最新的病毒预警和一些漏洞安全公告
赛门铁克为手机用户推出智能安全DNS
[
2010-5-29 12:15 | by viphjw ]
赛门铁克周四宣布一项针对Android和iPhone智能手机的安全基础方案Norton Everywhere,它继承了安全,备份和基础设施技术,帮助企业和消费者确保手机安全。这套软件的亮点是可以用赛门铁克自建的DNS服务器核实每个用户访问的网址,过滤恶意代码和间谍软件的隐患,并且管理员还可以改变DNS设置,例如采用Google DNS。此外,智能手机软件还可以远程锁定手机、清除数据、备份数据到云等等技术
http://www.norton.mobi/
http://www.norton.mobi/
Win32.Induc.A详细介绍[Delphi梦魇]
[
2009-8-21 14:20 | by viphjw ]
Win32.Induc.A
别名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)
病毒类型:Virus(病毒)
大小: 约5 KB
影响平台:微软Windows操作系统
Win32/Induc.A 是一个可以在编译时(compile-time )感染Delphi文件的病毒.当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境.它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中.该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招.反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体.病毒就这样不断传播,直到遍及全球所有基于Delphi环境的电脑,而对没有安装Delphi相关软件的普通电脑,则是完全无效.这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环
别名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)
病毒类型:Virus(病毒)
大小: 约5 KB
影响平台:微软Windows操作系统
Win32/Induc.A 是一个可以在编译时(compile-time )感染Delphi文件的病毒.当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境.它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中.该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招.反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体.病毒就这样不断传播,直到遍及全球所有基于Delphi环境的电脑,而对没有安装Delphi相关软件的普通电脑,则是完全无效.这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环
转:绿BEI花季护航管理密码分析
[
2009-6-10 12:38 | by viphjw ]
找到C:\WINDOWS\system32\kwpwf.dll这个文件,大小只有32字节,用记事本打开,内容为:D0970714757783E6CF17B26FB8E2298F采用MD5加密算法,反查,没想到真的是“112233”,也就是MD5算法了.“112233”是绿BEI花季护航的初始密码
在注册表搜索“D0970714757783E6CF17B26FB8E2298F”发现在注册表也有保存该值.试验过去,替换kwpwf.dll内容即可替换登陆密码,注册表的暂时没发现什么用途.
根据测试,发现其对“QQ”、“QQ聊天室”、“QQ游戏”、“MSN”、“E话通”、“SKYPE”、“ICQ”、“新浪UC”、“网易POPO”、“阿里旺旺”、“雅虎通”、“魔兽世界”着重监控分析,包含聊天语义分析.会定时捕捉屏幕保存为图片信息,自动记录用户上网的各个动作、地址,自动将地址等、关键词等跟数据库对比屏蔽访问,自动升级数据库和程序,自动分析网页中的图片是否为露点、色情图片,自动语义分析聊天内容
不能说的秘密:万能XX:7895123
0040CA98 |> \83C4 10 ADD ESP,10
0040CA9B |> 33FF XOR EDI,EDI
0040CA9D |> 68 441B4500 /PUSH gn.00451B44
0040CAA2 |. 8D8C24 180100>|LEA ECX,DWORD PTR SS:[ESP+118]
0040CAA9 |. E8 F7CC0100 |CALL gn.004297A5
0040CAAE |. 8D8C24 B80000>|LEA ECX,DWORD PTR SS:[ESP+B8]
