VULHUB ™

Trend Micro OfficeScan是美国趋势科技（Trend Micro）公司的一套分布式反病毒软件。安装过程中会提示是否采用WEB管理方式。如果选择采用WEB管理方式，OfficeScan客户端将侦听12345/TCP端口，用于定期接收病毒数据库更新或者来自OfficeScan管理端的命令。 远程攻击者有好几种办法对Trend Micro OfficeScan进行拒绝服务攻击。 向12345/TCP发送随机数据，tmlisten.exe的CPU占用率将高达100\\%，并引发一个Visual C++错误，最终导致机器崩溃。 向12345/TCP发送随机数据的同时，打开5个以上到该端口的TCP连接，该端口上的服务将停止响应。必须重启服务才能恢复正常。 同一网段的用户可能利用Sniffer捕捉管理命令，修改后重新发往客户端，这些请求的最后两个字节意义如下： 04： 远程卸载OfficeScan客户端 06： 开始扫描 07： 停止扫描 OfficeScan客户端向OfficeScan管理端提交URL请求，获取一些配置信息。如果攻击者伪造了一台有效的OfficeScan管理端服务器，就可能更改OfficeScan客户端扫描策略，比如只扫描.txt文件，不扫描软盘、光盘，指示OfficeScan客户端将被感染文件移动到别的位置。

Trend Micro OfficeScan是美国趋势科技（Trend Micro）公司的一套分布式反病毒软件。安装过程中会提示是否采用WEB管理方式。如果选择采用WEB管理方式，OfficeScan客户端将侦听12345/TCP端口，用于定期接收病毒数据库更新或者来自OfficeScan管理端的命令。 远程攻击者有好几种办法对Trend Micro OfficeScan进行拒绝服务攻击。 向12345/TCP发送随机数据，tmlisten.exe的CPU占用率将高达100\\%，并引发一个Visual C++错误，最终导致机器崩溃。 向12345/TCP发送随机数据的同时，打开5个以上到该端口的TCP连接，该端口上的服务将停止响应。必须重启服务才能恢复正常。 同一网段的用户可能利用Sniffer捕捉管理命令，修改后重新发往客户端，这些请求的最后两个字节意义如下： 04： 远程卸载OfficeScan客户端 06： 开始扫描 07： 停止扫描 OfficeScan客户端向OfficeScan管理端提交URL请求，获取一些配置信息。如果攻击者伪造了一台有效的OfficeScan管理端服务器，就可能更改OfficeScan客户端扫描策略，比如只扫描.txt文件，不扫描软盘、光盘，指示OfficeScan客户端将被感染文件移动到别的位置。