针对微软“DirectShow”漏洞挂马攻击或将大面积爆发

落日黄沙

所有网页都可能被恶意利用 建议网友尽快打临时安全补丁

　　360安全中心今日发布入夏以来首个橙色安全警报：360恶意网页监控系统昨夜拦截到多起针对微软“DirectShow视频开发包”漏洞的恶意攻击，攻击方式极为隐蔽，普通用户很难防范，鉴于微软官方目前尚未发布补丁，未来几天内此类攻击很可能大面积爆发。建议用户立即使用360卫士漏洞补丁修复功能，以便获得相应“免疫”能力。

　　据悉，这是工信部《木马和僵尸网络监测与处置机制》出台后出现的首个重大网络安全威胁，360安全中心已将相关样本信息提交国家计算机病毒应急处理中心，并紧急呼吁网民尽快安装360临时补丁。

　　据360安全专家石晓虹博士介绍，最新监控到的针对“DirectShow视频开发包”漏洞的攻击方式主要有两种：一种是网页挂马攻击，网民只要访问了挂有攻击代码的网页，其电脑就会自动下载运行一个远程控制木马；另一种是通过网民间的视频分享方式传播，用户只要播放他人发来的恶意视频，电脑也同样会成为任由黑客摆布的“肉鸡”。

　　石晓虹进一步解释称，这两种攻击方式之所以都很严重，是因为其攻击方式过于隐蔽，网民很难防范。比如，此次监控到的网页挂马，可以“通杀”所有主流浏览器，凡WindowsXP、2000及2003系统用户，无论使用IE内核浏览器还是FireFox浏览器，只要没有打这一补丁，其电脑都会“中招”。如此一来，任何网页都有可能成为传播木马的“毒源”。

　　据悉，360安全中心于5月21日率先发现微软“DirectShow视频开发包”漏洞后，第一时间通报给微软中国公司。5月28日，微软全球发布了针对该漏洞的安全建议，号召用户手动关闭DirectShow功能。360安全工程师发现，最初黑客只是针对该漏洞进行小范围地攻击演习，但随着微软对外发布相关信息后，黑客对该漏洞的攻击逐步进入了实战阶段。通过对此次监控到的挂马网页测试，360工程师发现，用户即便手动关闭DirectShow功能仍无法抵御该远程控制木马，因为该木马通过加密实现自我“伪装”，能躲过杀毒软件堂而皇之地侵入受害用户电脑。


　　图片说明：黑客针对“directshow视频开发包”漏洞的最新网页挂马攻击遭360安全卫士拦截



　图片说明：使用360临时补丁后，恶意视频同样可以被360拦截

　　据石晓虹透露，360安全中心在过去两周内与微软公司保持紧密联系，由于微软官方补丁尚处于开发测试阶段，短期内很难正式发布。在获得微软方面同意后，360安全中心于5月31日发布了临时安全补丁。截至发稿前，已有数千万360用户打上了该补丁。由于360临时补丁是一种内存补丁（又称热补丁），这种补丁不但获得了微软官方的承认，而且也不会与官方补丁发生冲突。所有360用户未来仍可下载官方补丁彻底修复“DirectShow视频开发包”漏洞。因此，用360临时补丁来屏蔽该漏洞的方式，是目前应对攻击的最有效方案。

　　石晓虹提醒广大用户，一定要摒弃事后查杀的侥幸心理，尽快按如下方案处理：

　　一、WindowsXP/2003用户尽快使用360安全卫士漏洞修复功能进行修复（WindowsVista及Windows7用户不受此漏洞影响）。

　　二、切勿访问不明网址，不随意点击陌生人发布的网页链接。

落日黄沙

　美国当地时间5月28日，微软公司发布安全建议（971778），证实WindowsXP等操作系统存在一个“DirectShow视频开发包”漏洞。一旦该0day漏洞被黑客利用，当网民在线观看经黑客恶意构造的视频文件时，电脑将自动下载和运行木马程序。

　　【WindowsVista及Windows7用户无需使用360临时补丁】

　　据悉，360安全中心通过恶意网页监控系统在5月21日发现了该漏洞，并在第一时间紧急通报给了微软公司。经微软安全专家分析研究后，认为该漏洞是一个高风险的安全漏洞。鉴于该漏洞的威胁正在扩散，为防止其对用户造成大面积危害，360安全中心于今日独家首发临时安全补丁，建议所有用户使用360卫士漏洞补丁修复功能，立刻安装这一补丁，并打开360网页防火墙实时保护，以便获得相应“免疫”能力。

　　据360安全专家介绍，DirectShow是微软公司推出的新一代基于网络流媒体处理的开发包，广泛支持asf、mpeg、avi、dv、mp3、wave等各种媒体格式。此次曝出的“DirectShow视频开发包”漏洞是一个动态链接库文件在使用滤镜进行“着色”时产生的，当用户在线观看恶意视频文件时，Realplayer、暴风影音、QQ影音、WindowsMediaPlayer、Quicktime等主流播放器都会触发该漏洞，从而使自己的网游、网银面临被盗风险。除WindowsVista及Windows7用户不受影响外，WindowsXP、Windows2000及Windows2003操作系统的用户均会受这一漏洞的影响。目前，微软公司已在其官方网站发布安全建议（971778），而正式补丁预计将在未来两个月内面向全球Windows用户同时发布。

　　据了解，黑客利用热门视频传播木马已成为惯用伎俩，而对“DirectShow视频开发包”漏洞的利用则是在视频播放时下载木马，而视频文件本身并不需要捆绑木马，因此可以避开杀毒软件和防火墙的防护，黑客可以通过在线播放“网页挂马”、网友间视频共享等多种途径传播木马。

　　为此，360安全专家提醒广大网民，包括“DirectShow开发包视频”0day漏洞在内的操作系统和第三方软件漏洞在得到官方修复前，木马病毒往往会伺机而动，未来数周内网上有可能会批量出现恶意在线视频网址，形成“影视剧流感”，网民在收看视频时应提高警觉，并尽快使用360安全卫士提供的临时安全补丁加以预防。

　　附：名词解释

　　“0day漏洞”，是指安全补丁发布前被外界掌握的有关操作系统或第三方软件的漏洞信息。