做人要低调,偶是一条几乎每天在线的虫虫,什么都不会,技术的共享是无条件的.什么才是真正属于我的?
本人博客顶级域名WWW.VIYAZONE.CN 欢迎按Ctrl+D加入收藏夹 QQ Group:14379111
本人博客顶级域名WWW.VIYAZONE.CN 欢迎按Ctrl+D加入收藏夹 QQ Group:14379111
Win32.Induc.A详细介绍[Delphi梦魇]
[
2009-8-21 14:20 | by viphjw ]
Win32.Induc.A
别名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)
病毒类型:Virus(病毒)
大小: 约5 KB
影响平台:微软Windows操作系统
Win32/Induc.A 是一个可以在编译时(compile-time )感染Delphi文件的病毒.当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境.它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中.该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招.反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体.病毒就这样不断传播,直到遍及全球所有基于Delphi环境的电脑,而对没有安装Delphi相关软件的普通电脑,则是完全无效.这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环
别名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)
病毒类型:Virus(病毒)
大小: 约5 KB
影响平台:微软Windows操作系统
Win32/Induc.A 是一个可以在编译时(compile-time )感染Delphi文件的病毒.当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境.它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中.该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招.反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体.病毒就这样不断传播,直到遍及全球所有基于Delphi环境的电脑,而对没有安装Delphi相关软件的普通电脑,则是完全无效.这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环
英特尔遭遇CPU级RootKit
[
2009-3-20 16:07 | by viphjw ]
Intel CPU 缓存被暴漏洞,研究报告与 RootKit利用代码即将出炉。"3月19日,我们将就Intel CPU 的缓存机制漏洞,公布一份报告及漏洞利用。相关攻击可以在目前大部分IntelCPU的主板上从Ring0提权至SMM。Rafal在几个小时内就做出了一份漏洞利用代码。" Joanna女强人在博客中写道。
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1
本次漏洞利用的致命之处,在于它能将自身隐藏在SMM空间中,SMM权限高于VMM,设计上不受任何操作系统控制、关闭或禁用。实际应用中唯一能确认SMM空间中运行代码的方法只有物理性的分离计算机固件。由于SMI优先于任何系统调用,任何操作系统都无法控制或读取SMM,使得SMM RootKit有超强的隐匿性。
其厉害程度与之前的BluePill相似,但比VMM攻击涉及到系统的更深层面。而 SMM自386时代就出现在Intel CPU中。
Joanna 和 Loic 这次将发布从未公布过的Intel缓冲HACK。
它不但可以控制SMM空间还能运行其新型RootKit,控制计算机。新的 RootKit 甚至有能力连接服务器更新代码,储存数据。运行于操作系统中的任何软件都将无法检测此类利用。
据 Joanna 说,Intel员工,对Intel的此类 CPU 缓存及SMM漏洞利用的署名讨论可以追溯到2005年。她与Loic于去年10月已经向Intel正式提交过报告。Intel将问题通知了CERT并将其归为漏洞VU#127284号。现在Intel已经知道漏洞的存在好多年了,却没有做出应有的修正。无奈,安全专家们别无选择,只能公布他们的发现。如果此漏洞利用真的已经存在数年,那么一定早已有人开始利用它。正如Joanna所说"漏洞就在那里,如果足够长的时间内没人理会,几乎可以肯定,怀着各种意图的人们将会发现它并将之利用,只是迟早的事。所以请不要责怪研究人员,他们发现并公布问题 - 他们实际上是为了帮助我们的社会。"
报告将于19号在此发布:
