订阅数:524306来源:http://dswlab.com/vir/v20070909.html
一、事件分析
今日,DSW Lab
AVERT小组监测到一个高度危险暴风影音II漏洞被曝光,该漏洞发生在暴风影音II的一个activex控件上,当安装了暴风影音II的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。同时我们在国内发现已有漏洞利用生成器开始流传,并在最近的挂马网站监测中发现有多个网站利用暴风影音II漏洞进行挂马。
影响版本:暴风影音II
超级巡警 4.0 beta 6 可以从以下地址下载,欢迎各位朋友下载测试:
http://update2.dswlab.com/ast_setup.exe
http://update3.dswlab.com/ast_setup.exe
超级巡警 4.0 beta6除了修正BUG之外,还多了些小功能,写下几个供大家参考:
1、ARP防火墙功能
目前ARP病毒越来越猖獗,只要内网有人中毒,经常导致整个内网用户掉线、IP冲突甚至中木马。
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制。
2、鼠标左键点击的浮动信息框
这个功能是学习360安全卫士的,新增该浮动信息框后,用户的使用导向更清楚,简单功能,一键可达,复杂的功能,可以通过右键菜单或“其它操作”按钮进行操作。
3、主动防御的“临时允许”功能
如果你是个安全方面的偏执狂,那么很可能不希望主动防御策略中有太多的“受信任”程序。但有时需要临时允许某个程序访问网络,可能超级巡警会拦截下十好几个网络请求,这时要一一通过,也太烦人了,可以简单地用“临时通过”,本次访问网络就不会再有恼人的提示了,但下次,如果有黑客打算利用这个程序做些坏事……对不起,超级巡警还是会照抓不误的
:)
最近超级巡警(未来会改名叫SUCOP,域名也会从dswlab.com改为sucop.com)更多地向用户需求靠拢了,希望SuCop最终能让天下无毒 :)
在Linxer加入到超级巡警开发团队后,虚拟脱壳机的脱壳能力,让不少原先一直认为国内反病毒、反木马领域脱壳能力远落后于欧美的人们,跌了一回眼镜,多谢Linxer ;)
这回XCON 2007上,Linxer讲了个议题《AV引擎之虚拟机脱壳技术》,有不少朋友感兴趣,将PPT放出来供大家下载,一个供测试的脱壳机,可以在俺们主站下载。目前:
我们的工作
– 目前的脱壳支持能力(经过测试验证支持的壳列表包括57种300个版本)
– 准确解密和模拟跟踪方案
VMUnpacker 引擎SDK(欢迎同行联系脱壳引擎的合作事宜,可以发邮件到unpacker@unnoo.com)
– 无需关心脱壳过程和脱壳方法
– 支持将壳脱到文件和脱到内存缓冲区,并且直接返回OEP
大成天下数据安全实验室总结的壳排行列表(http://dswlab.com/toppacker.html)如下:
拖了差不多一年了,超级巡警的这个保险箱一直还在内部的beta测试中,直到360推出了他们的保险箱……
看来,公司要考虑的,远不止是技术领先啊。
您还在QQ、网游、网银账号被盗担心么?
超级巡警的保险箱的功能,是我们特别为账号保护设计的功能,全面保护你的账号安全。
正常情况下,木马后门会通过各种方式,侵入我们使用的程序空间,来窃取你的密码,监听你的聊天记录。
保险箱杜绝了目前木马侵入用户进程空间的办法,即使你在中了木马的机子上网、聊QQ,你的QQ密码依然安然无恙。原因很简单,我们拒绝了一切非法的对QQ进程空间的操作。使得各种盗号手段失效。
当用来保护IE后,目前流行的各种插入IE反弹的木马全部失效,原因很简单,无法打开和插入IE进程,无法在IE中创建远线程,窃取各种IE密码的网银盗号程序失效,因为不允许任何第三方钩子挂入,无论是键盘钩子还是消息钩子。
使用方法(以保护IE为例):
1、启动超级巡警保险箱
2、点添加按钮,将我们要保护的程序添加到进来(IE 安装目录,一般是:c:\Program Files\Internet
Explorer\,IEXPLORE.EXE添加进来)。
3、双击列表中的显示IEXPLORE.EXE那行,启动IE上网。此时保险箱会提示你IE已经被超级巡警保险箱保护。
4、安心畅游网络。
5、当关闭IE的时候,超级巡警保险箱会提示IE结束,并告诉你拦截了一些试图插入IE进程的程序模块,对于专业人员而言,可以通过拦截的模块分析,发现到机子中的恶意木马,普通用户不用理会。
点击下载超级巡警保险箱1.0 BETA,可能未必非常稳定,帮俺们测试的朋友们,请稍加留心,不要在重要的服务器上使用 :)
另外两个下载地址:
http://update2.dswlab.com/strongbox.zip
http://u8.dswlab.com/strongbox.zip
大成天下只是信息安全行业里的一家小公司,团队气氛比较好,在这儿工作,压力未必小,但心情应该可以比较舒畅。团队的技术负责人(glacier、killer……)在技术上是毫不藏私的,如果希望快速成长,不妨来看看。可以通过智联招聘发送简历,也可以将简历直接投递到hr@unnoo.com,所有简历都是俺在看,要有兴趣,不妨试试。招聘的职位包括:
事件的原委:
1、8月11日,网友阿达、mopery的提示超级巡警团队,认为海尔的首页可能被挂马;
2、超级巡警团队检查后确认海尔官方首页被挂木马,因该网页头部存在:<!-- ARP Viruses --> 代码,有网友认为是海尔网站服务器机房遭受ARP病毒欺骗,从而造成这一情况,经过Avert小组成员对该网段其它主机分析,初步否定了这一观点;
3、超级巡警团队发布DSW Lab Avert警报,提示该问题,链接可以参见:
http://dswlab.com/vir/v20070811.html
http://www.xsf.com/thread-13096-1-1.html
4、8月12日14:01分,网友skysecret访问海尔首页,问题已经修正。
本来事情到这里,皆大欢喜,可惜的是,后续的发展,让我有些诧异,首先是公司的服务邮箱接到了一封来自“一名海尔员工”的邮件,表面上似乎蛮客气的,可不知为啥,我却从语气里读出了些“店大欺客”的蛮横,邮件全文如下(也可以直接看图片):
敬启者:
您好!我是一名海尔员工。在贵网上看到以下帖子:海尔官方网站首页被挂马;
链接:http://dswlab.com/vir/v20070811.html
上述帖子的内容涉及海尔的商业秘密,并且帖子制作者、发布者并未核实清楚即炮制
新闻对外公布,该帖子的存在极易引起广大网友的误解,
将给海尔的名誉带来极大的损害。
因此烦请尽快将上述帖子予以删除,以维护海尔的合法权益!