0040CAB5 |. E8 16170200 |CALL gn.0042E1D0 ; 密码输入窗口
0040CABA |. 83F8 01 |CMP EAX,1 ; IDD_OK
0040CABD |. 0F85 85010000 |JNZ gn.0040CC48 ; if 密码 != NULL
0040CAC3 |. 8B9424 140100>|MOV EDX,DWORD PTR SS:[ESP+114] ; 刚刚输入密码的ascii字符串指针
0040CACA |. 68 8CD44400 |PUSH gn.0044D48C ; /Arg2 = 0044D48C ASCII "789****"
0040CACF |. 52 |PUSH EDX ; |Arg1
0040CAD0 |. E8 70CB0000 |CALL gn.00419645 ; \gn.00419645 ;写死的内置密码和输入的密码对比
0040CAD5 |. 83C4 08 |ADD ESP,8
0040CAD8 |. 85C0 |TEST EAX,EAX
0040CADA |. 0F84 BF010000 |JE gn.0040CC9F ; 如果与内置的密码相等则跳过设置的密码对比,直接进如管理界面或者日志管理
0040CAE0 |. 6A 01 |PUSH 1 ; 如果改为 jne 那么这个程序无需密码就可以进入管理界面了
===下面是跟XX的密码做对比 如果输入的密码与内置密码匹配,那么会跳过与设置密码匹配检测直接进入管理界面===
0040CAE2 |. 8D4424 1F |LEA EAX,DWORD PTR SS:[ESP+1F]
0040CAE6 |. 83EC 10 |SUB ESP,10
0040CAE9 |. 8D8C24 280100>|LEA ECX,DWORD PTR SS:[ESP+128]
0040CAF0 |. 8BDC |MOV EBX,ESP
0040CAF2 |. 896424 44 |MOV DWORD PTR SS:[ESP+44],ESP
0040CAF6 |. 50 |PUSH EAX
0040CAF7 |. 8D7424 68 |LEA ESI,DWORD PTR SS:[ESP+68]
0040CAFB |. E8 30D2FFFF |CALL gn.00409D30
0040CB00 |. 50 |PUSH EAX
0040CB01 |. 8BCB |MOV ECX,EBX
0040CB03 |. E8 38D3FFFF |CALL gn.00409E40
0040CB08 |. 8D4C24 54 |LEA ECX,DWORD PTR SS:[ESP+54] ; |
0040CB0C |. 51 |PUSH ECX ; |Arg1
0040CB0D |. 8D8C24 300100>|LEA ECX,DWORD PTR SS:[ESP+130] ; |
0040CB14 |. E8 B73E0000 |CALL gn.004109D0 ; \gn.004109D0
0040CB19 |. 8BC8 |MOV ECX,EAX
0040CB1B |. C68424 8C0200>|MOV BYTE PTR SS:[ESP+28C],9
0040CB23 |. E8 C80B0000 |CALL gn.0040D6F0
在注册表搜索“D0970714757783E6CF17B26FB8E2298F”发现在注册表也有保存该值.试验过去,替换kwpwf.dll内容即可替换登陆密码,注册表的暂时没发现什么用途.
根据测试,发现其对“QQ”、“QQ聊天室”、“QQ游戏”、“MSN”、“E话通”、“SKYPE”、“ICQ”、“新浪UC”、“网易POPO”、“阿里旺旺”、“雅虎通”、“魔兽世界”着重监控分析,包含聊天语义分析.会定时捕捉屏幕保存为图片信息,自动记录用户上网的各个动作、地址,自动将地址等、关键词等跟数据库对比屏蔽访问,自动升级数据库和程序,自动分析网页中的图片是否为露点、色情图片,自动语义分析聊天内容
不能说的秘密:万能XX:7895123
0040CA98 |> \83C4 10 ADD ESP,10
0040CA9B |> 33FF XOR EDI,EDI
0040CA9D |> 68 441B4500 /PUSH gn.00451B44
0040CAA2 |. 8D8C24 180100>|LEA ECX,DWORD PTR SS:[ESP+118]
0040CAA9 |. E8 F7CC0100 |CALL gn.004297A5
0040CAAE |. 8D8C24 B80000>|LEA ECX,DWORD PTR SS:[ESP+B8]
0040CAB5 |. E8 16170200 |CALL gn.0042E1D0 ; 密码输入窗口
0040CABA |. 83F8 01 |CMP EAX,1 ; IDD_OK
