江民专家分析极光漏洞始末 或为Google退出原凶

农大

【转载】http://home.donews.com/donews/article/1/138971.html

美国时间1月14日，微软官方发布了Microsoft Security Advisory (979352)安全公告，确认在IE6/7/8版本中，存在零日漏洞，涉及的操作系统包括：Windows 2000 SP4, Windows XP/2003/Vista/2008，Windows 7。微软在安全公告中表示，IE在特定情况下，有可能访问已经被释放的内存对象导致任意代码执行，该漏洞可以被用来进行网页挂马。截止1月18日，微软并没有发布针对该漏洞补丁的时间表。

漏洞最早发现于GOOGLE被攻击事件

  江民反病毒专家表示，该漏洞最早可溯源于GOOGLE被攻击事件。美国时间1月12日，Google在其官方blog上发表文章，称Google和至少20家其他公司遭到了源自中国的攻击。攻击造成部分Google知识产权被盗。通过技术分析，这些攻击带有明显的针对性，企图监视若干中国人权主义人士的 Google帐号，但并没有成功。鉴于长期以来，来自中国的攻击和中国对互联网内容的审查和限制，Google考虑几周之内和中国政府谈判，有可能关闭Google.cn网站，撤销谷歌中国。而在此事件中，攻击Google所利用的正是"Aurora"（极光）漏洞，Google据此认为其正在受到严重干涉，因此导致了其副总裁发布退出中国市场的声明的事件。

    相关"Aurora"(极光)行动

  Google攻击事件发生后，国外安全人士发表科技博客首先确认了该漏洞，通过他们分析，袭击Google和其他若干公司的攻击正是利用了IE浏览器的一个0-day漏洞。并把这次攻击称为"Aurora"(极光)行动（张韶涵有一首同名歌曲《欧若拉》）。技术人员在分析恶意exe文件时，发现exe调试信息中包含的开发环境路径中存在"Aurora"，说明编写恶意exe程序的程序员使用名为Aurora的文件夹来保存源代码。安全人士据此认为黑客自己可能把此次攻击攻击代号取名为"Aurora"。

     江民杀毒软件紧急部署监控

  北京时间1月15日，包括江民科技在内的微软MAPP成员接到了微软通知，获知了相关漏洞详细技术信息，微软不但详细解释了漏洞原理，并给了一个可以造成IE崩溃的简单示例代码。江民科技迅即根据相关技术细节在杀毒软件中进行相关技术部署，推出监控和拦截利用漏洞的恶意网页监测代码。由于MAPP成员与微软签有保密协议，因此MAPP成员并没有对外界透露该漏洞的细节情况。1月16日，利用该漏洞的代码在网上被国外某安全研究机构公布。

  江民反病毒专家提醒，根据以往经验，一旦代码被公开，很快就会被大量应用于网页挂马。由于"Aurora"(极光)系“0-day”漏洞，微软尚无补丁发布，并且该漏洞涉及IE版本众多，可能对互联网安全造成极大的影响。

  目前，微软以及MAPP成员对该漏洞十分重视。作为MAPP成员之一，江民科技已经紧急研发出监测代码并升级，一旦发现利用该漏洞的病毒或恶意代码，将紧急升级杀毒软件病毒库进行拦截，请广大用户密切关注微软以及其它安全厂商动态，及时下载相关安全补丁，开启杀毒软件网页监控功能，避免遭到利用该漏洞的病毒攻击。