http://theinvisiblethings.blogspot.com/2009/03/independent-attack-discoveries.html
之前的 SMM 利用原理:
http://wwww.networkworld.com/news/2008/050908-black-hat-hackers-find-a.html?page=1
可从ATM中嗅探卡密的木马出现
[ 2009-3-19 19:05 | by viphjw ]
Sophos 近日发现可以从ATM中截获银行卡信息的高级恶意软件。研究员本月早些时候在 VirusTotal 等在线数据库中注意到3个木马样本,安装后有记录ATM磁卡读卡器的能力。这些样本似乎有能力解密所截获数据和指令,并可通过 ATM 的打印功能输出密码。输入正确密码的不法之徒能够获得截获的信息。
之前在俄罗斯的一次事件中,有人尝试使用此类恶意软件。 此后ATM生产商 Diebold 今年1月在发给顾客的公告中表示已获悉此问题。事件中的嫌疑人已经被制服,Diebold 正与当局合作帮助调查最近的案件。公告中还表示 Diebold 提供了软件升级作为防范措施。
Sophos 研究人员称这是首次曝光针对银行 ATM 的恶意软件,但网络罪犯通过窃听终端机染指银行卡(的案例)绝非罕见。例如去年10月有组织的犯罪团伙成功篡改了数百个英国零售商店中使用的划卡器。这次攻击中英国估计损失了数千万英镑。
Sophos发现的木马被命名为 Agilis 91x ,针对 Diebold ATM软件,可以控制众多型号的 Diebold ATM。目前对木马的作者还一无所知。但木马在功能上支持美元,卢布和格里夫那间的转换可能暗示木马来自东欧。
研究同时强调,由于ATM运行于孤立的内网、没有外置驱动器,此类木马只能手动安装,它们的出现几乎可以肯定是内部人员所为,或ATM失密
之前在俄罗斯的一次事件中,有人尝试使用此类恶意软件。 此后ATM生产商 Diebold 今年1月在发给顾客的公告中表示已获悉此问题。事件中的嫌疑人已经被制服,Diebold 正与当局合作帮助调查最近的案件。公告中还表示 Diebold 提供了软件升级作为防范措施。
Sophos 研究人员称这是首次曝光针对银行 ATM 的恶意软件,但网络罪犯通过窃听终端机染指银行卡(的案例)绝非罕见。例如去年10月有组织的犯罪团伙成功篡改了数百个英国零售商店中使用的划卡器。这次攻击中英国估计损失了数千万英镑。
Sophos发现的木马被命名为 Agilis 91x ,针对 Diebold ATM软件,可以控制众多型号的 Diebold ATM。目前对木马的作者还一无所知。但木马在功能上支持美元,卢布和格里夫那间的转换可能暗示木马来自东欧。
研究同时强调,由于ATM运行于孤立的内网、没有外置驱动器,此类木马只能手动安装,它们的出现几乎可以肯定是内部人员所为,或ATM失密
Microsoft Security Bulletin MS08-067(KB958644)
[
2008-11-4 13:22 | by viphjw ]
This security update resolves a privately reported vulnerability in the Server service. The vulnerability could allow remote code execution if an affected system received a specially crafted RPC request. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. Firewall best practices and standard default firewall configurations can help protect network resources from attacks that originate outside the enterprise perimeter.
This security update is rated Critical for all supported editions of Microsoft Windows 2000, Windows XP, Windows Server 2003, and rated Important for all supported editions of Windows Vista and Windows Server 2008. For more information, see the subsection, Affected and Non-Affected Software, in this section