0040CABD |. 0F85 85010000 |JNZ gn.0040CC48 ; if 密码 != NULL
0040CAC3 |. 8B9424 140100>|MOV EDX,DWORD PTR SS:[ESP+114] ; 刚刚输入密码的ascii字符串指针
0040CACA |. 68 8CD44400 |PUSH gn.0044D48C ; /Arg2 = 0044D48C ASCII "789****"
0040CACF |. 52 |PUSH EDX ; |Arg1
0040CAD0 |. E8 70CB0000 |CALL gn.00419645 ; \gn.00419645 ;写死的内置密码和输入的密码对比
0040CAD5 |. 83C4 08 |ADD ESP,8
0040CAD8 |. 85C0 |TEST EAX,EAX
0040CADA |. 0F84 BF010000 |JE gn.0040CC9F ; 如果与内置的密码相等则跳过设置的密码对比,直接进如管理界面或者日志管理
0040CAE0 |. 6A 01 |PUSH 1 ; 如果改为 jne 那么这个程序无需密码就可以进入管理界面了
===下面是跟XX的密码做对比 如果输入的密码与内置密码匹配,那么会跳过与设置密码匹配检测直接进入管理界面===
0040CAE2 |. 8D4424 1F |LEA EAX,DWORD PTR SS:[ESP+1F]
0040CAE6 |. 83EC 10 |SUB ESP,10
0040CAE9 |. 8D8C24 280100>|LEA ECX,DWORD PTR SS:[ESP+128]
0040CAF0 |. 8BDC |MOV EBX,ESP
0040CAF2 |. 896424 44 |MOV DWORD PTR SS:[ESP+44],ESP
0040CAF6 |. 50 |PUSH EAX
0040CAF7 |. 8D7424 68 |LEA ESI,DWORD PTR SS:[ESP+68]
0040CAFB |. E8 30D2FFFF |CALL gn.00409D30
0040CB00 |. 50 |PUSH EAX
0040CB01 |. 8BCB |MOV ECX,EBX
0040CB03 |. E8 38D3FFFF |CALL gn.00409E40
0040CB08 |. 8D4C24 54 |LEA ECX,DWORD PTR SS:[ESP+54] ; |
0040CB0C |. 51 |PUSH ECX ; |Arg1
0040CB0D |. 8D8C24 300100>|LEA ECX,DWORD PTR SS:[ESP+130] ; |
0040CB14 |. E8 B73E0000 |CALL gn.004109D0 ; \gn.004109D0
0040CB19 |. 8BC8 |MOV ECX,EAX
0040CB1B |. C68424 8C0200>|MOV BYTE PTR SS:[ESP+28C],9
0040CB23 |. E8 C80B0000 |CALL gn.0040D6F0
研究员演示BIOS级攻击 硬盘清除依然可存活
[ 2009-3-25 13:55 | by viphjw ]
两位阿根廷的研究人员找到了进行BIOS级恶意软件攻击的途径,即使在硬盘上进行删除它依然可以存活下来。来自 Core Security Technologies的Alfredo Ortega 和 Anibal Sacco 在上周举行的CanSecWest安全大会上演示了通过持续不断的代码来感染BIOS的方法。这些代码即使在计算机重启或者对硬盘进行格式化的情况下都依然能保留下来。该技术通过将小部分代码注入BIOS中,从而获得机器的完整控制权。该演示显示了此攻击完美运行在Windows机器,运行OpenBSD的PC,和运行VMware Player的机器上
英特尔遭遇CPU级RootKit
[
2009-3-20 16:07 | by viphjw ]
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1
可从ATM中嗅探卡密的木马出现
[ 2009-3-19 19:05 | by viphjw ]
Sophos 近日发现可以从ATM中截获银行卡信息的高级恶意软件。研究员本月早些时候在 VirusTotal 等在线数据库中注意到3个木马样本,安装后有记录ATM磁卡读卡器的能力。这些样本似乎有能力解密所截获数据和指令,并可通过 ATM 的打印功能输出密码。输入正确密码的不法之徒能够获得截获的信息。
之前在俄罗斯的一次事件中,有人尝试使用此类恶意软件。 此后ATM生产商 Diebold 今年1月在发给顾客的公告中表示已获悉此问题。事件中的嫌疑人已经被制服,Diebold 正与当局合作帮助调查最近的案件。公告中还表示 Diebold 提供了软件升级作为防范措施。
