谁测试下带Duqu病毒的word文档，瑞星的office加固能加固不

显示全部楼层 · 发表于 2011-11-7 12:19:39

谁测试下带Duqu病毒的word文档，单瑞星的office加固能加固不

我没环境，各位大神试试~~

显示全部楼层 · 发表于 2011-11-7 14:00:52

刚问了下360官人
答案是：不能
原因：是由WORD触发的内核漏洞，并不是word本身的漏洞

显示全部楼层 · 发表于 2011-11-7 15:35:05

本帖最后由 newcenturysun 于 2011-11-7 15:35 编辑

这个漏洞是内核提权漏洞直接在那个word文档里面嵌入的字体文件里加内核里面才能执行的代码就可以这些代码直接可以跑在内核里面都不用驱动程序
这种东西普通的主动防御一般是拦截不了的主动防御拦截的一般都是“正统”的进入内核的方法这属于偏门
这种东西最好的解决办法一般是补丁

显示全部楼层 · 发表于 2011-11-7 16:27:30

newcenturysun 发表于 2011-11-7 15:35
这个漏洞是内核提权漏洞直接在那个word文档里面嵌入的字体文件里加内核里面才能执行的代码就可以这些代码 ...

求官人给个分析文档或者样本

显示全部楼层 · 发表于 2011-11-7 16:42:21

我不是官人。。
我只是在分析这个漏洞而已目前还没分析完成不过现在可以肯定的是该漏洞可以直接构造一个能触发漏洞的样本在样本的指定位置写上代码（内核态的代码）然后在三环让程序直接调用（显示）这个字体由于win32k.sys在解析的时候出现问题直接执行了字体文件中布局的代码从而导致提权换句话说就是三环的程序直接显示下那个恶意构造的字体（调用一些普通的显示字体显示窗口的API）就可以直接进0环

显示全部楼层 · 发表于 2011-11-7 18:04:47

瑞星的嵌入式杀毒也无法解决吗？那只有打补丁了。

显示全部楼层 · 发表于 2011-11-7 18:26:43

不懂怎么测试呢，从来没测试过

显示全部楼层 · 发表于 2011-11-7 18:34:07

应该可以的，应用程序加固是为了抵御用软件漏洞传播的病毒，通过限制这些程序的某些危险动作，来达到防止病毒利用这些软件的漏洞传播。

显示全部楼层 · 发表于 2011-11-7 18:36:31

看漏洞类型，感觉就拦不住

显示全部楼层 · 发表于 2011-11-7 19:29:55

newcenturysun 发表于 2011-11-7 16:42
我不是官人。。
我只是在分析这个漏洞而已目前还没分析完成不过现在可以肯定的是该漏洞可以直接构造一 ...

请问一下，目前有补丁了吗

[瑞星] 谁测试下带Duqu病毒的word文档，瑞星的office加固能加固不

评分