趋势科技(5月1日) 发布蠕虫病毒「WORM_SASSER.A」中度风险警报
网络安全软件和服务领域的世界领导者----趋势科技(纳斯达克代码:TMIC;东京证交所代码:4704)5月1日发布全球中度风险病毒警报,震荡波病毒WORM_SASSER.A利用微软最新发布的系统漏洞之一—LSASS的漏洞正在欧洲及国内迅速传播。这个漏洞是微软在4月13日时公布的,仅两个星期之后就被黑客利用。鉴于之前MS RPC以及MS SQL server 2000漏洞补丁缓慢的应用速度,趋势科技估计这个新漏洞的补丁许多用户还没有及时安装,所以这个病毒的潜在危害还是比较大的。
该病毒最重要的特点是利用了微软在安全公告板中描述的LSASS这一漏洞,主要原因是在该服务的主程序中存在未经检验的缓冲区,导致病毒可以利用一个经过精心构造的数据包造成LSASS缓冲溢出,从而执行病毒的指令,使病毒达到传播的目的。由于这个病毒利用系统本身的漏洞,直接攻击系统服务本身,导致重要的系统服务不能正常工作,从而严重影响正常使用。
由于该服务存在于基于NT的平台,而此类平台为客户所广泛使用导致病毒广泛传播。同时当LSASS遭到攻击时可以直观的观察到以下现象:
同时直观的可以观察到由于LSASS服务不正常,导致用户系统不断重启。
如同其他蠕虫一样,该病毒通过在Windows文件夹生成自身拷贝,同时通过修改注册表添加如下键值的方式实现系统启动时病毒被自动执行:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
avserve.exe = %Windows%avserve.exe
趋势科技网络病毒墙NVW对震荡波病毒WORM_SASSER.A可进行有效防护:
此病毒为一个典型的利用精心构造的数据包进行系统的攻击的病毒,因此该病毒可以很好的利用趋势科技最新上市的“趋势科技网络病毒墙NVW”进行防护,趋势科技已经发布了相关的NVW特征代码,用于在网络上直接阻绝该病毒发布的数据包,从而基本上切断病毒传播所根本需要的渠道。而使用其他产品的用户,可以通过部署版本为331的TSC进行系统中感染病毒的清除。同时建议用户及时更新微软在MS04-001公告板中公布的系统更新程序。
趋势科技的用户请立即将病毒码更新879(含)以上。另外,趋势科技早已经在病毒爆发的第一时间,为具备集中管理能力的企业级客户,预先提供了可以控制此病毒传播的“病毒爆发预防策略(OPP)”,OPP110可自动部署,可以阻止病毒文件感染到操作系统当中,为用户在第一时间提供最及时有效的防护。对于使用趋势科技网络防毒墙网络版和服务器版的用户,请将损害清除服务(DCS)组件更新至331,可以自动恢复受到感染的系统。
相关网站:
趋势科技: http://www.trendmicro.com.cn/
关于趋势科技
趋势科技—网络安全软件及服务领域的全球领导者,几年前就以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流,现在又以独特的服务理念再次向业界证明了趋势科技的前瞻性和领导地位。总部位于日本东京和美国硅谷,目前在26个国家和地区设有分公司,员工总数近2000人。趋势科技分别在日本东京证券交易所和美国NASDAQ上市,并在2002年10月入选日经指数成分股,创造了日本证券史上的奇迹。
趋势科技在把创新思想成功转化为尖端科技方面享有盛誉,Gartner Group连续四年把趋势科技评定为最具创新能力的防毒管理供应商。IDC数据表明,趋势科技在全球服务器架构防毒解决方案居领导地位,在整体服务器防毒软件市场、群组防毒软件市场、网关防毒软件市场的占有率均高居全球第一位。
趋势科技2002年在全球推出了里程碑式的企业安全防护战略-EPS(Enterprise Protection Strategy), 采取主动性的预防措施,在病毒爆发的初期通过中央控管系统及时部署预代码,并对病毒进行生命周期的管理,从而使用户得到最大限度的安全保证。 趋势科技一向注重服务品质,其企业专属咨询服务—PSP(Premium Support Program)自从推出以来,就受到了众多国际性大企业的青睐。去年,趋势科技在PSP的基础上又提出了服务等级协议--SLA(Service Level Agreement),这又是一个伟大的创举,趋势科技做出了如果没有在规定时间内解决客户的问题将接受罚款的大胆承诺,这在防毒业界是唯一的。