Sophos 研究人员称这是首次曝光针对银行 ATM 的恶意软件,但网络罪犯通过窃听终端机染指银行卡(的案例)绝非罕见。例如去年10月有组织的犯罪团伙成功篡改了数百个英国零售商店中使用的划卡器。这次攻击中英国估计损失了数千万英镑。
Sophos发现的木马被命名为 Agilis 91x ,针对 Diebold ATM软件,可以控制众多型号的 Diebold ATM。目前对木马的作者还一无所知。但木马在功能上支持美元,卢布和格里夫那间的转换可能暗示木马来自东欧。
研究同时强调,由于ATM运行于孤立的内网、没有外置驱动器,此类木马只能手动安装,它们的出现几乎可以肯定是内部人员所为,或ATM失密
之前在俄罗斯的一次事件中,有人尝试使用此类恶意软件。 此后ATM生产商 Diebold 今年1月在发给顾客的公告中表示已获悉此问题。事件中的嫌疑人已经被制服,Diebold 正与当局合作帮助调查最近的案件。公告中还表示 Diebold 提供了软件升级作为防范措施。
Sophos 研究人员称这是首次曝光针对银行 ATM 的恶意软件,但网络罪犯通过窃听终端机染指银行卡(的案例)绝非罕见。例如去年10月有组织的犯罪团伙成功篡改了数百个英国零售商店中使用的划卡器。这次攻击中英国估计损失了数千万英镑。
Sophos发现的木马被命名为 Agilis 91x ,针对 Diebold ATM软件,可以控制众多型号的 Diebold ATM。目前对木马的作者还一无所知。但木马在功能上支持美元,卢布和格里夫那间的转换可能暗示木马来自东欧。
研究同时强调,由于ATM运行于孤立的内网、没有外置驱动器,此类木马只能手动安装,它们的出现几乎可以肯定是内部人员所为,或ATM失密
Internet Explorer 0day
[ 2008-12-15 19:34 | by viphjw ]
Microsoft is continuing its investigation of public reports of attacks against a new vulnerability in Internet Explorer. Our investigation so far has shown that these attacks are only against Windows Internet Explorer 7 on supported editions of Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1, and Windows Server 2008. Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6, and Windows Internet Explorer 8 Beta 2 on all supported versions of Microsoft Windows are potentially vulnerable
全球互联网每39秒发生一次黑客事件
[ 2008-11-20 19:30 | by viphjw ]
近日一项研究显示,全球互联网每39秒发生一次黑客事件,其中大部分黑客没有固定的目标.研究结果目前已提交给IEEE/IFIP第37届系统及网络可靠性国际大会.
这项研究调查了黑客如何入侵电脑,再次强调了密码的安全脆弱性.专家强烈建议使用较长的密码并经常更换,而且不应与个人信息有关.美国马里兰大学研究者米歇尔-库克表示:“我们的数据显示针对联网电脑的攻击时刻在发生,我们的目标电脑平均每天发生2244次被攻击事件.”
为研究黑客攻击的方式,库克的小组设置了4台安全级别较低的Linux电脑并联网,随后监控黑客攻击.他们发现大部分黑客并没有特定的攻击目标.库克说:“大多数攻击是采用了自动脚本,不加区别的同时扫描数千台电脑以寻找安全漏洞.”
黑客们通常使用一种名为“字典脚本”的程序,其中保存常用的用户名和密码进行试探性攻击.一些常用的用户名包括:“root”,“admin”,“test”,“guest”,以及“user”,常用密码则包括“123”,“password”和“123456”.
黑客一旦成功入侵电脑,就会立即更改用户名和密码,并检测系统的软硬件配置.黑客还可能在系统中植入特定程序,使其变为僵尸网络的一部分
这项研究调查了黑客如何入侵电脑,再次强调了密码的安全脆弱性.专家强烈建议使用较长的密码并经常更换,而且不应与个人信息有关.美国马里兰大学研究者米歇尔-库克表示:“我们的数据显示针对联网电脑的攻击时刻在发生,我们的目标电脑平均每天发生2244次被攻击事件.”
为研究黑客攻击的方式,库克的小组设置了4台安全级别较低的Linux电脑并联网,随后监控黑客攻击.他们发现大部分黑客并没有特定的攻击目标.库克说:“大多数攻击是采用了自动脚本,不加区别的同时扫描数千台电脑以寻找安全漏洞.”
黑客们通常使用一种名为“字典脚本”的程序,其中保存常用的用户名和密码进行试探性攻击.一些常用的用户名包括:“root”,“admin”,“test”,“guest”,以及“user”,常用密码则包括“123”,“password”和“123456”.
