目前,针对微软WORD的新型瞬时攻击开始发力。
微软在9月5日确认,恶意攻击者正在利用一个新发现的且未被微软掌握的Word 2000漏洞向用户电脑中植入后门木马。
微软的确认是在反病毒公司赛门铁克先前发出的病毒警报后作出的。该警报称,他们在 Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003及Windows XP系统中都发现了安全威胁。
微软发言人称,位于华盛顿雷德曼市的公司安全反应小组研究了病毒报告并断定该攻击仅限于使用Word 2000的用户。他说,“我们已经注意到一种和Win32/Wordjmp及Win32/Mofeir等恶意程序有关的攻击场景”,他补充说,病毒定义文档已传送给公司的免费Windows Live OneCare安全扫描中心进行检测和清除。
安全警报厂商Secunia公司把该漏洞定级为“极度危急”,并建议Word用户不要打开来历不明的Word文档。
微软建议用户:在安全模式下使用Word。
根据FrSIRT系统漏洞研究小组的描述,这个bug属于“内存中断错误”,在Word 2000处理异常文件时产生。在一份公开发表的报告中,该小组称,“通过诱使用户打开特制的Word文档,攻击者可利用这个漏洞执行任意命令”。
赛门铁克宣布他们的病毒卫士截取到了含有一个特洛伊木马释放器和一个后门蠕虫的双重病毒攻击。这个名为Trojan.Mdropper.Q的木马释放器用来在受感染的电脑上释放clipbook.exe 和clipbook.dll这两个恶意程序。
这两个文件链接到一个名为Backdoor.Femo的特洛伊木马,后者具有进程注入能力。
后门受到远程攻击者的命令控制,可用来进入Windows的命令shell,运行可执行文件,删除或创建文件和文件夹,以及从互联网上下载其他文件等。
此次攻击之前已有类似的针对未安装补丁的微软Office软件的病毒攻击。七月份以来,已出现了多次单独的瞬时攻击,均使用特制的Word、Excel和PowerPoint文件进行。
2005年,微软针对影响所有版本Office软件的五个安全漏洞发布了安全补丁。在2006年前八个月,这个数目已经飙升到了24个。