专家发现linksyswag54g2路由器漏洞-朗维科技.pdfVIP

安全周报 2009/06/012009/06/07 朗维论坛地址：/bbs 本期导航： 一周漏洞播报 一周病毒预警 一周安全要闻 安全防护知识 一、 漏洞播报 编号 漏洞名称 漏洞影响 漏洞更新 1 Linksys 允许攻击者使用路由器的管理界面对路由 暂无 WAG54G2 路由 器进行远程控制 器漏洞 专家发现Linksys WAG54G2路由器漏洞 详细描述： 一位安全研究人员MichalSajdak 最近在使用率颇高的一款Linksys 路由器WAG54G2 中 发现了一些漏洞，这些漏洞允许攻击者使用路由器的管理界面对路由器进行远程控制。攻击 者可以利用这个漏洞向路由器的Linux 操作系统中注入Shell 命令。而如果用户没有及时更 改路由器管理员账号密码，那么攻击者很容易就可以利用这个漏洞对路由器进行攻击。 “当你登录路由器的Web 管理界面时，只要使用简单的注入技术就可以获得操作系统 的高级管理权限。”Sajdak 写道，“如果用户没有及时更改路由器的管理员账号密码，那么外 网攻击者还可以使用CSRF 跨站请求伪造技术轻易获得路由器的管理权限。攻击者还可以看 到路由器上都在运行那些服务进程，并观察路由器内部的配置参数。” 由于路由器的Web 管理界面对本地网络用户是默认开放的，因此从本地网络中发起路 由器攻击最容易。不过，通过使用CSRF 跨站请求伪造技术，外网用户也可以对路由器进行 远程控制。 Sajdak 称3 月份他便已经就此警告过思科，不过到上周日他们仍然没有做出任何更新补 救动作，因此Sajdak 呼吁这款路由器的用户应尽快更改路由器管理员用户的密码。 二、 病毒预警 编号 病毒名称 病毒类型 威胁级别 病毒影响 1 杀人魔 木马病毒 关闭安全软件的自保护功能 2 系统杀手 木马病毒 关闭安全软件的自保护功能 2.1“杀人魔”病毒 病毒名称: 杀人魔 威胁级别: ★★☆☆☆ 病毒类型: 木马病毒 病毒长度: 27960 影响系统: Win9x、WinMe、WinNT、Win2000 、WinXP 、Win2003 病毒行为: 病毒运行后，如果发现系统中不存在某些安全软件的进程，则会在被感染系统的 “%SystemRoot%\system32\drivers\” 目录下释放恶意驱动程序“kvsys.sys” 和“tesafe.sys” 。在 “%USERPROFILE%\Local Settings\Temp\” 目录下释放具有“ 系统、隐藏” 属性的恶意程序 “fsrtdfyyvuu.exe” ，并将其复制到“%SystemRoot%\fonts” 目录下，重新命名为“system32.exe” 。 病毒运行时，会利用恶意驱动程序“kvsys.sys”关闭安全软件的自保护功能，并试图结束 大量的安全软件进程。修改本地时间，致使某些安全软件的授权失效进而无法开启监控，以 此使得用户的计算机系统失去安全软件的防护，为其进行后续的恶意操作创造了条件。强行 篡改“hosts”文件，利用域名映像劫持功能屏蔽某些安全站点，阻止用户对这些网站进行访问。 病毒会将“tesafe.sys”注册成名为“腾讯驱动” 的服务，并利用该服务在被感染计算机启动 时篡改系统文件“userinit.exe” ，从而轻易地达到了自动运行的目的，同时也增强了自身的隐 蔽性。 病毒会在除系统盘以外的分区中搜寻“.exe”文件，发现后便会在其目录下释放仿冒系统 文件的恶意DLL 组件“USP10.DLL” 。该恶意DLL 组件会随着正常程序的启动而被自动调用 运行，运行后会连接骇客指定的远程服务器