黑客一旦成功入侵电脑,就会立即更改用户名和密码,并检测系统的软硬件配置.黑客还可能在系统中植入特定程序,使其变为僵尸网络的一部分
Microsoft Security Bulletin MS08-067(KB958644)
[ 2008-11-4 13:22 | by viphjw ]
This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system received a specially crafted RPC request. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. Firewall best practices and standard default firewall configurations can help protect network resources from attacks that originate outside the enterprise perimeter.
This security update is rated Critical for all supported editions of Microsoft Windows 2000, Windows XP, Windows Server 2003, and rated Important for all supported editions of Windows Vista and Windows Server 2008. For more information, see the subsection, Affected and Non-Affected Software, in this section
This security update is rated Critical for all supported editions of Microsoft Windows 2000, Windows XP, Windows Server 2003, and rated Important for all supported editions of Windows Vista and Windows Server 2008. For more information, see the subsection, Affected and Non-Affected Software, in this section
QuickTime 0day 攻击代码发布
[ 2008-9-19 20:35 | by viphjw ]
仅仅在 Apple 升级播放器堵上九个严重安全漏洞之后的一个星期,一个暂无补丁的 Apple QuickTime 缺陷就于星期二被发布在 milw0rm.com 网站上.该溢出程序利用了 QuickTime 处理 “” 参数时未能正确处理超长字符串的漏洞.该程序目前只是使得 QuickTime 崩溃,但问题远比这严重。该程序暗示了漏洞有可能导致任意代码的执行,这可能导致严重的安全隐患,因为攻击者可在网站上嵌入一个恶意文件来触发该漏洞,但就连这个发布者自己也不大肯定。milw0rm.com 上写着“可能”允许执行任意代码,赛门铁克目前正在研究这个漏洞,以便获得更多的技术细节
新Web攻击可劫持剪贴板
[ 2008-8-20 13:12 | by viphjw ]
安全厂商F-Secure最近发出警告,已经发现有基于Web页面的攻击开始瞄准剪贴板.剪贴板是用户最常用的系统功能,用户经常用它来复制网页地址,而打开一个攻击页面之后,用户的剪贴板就会被清除并且被插入恶意链接,这样,用户习惯地把复制的地址贴入地址栏时,就会被定向到恶意站点,并且这种攻击是连续的,用户重新启动也无法清除掉.目前已经发现部分Flash恶意空间包含该功能(因为IE7已经对Web内容替换剪贴板做了识别,但Flash控件却一直处于放开状态),这是一个相当聪明的技术
黑客开发出思科路由器后门
[ 2008-5-15 20:17 | by viphjw ]
一位安全专家写出了一种用于思科路由器的恶意后门软件,这引起了人们对于承担网络上大部分信息传递的路由器体系的安全关注.Sebastian Muniz是核心安全技术小组的研究员,他将于5月22日在伦敦举行的EuSecWest会议上公开他的这一软件.以往的后门软件通常都只是潜伏在Windows操作系统当中,这是首次出现针对使用思科路由器的互联网路工作体系(Internetwork Operating System,简称IOS)的后门软件.Muniz在一次邮件采访中说道:"IOS 后门能够实现在桌面操作系统中的后门能够实现的一切功能"
以往也不是不存在针对IOS的病毒,但是都只能针对特定版本的IOS.而Muniz的这个后门软件据他自己表示能够适用于不同的IOS.鉴于思科路由器在世界市场上的广泛使用,该软件备受人们关注.该后门在路由器的闪存中运行,而闪存中包含着路由器启动后运行的第一批指令.Muniz表示他并没有公开该软件源代码的计划,他开发这个软件只是想证实针对IOS的后门的确存在,需要适当的安全方法来解决这个问题
以往也不是不存在针对IOS的病毒,但是都只能针对特定版本的IOS.而Muniz的这个后门软件据他自己表示能够适用于不同的IOS.鉴于思科路由器在世界市场上的广泛使用,该软件备受人们关注.该后门在路由器的闪存中运行,而闪存中包含着路由器启动后运行的第一批指令.Muniz表示他并没有公开该软件源代码的计划,他开发这个软件只是想证实针对IOS的后门的确存在,需要适当的安全方法来解决这个问题
赛门铁克警告中文版Win2000 GDI安全漏洞
[ 2008-4-16 15:00 | by viphjw ]
据安全研究人员周一报告,中文版Windows 2000操作系统存在关键漏洞,可被恶意代码攻击.赛门铁克公司已经证实了该消息,并表示,已经有人把概念性的证明代码张贴至milw0rm.com.已经被证实的漏洞之一为,中文版Windows 2000 SP4系统存在的Windows GDI或图形设备接口漏洞,微软已经于上周发布了补丁.不过,该漏洞似乎仅针对中文版的Windows 2000操作系统,其他语言的Windows 2000系统并不存在同样的问题.利用此漏洞黑客可以执行恶意代码劫持PC,例如让IE浏览器崩溃,或是让Windows文件管理器崩溃.
