-- 微软被曝视频控件新漏洞，木马Downloader.Fostrem伺机发动攻击

作者：赛门铁克中国安全响应中心

病毒名称：Downloader.Fostrem

病毒类型：木马

受影响的操作系统：Windows XP, Windows Server 2003

病毒分析：

微软操作系统被曝出新的视频控件漏洞，针对此漏洞的攻击也来势汹汹，对中国和亚洲其他地区的用户影响较大。到目前为止，微软尚未发布针对此漏洞的官方补丁或系统更新。赛门铁克已将针对该漏洞的攻击检测为Downloader.Fostrem，并已发布相关的病毒定义。

当用户使用Internet Explorer浏览恶意网页时，一个特别构造的JavaScript脚本会将伪装为.gif的病毒文件加载至用户计算机。随后，病毒文件会被作为参数传入ActiveX对象中（该ActiveX对象的CLSID为0955AC62-BF2E-4CBA-A2B9-A63F772D46CF）。当系统文件msvidctl.dll解析该.gif文件时，会出现溢出并覆写结构化异常处理函数，令攻击者可以利用堆扩散技术载入恶意代码。因此，当用户访问某些含有这类特别构造的文件的恶意网站时，漏洞便会被触发，攻击者可获取与当前计算机用户同等的操作权限，下载恶意文件至计算机中，并在受感染计算机中远程执行恶意代码。

诺顿安全专家建议：

诺顿安全软件的“浏览器主动防护”功能和“入侵防御技术”可以监控企图利用浏览器或其他在操作系统和应用程序中最新发现的安全漏洞的互联网威胁，以防止病毒、蠕虫和黑客利用这些漏洞进入您的计算机。

诺顿防病毒软件的创新“脉动更新”功能会每隔 5 到 15 分钟自动下载最新病毒定义库和产品更新至用户计算机中，从而有效保护计算机免受变化多端的病毒攻击。
 
禁止该ActiveX控件在Internet Explorer中运行。

使用浏览器时尽量以普通用户身份登录。权限越大，可能受到的影响就越大。

没有安装安全软件的用户可以访问 http://www.symantec.com.cn/trialware 下载诺顿360、诺顿网络安全特警2009或诺顿防病毒2009试用版对病毒进行查杀。

使用诺顿2006版本及之后产品的现有用户，可以免费将产品升级至诺顿2009版本，升级网址http://www.symantec.com.cn/nuc。