这些页面,就会自动下载并运行上述木马,从而打开电脑防御系统的缺口,进一步下载各种盗号木马,在所有盘符释放autorun.inf 以及替换系统文件,并屏蔽安全软件,甚至下载ARP木马主动攻击局域网其他用户。
虽然微软还没有发布升级补丁,但已经向用户公布了如何屏蔽0day漏洞的4大方法。由于IE浏览器 0day 漏洞出在 OLEDB32.dll 和 MSHTML.DLL 文件上。所以微软的4大屏蔽方法就是直接屏蔽 OLEDB32.dll 和 MSHTML.DLL 文件。其中,oledb32.dll是微软数据库访问(Microsoft Data Access)组件的一部分。
1. SACL 法
[Unicode]
Unicode=yes
[Version]
signature=”$CHICAGO$”
Revision=1
[File Security]
“%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll”,2,”S:(ML;;NWNRNX;;;ME)”
将以上内容保存为 BlockAccess_x86.inf,然后在命令提示符里执行 SecEdit/configure/db BlockAccess.sdb/cfg 。其中 为 inf 文件路径。若成功会看到“操作成功完成”的提示。
2. 禁用 Row Position 功能法HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}
打开注册表编辑器,将此键删除即可。
3. 取消 DLL 注册法
在命令提示符中输入 Regsvr32.exe/u “Program Files\Common Files\System\Ole DB\oledb32.dll”即可。
4. 权限设置法
在命令提示符中输入 cacls “Program Files\Common Files\System\Ole DB\oledb32.dll”/E/P everyone:N
vista 系统则需要输入3个命令:
takeown/f “Program Files\Common Files\System\Ole DB\oledb32.dll”
icacls “Program Files\Common Files\System\Ole DB\oledb32.dll”/save %TEMP%\oledb32.32.dll.TXT
icacls “Program Files\Common Files\System\Ole DB\oledb32.dll”/deny everyone:(F)
除了微软官方的4大解决方案外,针对0day漏洞,我们还可以做好以下六个方面:
(一)用户在浏览互联网时,尽量使用不以微软IE为核心的浏览器上网。
(二)要及时升级计算机系统中的防病毒软件和防火墙;在使用计算机系统浏览网页时,开启防病毒软件的“实时监控”功能,同时打开防火墙。
(三)打开防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,达到全方位保护计算机系统安全的目的。
(四)养成良好的上网习惯,尽量从大规模门户网站或官方网站浏览信息,不随意登陆不明网站及不规范网站。
(五)不要随便打开来历不明的邮件附件或点击陌生邮件的网页链接。
(六)随时关注微软官方网站,及时升级补丁程序。