This security update is rated Critical for all supported editions of Microsoft Windows 2000, Windows XP, Windows Server 2003, and rated Important for all supported editions of Windows Vista and Windows Server 2008. For more information, see the subsection, Affected and Non-Affected Software, in this section
QuickTime 0day 攻击代码发布
[ 2008-9-19 20:35 | by viphjw ]
仅仅在 Apple 升级播放器堵上九个严重安全漏洞之后的一个星期,一个暂无补丁的 Apple QuickTime 缺陷就于星期二被发布在 milw0rm.com 网站上.该溢出程序利用了 QuickTime 处理 “” 参数时未能正确处理超长字符串的漏洞.该程序目前只是使得 QuickTime 崩溃,但问题远比这严重。该程序暗示了漏洞有可能导致任意代码的执行,这可能导致严重的安全隐患,因为攻击者可在网站上嵌入一个恶意文件来触发该漏洞,但就连这个发布者自己也不大肯定。milw0rm.com 上写着“可能”允许执行任意代码,赛门铁克目前正在研究这个漏洞,以便获得更多的技术细节
Delphi2009/C++Builder2009[Tiburon]
[ 2008-9-10 15:29 | by viphjw ]
当地时间8月25日,Delphi易主后第一次进行了新版本的发布。这一次Delphi和C++两个环境同时进行了发布,开发代号Tiburon,发布名称为Delphi2009和C++Builder2009。这次的新版本实际上也是兑现了在Borland/CodeGear时期的最后一次更新计划。该计划公布于2008年4月,原文见这里,译文见那里
Windows XP SP3的FAQ
[
2007-11-14 11:28 | by viphjw ]
根据Microsoft的消息,将在2008年第二季度发布的"WindowsXPServicePack3"将是WindowsXP的最后一个服务包了.并且WindowsXPServicePack3的发布时间已经明显地迟了很多.在WindowsXPSP2发布以来的3年内,业已发布了一百多个操作系统的修补程序,用户也在安装这些之后多次重新启动,显得十分麻烦.XPSP3就将把这些修补程序结合成一个包装一并提供,并且还将提供一些新的功能.在这些新的功能中,有一些是在WindowsVista中才第一次加入的新功能.下面就将为大家介绍一些关于WindowsXPServicePack3的一些常见的问题
微软官方确认Vista SP1发布日期
[ 2007-11-7 14:24 | by viphjw ]
微软官方刚刚确认了Windows Vista SP1的最终正式发布时间,看来我们还得再等待至少四个月.微软Windows和Windows Live工程部高级副总裁Steven Sinofsky称Vista SP1将在2008年2月份之后的某个时间发布.显然,微软还是不愿意确定一个非常具体的日子,或者至少是不准备告诉大众.不知道是不是Vista的跳票经历太惨痛了,导致微软异常谨慎,这一年来很少确之凿凿地说我们会在哪一天发布那款产品.比较成熟的Vista SP1 RC预览版已经在日前放出,但最终版本还得要到明年春天再说(新闻来源:Mydrivers)
轻松攻击多核世界受到严重威胁
[ 2007-9-15 13:46 | by viphjw ]
我们才刚刚进入多核世界但这个世界已经受到严重威胁.剑桥大学的一位安全研究者发现一种新的利用多核技术绕过安全保护(比如杀毒软件)的攻击方法.这个攻击是基于软件可以与内核无阻碍的沟通这个假设.研究员Robert Watson展示了一段代码可以在瞬间侵入内核,改变了我们正在交换的数据.之前就已经有研究表明多核协作可能存在的危险性,但是Watson让他们变为了现实.据Watson介绍他是利用了System Call这个普遍应用的技术,因此程序员得抓紧时间修补自己的程序
暴风影音II 0day漏洞曝光
[ 2007-9-11 09:47 | by viphjw ]
一个高度危险暴风影音II漏洞被曝光,该漏洞发生在暴风影音II的一个activex控件上,当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行.同时我们在国内发现已有漏洞利用生成器开始流传,并在最近的挂马网站监测中发现有网站利用暴风影音II漏洞进行挂马
影响版本:暴风影音II
漏洞的原因如下:
暴风影音包含一个sparser.dll文件,此dll的一个导出函数在处理非法超长URL时发生栈溢出.黑客可以构造一个网页调用activex控件中的rawParse函数,通过rawParse调用sparser.dll中存在问题的导出函数,从而导致溢出执行任意代码
解决方案:在暴风影音官方发布补丁之前不要使用暴风影音,或者使用临时解决方案,将下面内容保存为.reg文件,双击导入注册表:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
"Compatibility Flags"=dword:00000400
