A Quick Update About MS08-067 Exploit

Monday, November 17, 2008 3:30 PM by mmpc 

A few weeks ago, Microsoft released an update for a vulnerability in Windows that was considered “wormable” in certain scenarios. Bulletin MS08-067 includes more information. There were limited attacks in the wild at the time of the release and we blogged about it here. We would like to give you a quick update about the attacks we've seen since then.

几个星期以前，微软发布了一个漏洞升级包，该漏洞在特定情况下可用于蠕虫攻击。MS08-067公告披露了更多的信息。截止发布补丁时，公共网络上只有少量的攻击是针对该漏洞的，我们已经记录了相关信息。接下来我们将要给你 自补丁发布后 的最新攻击信息。

First, it is quite obvious that people are trying to create effective exploits for this vulnerability. Almost every day, we find new variants exploiting MS08-067. By now, we have collected over 50 distinct exploits of this vulnerability. Some of them are simply compilations of Proof Of Concept code that was released on a variety of web sites. Some others are actual malware that exploit the vulnerability and take some action. Others wrap existing exploit code to enable the targeting of large ranges of IP addresses. We also found some GUI tools to create exploits, however the code they use is similar to the exploit code in other binaries. Our generic signature,Exploit:Win32/MS08067.gen!A,  catches the current exploit files. For some of them we added specific signatures. In any case, in spite of the increasing number of files exploiting MS08-067, we’re getting a very small number of customer reports for these attacks. It is therefore possible that some of these files are used for targeted attacks. As before, we continue to strongly recommend installing this security update on all your Windows computers, if you haven’t already done so. Here is a chart with the number of detections by our generic signature sorted by various countries/regions around the world. 
首先，很明显，很多人正在试图构造利用该漏洞的代码。几乎每天，我们都能发现 利用MS08-067的新变种。到目前为止，我们已经收集到了50个不同的利用该漏洞的变种。有些变种只是简单的编译了 一些网站上公布出来的伪代码。另外一些则是真正的恶意软件，通过利用该漏洞，做些隐秘操作。剩下的一些封装了已经存在的漏洞利用代码，以便在某个大的IP地址段中传播。我们还发现了一些能生成利用代码的GUI工具，不过生成的代码与其它二进制文件中的漏洞利用代码极为相似。我们的公共特征库，Exploit:Win32/MS08067.gen!A，

捕获了当前能利用漏洞的文件。针对这些文件，我们已经增加了 特定的特征。不管怎样，虽然利用MS08-067的文件数量在增长，但是只有少量的客户向我们提交了受攻击的报告。因此这些文件中可能只有部分是用来攻击目标的。像往常一样，如果你还没有安装补丁，我们仍然强烈建议你 为所有安装了WINDOWS的电脑安装它们。下面的图表是我们的公共特征库在全世界范围内按照国家和地区分类所检测到的攻击数量。

The first attacks downloaded a bunch of malware which we detect as variants of the Win32/Gimmiv family. We have added the ability to detect and remove this malware to the November release of the MSRT, however in the first three days after this release, we received no reports for this malware. Note that in some cases, this malware deletes itself and in that case a later scan will detect nothing. There is however one file that was detected slightly more frequently in the wild. Its SHA1 is 58C7DD2B5F5A1C4288FFE423F7456857B9935C2C. We detect this one using the name Trojan:Win32/Clort.A.dr. We found that this file uses a variety of names such as MS08067a.exe, ma[<one digit>].exe, or 00001<ten random digits>.exe.  All the reports, a few dozen in total, were sent by computers in Japan in early November but we have not received any more reports since. We'll continue to monitor the situation and update our signatures to keep our customers protected.

针对该漏洞的首次攻击批量下载了恶意软件，经检测这些恶意软件是Win32/Gimmiv家族的变种。11月发布的MSRT已经增强了检测和清除这些恶意软件的能力，然而发布后的最初三天里，我们没有收到和该恶意软件有关的报告。注意：某些情况下，这种恶意软件会删除自身，如果那样的话，后期的扫描是无法检测到它们的。但是我们检测到有一个恶意软件在公共网络上频繁攻击。它的SHA1值是58C7DD2B5F5A1C4288FFE423F7456857B9935C2C，已被命名为Trojan:Win32/Clort.A.dr。该恶意软件使用了多种文件名，如MS08067a.exe，ma[一位数].exe以及 00001<十位随机数>.exe。11月上旬，日本的电脑提交了几十份攻击报告，但是到目前为止我们没有再收到更多的报告。我们将继续监控和升级特征库以保护客户