I.DirectShow 0day漏洞简要介绍:
2009年7月4日以后,该漏洞为国内几大挂马集团所利用,漏洞利用代码迅速传播,有些挂马集团甚至撤除原有的所有漏洞利用代码仅更换DirectShow
0day利用代码。
DirectShow 0day影响系统:Windows XP/2003。
截止2009年7月12日0:00,知道创宇安全团队监测到DirectShow 0day挂马源近百个。
由于微软官方尚未发布相关补丁,所以该漏洞利用的成功率极高。建议用户使用该补丁修复。
国内黑客论坛对该漏洞的描述:
II.知道创宇DirectShow 0day补丁使用方法:
1.确定MSVIDCTL.DLL文件版本:
1)经典开始菜单下:“开始”菜单->“搜索”->“文件或文件夹(F)…”->“所有文件和文件夹”
默认开始菜单下:“开始”菜单->“搜索”->“所有文件和文件夹”
2)“要搜索的文件或文件夹名”输入MSVIDCTL.DLL
单击“搜索范围”的下拉菜单选择“浏览”,在对话框中选择“我的电脑”->“C:”(这里选择操作系统所在的逻辑分区的盘符)->“windows”(系统文件夹)
然后单击“立即搜索”,在搜索到的文件上单击右键选择“属性”->“版本”即可看到“文件版本”。这里需要注意的是,该补丁只适用于6.5.2600(6.5.2600.XXXX)版本的文件。
2. 安装补丁
首先要在http://www.knownsec.com/directshowpatch.rar下载补丁。
然后将两个文件解压到同一个目录下,双击directshowpatch.exe
单击“是(Y)”,将自动结束文件替换。
III.文件恢复:
如果补丁造成程序运行不正常可以替换为原来的文件。
可以下载使用如下批处理文件恢复:
http://www.glacierlk.cn/openlab/directshow_resume.rar
有关该漏洞补丁的详细说明参见:
http://www.scanw.com/blog/archives/1076
Popularity: 12% [?]