赛门铁克公司对其客户的分析报告中说明:“此漏洞并不影响英文系统的用户,但是通过修改执行远程代码也可能构成系统崩溃”.赛门铁克公司目前已经掌握了这个漏洞,据分析这是一种把包含恶意代码的EMF图像伪装成JPG文件的方法,如果伪装得当,此漏洞就会被触发.
一个星期前,微软发布针对目前主流操作系统的GDI漏洞修正补丁,例如Vista SP1,Server 2008和Windows XP SP3则不需要进行更新,因为此修正已经包括在操作系统中.而赛门铁克公司则要求用户部署微软MS08-021安全公告中的补丁,因为黑客可能会修改针对中文Windows系统的漏洞攻击代码,从而对英文系统进行攻击.
赛门铁克公司对其客户的分析报告中说明:“此漏洞并不影响英文系统的用户,但是通过修改执行远程代码也可能构成系统崩溃”.赛门铁克公司目前已经掌握了这个漏洞,据分析这是一种把包含恶意代码的EMF图像伪装成JPG文件的方法,如果伪装得当,此漏洞就会被触发.
一个星期前,微软发布针对目前主流操作系统的GDI漏洞修正补丁,例如Vista SP1,Server 2008和Windows XP SP3则不需要进行更新,因为此修正已经包括在操作系统中.而赛门铁克公司则要求用户部署微软MS08-021安全公告中的补丁,因为黑客可能会修改针对中文Windows系统的漏洞攻击代码,从而对英文系统进行攻击.
使用电话银行需多加小心
[ 2008-2-18 19:58 | by viphjw ]
目前电话银行的业务功能除了基本的账户余额查询、历史交易明细查询以外,还可以提供缴费、汇率查询以及各项理财投资交易和咨询等接近百余种服务.不过,在方便之余,电话银行也往往成为银行卡使用安全隐患的重点所在.银行客服人员提醒用户,要养成安全的使用习惯
1月19日千年虫+38 bug30周年倒计时开始
[ 2008-1-16 21:13 | by viphjw ]
2008年1月19日是一个值得注意的日期,它标志了Y2K38 bug30年倒计时开始.Y2K38是指Unix系统时间使用的32位整数将在2038年溢出.从1970年1月1日开始,到2038年超过2^31,确切的时间是世界标准时2038年1月19日星期二凌晨03:14:07
网银、证券账户被盗案频发 CFCA发安全提示
[ 2007-12-13 15:05 | by viphjw ]
中国金融认证中心(CFCA)发布安全提示称,近期,利用木马、病毒等恶意软件盗取网上银行和网上证券账户信息的案件时有发生,应引起相关各方关注.而用户安装杀毒软件、定期杀毒等做法,并不能从实质上改善目前的安全状况.CFCA的安全提示建议,进行网上交易时,务必使用数字证书,以确保网上银行和证券账户安全.作为国家金融行业权威的第三方安全认证机构-中国金融认证中心(CFCA)在安全提示中建议,从用户角度看,应该注意三点:
●尽量不要采用安全级别很低的“账号+密码”方式进行网上交易,否则,一旦用户的个人电脑被植入木马、病毒等恶意代码,账号和密码等信息就很容易被窃取,进而造成资金损失
●办理网上银行或证券业务时,一定要注意相应的安全说明或风险提示,注意网上银行大众版和专业版(或签约版/证书版)的功能和区别.部分证券公司提供应用数字证书的网上证券交易软件,这是目前安全级别较高的网上证券交易软件
● 如果需要比较频繁地进行网上交易操作,建议一定要采用由合法、权威的第三方安全认证机构颁发的数字证书,即使用网上银行的专业版和证券交易软件的证书版.数字证书就是一个包含个人身份信息的电子文件,是用户的“网络身份证”,通过第三方安全认证机构能够实现交易双方身份真实性的确认,同时还能保证用户的交易信息不被非法窃取和篡改并保证交易的不可否认性
●尽量不要采用安全级别很低的“账号+密码”方式进行网上交易,否则,一旦用户的个人电脑被植入木马、病毒等恶意代码,账号和密码等信息就很容易被窃取,进而造成资金损失