影响版本:暴风影音II
漏洞的原因如下:
暴风影音包含一个sparser.dll文件,此dll的一个导出函数在处理非法超长URL时发生栈溢出.黑客可以构造一个网页调用activex控件中的rawParse函数,通过rawParse调用sparser.dll中存在问题的导出函数,从而导致溢出执行任意代码
解决方案:在暴风影音官方发布补丁之前不要使用暴风影音,或者使用临时解决方案,将下面内容保存为.reg文件,双击导入注册表:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/ActiveX Compatibility/{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
"Compatibility Flags"=dword:00000400
Windows Vista SP1更新列表公布
[ 2007-8-30 20:07 | by viphjw ]
Windows Vista开发组已经公布了Windows Vista SP1 的更新列表,让大家知道Vista SP1虽然没有新功能,可也不仅仅是个花瓶而已.包括安全、可用性、性能、管理体验、更多硬件标准的支持五大板块的更新列表中相信您一定能发现您所感兴趣的
只需一行代码就能让IE 6崩溃
[ 2007-8-7 19:56 | by viphjw ]
一个日本博客发现只需一行代码就能让IE6崩溃,代码如下:*{position:relati--} (代替了几个字母)这行代码在Firefox,Safari和Opera都能正确解析,但是在IE 6下却会引起mshtml.dll致命错误.如果你想尝试一下它的效果,点击这里(新闻来源:immike)
MP3上寄生的新特洛伊木马
[ 2007-8-5 22:35 | by viphjw ]
一个新的特洛伊木马开始出现.这个名为W32.Deletemusic trojan(中文翻译:删除音乐木马,目的性很明确)会搜索电脑上的媒体文件,包括本地磁盘和U盘之类的可移动磁盘,并且把找到的任何音乐文件删除.此外,它还会通过感染U盘等其他存储介质以此达到进一步传播和破坏
病毒sachost.exe修改系统时间解决办法[图后补]
[ 2007-7-6 15:26 | by viphjw ]
开始放假了,病毒也开始泛滥了,估计每天出现的速度要比以前多很多,在此提醒大家杀软勤升级,浏览各种网站注意机器自身安全.最近几天连续清理2台机器的病毒,症状如下
外电称全球40%恶意软件来自北京
[ 2007-7-6 10:05 | by viphjw ]
据国外媒体报道,北京已经成为全球最大的恶意软件发源地,所占比例高达40%.据安全厂商Network Box执行董事Simon Heron称,今年6月,全球40%的恶意软件来自北京,与5月份的21%相比将近翻了一番.排在第二位的是澳大利亚的Wattleup,所占比例为3.7%;西班牙的马德里位居第三,所占比例为2.5%.Heron称,由于中国网民数量与日俱增,再加上很多计算机使用的是盗版软件,无法进行升级,因此成为了黑客的理想攻击目标.相比之下,北京的垃圾邮件比例却从5月份的11%降至5%
每天全球新增3万个恶意站点
[ 2007-7-3 09:18 | by viphjw ]
根据反病毒厂商Sophos的统计,在过去的几个月里,包含恶意代码的网站呈疯狂增长的趋势,4月份,互联网上每天新出现5000个恶意站点,而到了现在,这个数字疯涨到了30000/天.这一增长速度连他们的工程师都不敢相信,iFrame挂马仍然是主要的攻击模式.已经成为6月网络十大威胁之首.包括前一次意大利站点集体中毒事件在内,现在基于网络的攻击几乎全部集中在iFrame挂恶意代码上.用户在不知不觉之中即可中招
伪造的微软更新邮件可能将你带往Botnet
[ 2007-6-28 10:44 | by viphjw ]
因特网风暴中心警告, 黑客正在大规模发送一份伪造的微软安全更新电子邮件,这封E-Mail没有任何用途,却包含了恶意代码,在你点击任意一个链接或打开伪装成补丁的附件后,计算机就会被劫持,据估算,此次发送的Spam数量相当大.相信是一个庞大的botnet正在"招人",提醒各位不要打开以微软安全更新为名的电子邮件,微软也不会用这种方式推送更新
灰鸽子新版本采用进程内容替换和进程监视技术
[ 2007-6-25 20:27 | by viphjw ]
继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主.上周末,金山反病毒中新截获一重大变化的灰鸽子新变种,证实灰鸽子并未退出江湖,在经过短暂的静默之后,正在图谋收复失地
FBI:百万台计算机正在为僵尸网络服务
[ 2007-6-15 11:13 | by viphjw ]
在业界合作伙伴的帮助下,美国司法部和FBI公布了一份有关于网络安全的报告,其中显示,将近100万台计算机正在botnet僵尸网络中"供职",形成了一个恐怖的网络,对网络安全造成了恶劣的威胁
