NOD32报hao123，qq空间，土豆JS/Exploit.CVE木马的原因

好好

昨天发现NOD32 EAV ESS报hao123，qq空间，土豆等网站木马。
提示为JS/Exploit.CVE-2010-0806。其实这是微软IE浏览器的零天漏洞，代号为CVE-2010-0806。

解决方案参考：
Microsoft IE畸形对象操作内存破坏漏洞

发布日期：2010-03-10

CVE ID：CVE-2010-0806

受影响的软件及系统：
====================
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 6.0

未受影响的软件及系统：
======================
Microsoft Internet Explorer 5.01 SP4
Microsoft Internet Explorer 8.0

综述：
======
Microsoft IE是微软Windows操作系统自带的浏览器软件。

IE在处理非法的对象操作时存在内存破坏漏洞，远程攻击者可能利用此漏洞通过诱使用户访问恶意网页在用户系统上执行指令，从而完全控制用户系统。

此漏洞是一个0day漏洞，目前已经报告有利用此漏洞的攻击出现，微软已经得知了此漏洞的存在并开始研究处理，但还未提供针对此漏洞安全补丁。


分析：
======
该漏洞是IE浏览器在处理特定类型和序列的对象操作过程中出现的问题。

如果在派生出来的对象中初始化特定操作，并在之后的操作中修改删除源对象，就会触发一个虚函数指针调用操作。因为对象被删除后，原来虚函数指针对应的内存可能存放其它数据，所以此时会将不确定的内存数据作为指针进行执行。通过精心构造内存中的数据结合Heap Spray等技术有可能利用此漏洞执行任意指令。

此漏洞已被利用来执行一些有针对性的攻击，并随着技术细节的扩散有可能被用来大规模进行挂马攻击。


解决方法：
==========
Windows用户可以采用下面几种临时解决方案来减少漏洞威胁：

* 修改系统对iepeers.dll文件的访问权限。

对32位系统，执行如下命令：

Echo y| cacls %WINDIR%\SYSTEM32\iepeers.DLL /E /P everyone:N

对64位系统，执行如下命令：

Echo y| cacls %WINDIR%\SYSWOW64\iepeers.DLL /E/P everyone:N

调整访问权限以后，打印和Web文件夹之类的扩展功能可能受到影响。

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。

* 将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

* 对Internet Explorer 6SP2或Internet Explorer 7启用DEP。


方法1：下载安装微软提供的开启DEP补丁：

http://go.microsoft.com/?linkid=9668626


方法2：手工开启全局DEP：

对于Windows XP用户，如果之前没有手工调整过DEP策略，请点击开始菜单的“运行”，输入“sysdm.cpl”，点击“确定”。点击“高级”分页，然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页，选择“除所选之外，为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。

微软官方地址：http://www.microsoft.com/china/t ... dvisory/981374.mspx