此文章主要讲述的是EXE文件解析远程的代码执行漏洞,以下就是文章就是对EXE文件解析远程的代码执行漏洞的主要内容的详细描述,望大家在浏览之后会对其有更深的了解,望大家能有所收获。
受影响系统:
Panda Antivirus
描述:
BUGTRAQ ID: 24989
熊猫卫士是熊猫系列杀毒软件,支持对多种文件格式进行病毒分析。
熊猫卫士的文件解析引擎在解析畸形.EXE文件时整数负值过程中存在缓冲区溢出,如果用户受骗打开了恶意的可执行文件的话,就可能触发这个溢出,导致在用户系统上执行任意代码。
链接:
建议:
厂商补丁:
厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
【编辑推荐】
360安全卫士提示我要修复存在系统漏洞,可以放心修复吗?对电脑会不会有影响?
请放心使用!
为什么电脑会被病毒倾入
从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。 这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况;另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染或文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。 例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。 但我们也发现有的病毒对传染对象反复传染。 例如黑色星期五病毒只要发现文件就进行一次传染, 再运行再进行传染反复进行下去。 可见有条件时病毒能传染, 无条件时病毒也可以进行传染。 计算机病毒传染的一般过程是什么?在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。 该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。 可执行文件感染病毒后又怎样感染新的可执行文件?可执行文件或感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。 一旦进入内存, 便开始监视系统的运行。 当它发现被传染的目标时, 进行如下操作:(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。 操作系统型病毒是怎样进行传染的?正常的PC DOS启动过程是:(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;(3)转入Boot执行;(4)Boot判断是否为系统盘, 如果不是系统盘则提示;non-system disk or disk errorReplace and strike any key when ready否则, 读入IBM 和IBM 两个隐含文件;(5)执行IBM 和IBM 两个隐含文件, 将装入内存;(6)系统正常运行, DOS启动成功。 如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。 因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作;(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。 如果发现有可攻击的对象, 病毒要进行下列的工作:(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。 操作系统型病毒在什么情况下对软、硬盘进行感染?操作系统型病毒只有在系统引导时进入内存。 如果一个软盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存, 也就不能活动。 例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。 操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。 这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况;另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染或文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。 例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。 但我们也发现有的病毒对传染对象反复传染。 例如黑色星期五病毒只要发现文件就进行一次传染, 再运行再进行传染反复进行下去。 可见有条件时病毒能传染, 无条件时病毒也可以进行传染。 计算机病毒传染的一般过程是什么?在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。 该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。 而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。 可执行文件感染病毒后又怎样感染新的可执行文件?可执行文件或感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。 一旦进入内存, 便开始监视系统的运行。 当它发现被传染的目标时, 进行如下操作:(1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;(2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;(3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。 操作系统型病毒是怎样进行传染的?正常的PC DOS启动过程是:(1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;(2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;(3)转入Boot执行;(4)Boot判断是否为系统盘, 如果不是系统盘则提示;non-system disk or disk errorReplace and strike any key when ready否则, 读入IBM 和IBM 两个隐含文件;(5)执行IBM 和IBM 两个隐含文件, 将装入内存;(6)系统正常运行, DOS启动成功。 如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:(1)将Boot区中病毒代码首先读入内存的0000: 7C00处;(2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;(3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。 因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作;(4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;(5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。 如果发现有可攻击的对象, 病毒要进行下列的工作:(1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;(2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;(3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。 操作系统型病毒在什么情况下对软、硬盘进行感染?操作系统型病毒只有在系统引导时进入内存。 如果一个软盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存, 也就不能活动。 例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。 操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进入内存。 这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。 入内存。 这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。
漏洞补不上,怎么办
严格意义上说,微软的操作系统和Office的漏洞是否需要修复,要以微软更新为主。 各种辅助升级的工具(如360 ,卡卡助手,金山清理专家,鲁大师Z武器等等)或者杀毒软件(NOD32或卡巴斯基,金山毒霸等)的提示都只能做为一个参考。 而且由于对漏洞库的检测原则的差异,有些补丁这个工具说有,另外一个却说没有,一般情况下还是要以微软的更新为准来判断!
强烈的建议 你直接到微软的官网打补丁,更准确,更直接。微软官方升级页面简单的说吧
严重 (紧急) 重要的都要打,
安全级别为一般的可暂不打,有条件还是都打了。
有些时候,交叉的换一些个工具可能会解决问题。 类似的工具有金山的清理专家,瑞星的卡卡助手,超级兔子的升级天使,360的漏洞修复等。 -最好能直接在微软的官网上升级,如果你不喜欢,建议你 更换一个工具.建议用金山清理专家 做的很不错。 金山清理专家2.7.5正式版(永久免费) 安装包更新日期:2009年11月11日这是官网下载地址!
发表评论