●办理网上银行或证券业务时,一定要注意相应的安全说明或风险提示,注意网上银行大众版和专业版(或签约版/证书版)的功能和区别.部分证券公司提供应用数字证书的网上证券交易软件,这是目前安全级别较高的网上证券交易软件
● 如果需要比较频繁地进行网上交易操作,建议一定要采用由合法、权威的第三方安全认证机构颁发的数字证书,即使用网上银行的专业版和证券交易软件的证书版.数字证书就是一个包含个人身份信息的电子文件,是用户的“网络身份证”,通过第三方安全认证机构能够实现交易双方身份真实性的确认,同时还能保证用户的交易信息不被非法窃取和篡改并保证交易的不可否认性
安全人员称无线键盘非常容易被破解窃听
[ 2007-12-4 23:33 | by viphjw ]
安全研究人员最近称运行在27MHz的无线鼠标和键盘存在着安全威胁.在黑帽子大会上,来自Dreamlab的黑客演示轻松地破解微软Wireless Optical Desktop 1000和2000系列鼠标键盘产品的加密.在分析无线协议的时候他们发现一些功能键例如Shift和Alt使用明文传输,加密的按键也非常容易破解(只有256个可能的加密键),只要能用一个伪造设备和目标键盘鼠标握手,就可以轻松破解出键盘信息.不仅仅是微软的键盘,其它品牌的无线键盘也有这样的问题,因此在机要部门的朋友们一定要慎用无线键盘哦!
研究称"缓冲区溢出"类型漏洞重登威胁之王宝座
[ 2007-11-28 16:25 | by viphjw ]
我们在Web应用上总会遇到这样那样的问题,例如目前最流行的XSS跨站,SQL注入等问题,但是最为古老的缓冲区溢出问题却又卷土重来,Telus研究人员发现,缓冲区溢出又成为了目前最流行的入侵手段.技术人员在分析了20多个安全厂商提供的数据后发现,利用Web应用中的缓冲区溢出Bug进行入侵的案例最多,是最受攻击者欢迎,也是最容易入侵的手段,但另一方面这却是最容易预防和修正的问题.紧随缓冲区溢出之外的是拒绝服务,这个当然无需多言.XSS跨站和SQL注入分列第三第四名,并且这些问题也是相当严重
FLAC音频格式被发现大量安全漏洞
[ 2007-11-20 20:52 | by viphjw ]
喜爱听无损音乐的朋友们一定要注意咯,eEye Digital Security 找出了多达14个FLAC文件的漏洞,这些漏洞同时影响Windows, Mac OS, Linux, Unix, BSD, Solaris,甚至可以破坏支持播放FLAC的硬件!安全人员指出,FLAC中的缺陷主要作用于一些开源音频编码库,当播放一些经过特别设计的FLAC音频时可能会导致相应的媒体播放器出现问题,eEye已经提醒US-CERT关注这一严重问题
http://research.eeye.com/html/advisories/published/AD20071115.html
http://research.eeye.com/html/advisories/published/AD20071115.html
Windows 2000中的加密技术被发现漏洞
[ 2007-11-17 14:36 | by viphjw ]
来自以色列的安全技术人员找出了Windows加密技术中关键组件的漏洞,他们发现Windows加密可以由此被破解,但这到底是微软的疏忽,还是故意所为?海法大学和两个希伯来大学在一份本月发布的报告中介绍了如何重现Windows 2000中的随机数生成器,他们还列举了CryptGenRandom功能中的算法漏洞.Windows和其它应用程序使用PRNG创造随机密匙,主要用来加密文件和电子邮件讯息,并通过安全套接字层协议传送.因此这一算法如果能被重现,那么通过Windows SSL在互联网上传送的信息,从消费者到网上零售商,银行和个人客户基本都没有秘密可言