十分感谢!
还没处理呢,却发现,dswlab.com的域名被转向托管的IDC(也公布一下这家不负责任的IDC,idc45.com,俺反正是不建议用这家服务咧)了,很是纳闷,询问IDC时,IDC的联系人告诉我们:
海尔的正在找你呢,他们说你的网站对他们有不利的东西,说你对他们企业形象有不利,所以在他们的要求下,就转向了。他们是正规企业!而且提出要求。而且你是个人客户!我希望你还是尽快跟那个公司联系。说明情况。好像,你就是发了个文章说海尔网站上有木马!
我想说的是:网站被挂马不见他们什么动静,被人一爆料,却这么反应迅速地对俺们进行“还击”。其实,大企业也是允许犯错的,海尔的主页被挂木马,并不光彩,但用这种手段试图掩天下人之口,却未免太高看自己了。
不知道明天i170会不会收到一封请他们删除这篇BLOG的邮件,甚至被IDC直接下线……
续:刚才在QQ群里,一位兄弟告诉我个消息,权且作为本文的注脚吧:“海尔内部有文件发给各地渠道,每天必须在网络上搜索海尔的各种信息,特别是质量信息,在搜索结果中所有的论坛,新闻评论等可以发表言论的地方,针对海尔的产品,质量有关的话题必须发布指定数字的回帖。以保证其信息的正面性。”
再续:还是benjurry大度,又给气头上的俺浇了点水,他提示:“报之前,和对方沟通一下,效果可能会更好。这种沟通最简单的,可以是发一个邮件知会,表明我们的善意。”这点的确是我们的不足,多谢ben总提醒 :)
超级巡警v4 beta4 改动:
1.正式开始美化皮肤,支持更换和升级皮肤文件,皮肤文件为skin.res,用户只需按照我们的要求制作自己喜爱的皮肤,使用皮肤工具生成皮肤库即可,皮肤库工具近期小范围测试发放。安装版下载:
2.增加更多的壳识别和壳种类检测。
3.解决卡巴斯基会在本程序加载时报警的提示。
4.修正补丁检查的小BUG,使得检查更为准确。
5.垃圾清理-智能扫描增加清除指定网页中代码的功能,可以用来批量修复被挂马的网页。
6.垃圾清理-文件粉碎机中增加阻止文件再生的功能,可以简单删除文件,并防止文件再生。
7.端口关联中,双击自动定位远程IP地址,修正一处小BUG。
8.内置最新特征库。
http://update2.dswlab.com/ast_setup.exe绿色版下载:
http://update3.dswlab.com/ast_setup.exe
http://update2.dswlab.com/ast.zip
http://update3.dswlab.com/ast.zip
顺便提一句,挂马的那帮人,越来越猖獗了,这不,今儿海尔被挂上了……
出处:DSW Avert 时间:2007年08月06日
一、事件分析:
今 日,DSW Lab Avert小组监测到国内知名浏览器傲游(maxthon.com)官方页面被挂木马,挂马方式采用常见的.JS脚本,当用户浏览傲游网站的相关页面时会 触发木马链接,其中一个挂马链接利用MS07-017ANI光标漏洞,关于光标漏洞见:http: //dswlab.com/vir/v20070329.html
被挂马页面截图:
在该被引用的链接中,被嵌入<script
src=http://****.***.com/***/*.js></script> 指令。
在浏览器打开该页面时,会自动利用ANI光标漏洞下载木马文件。
下载的木马是U盘病毒:Virus.Win32.AutoRun.au的最新变种。同时该JS脚本还会打开另外三个页面,其中两个挂相关木马,另外一个使用了51Yes网站流量统计来统计受害用户数量。
加密前的挂马链接代码:
该木马被下载执行后,会关闭常见安全软件,并下载其它木马。并将监视用户系统,窃取用户的QQ账号/网游账号等。
三、解决方案:
1、推荐安装超级巡警监测查杀以上木马。
2、请广大用户及时升级系统补丁,预防更多的IE漏洞攻击。
3、为了最快保障广大用户不受木马侵害,在事件解决前请暂时不要访问登录该浏览器的网站。
4、目前傲游对此事件尚无反应。
5、对于已经中毒用户,建议及时修改自己的QQ/网游账号密码。
关于傲游(引自官方):
傲游浏览器是一个强大的多页面浏览器. 除了方便的浏览功能, 傲游浏览器还提供了大量的实用功能改善用户的上网体验。
超级巡警:彻底查杀各种木马,全面保护系统安全。
更多免费工具下载:http://www.dswlab.com
专业的桌面与内容安全产品:http://www.unnoo.com
下载地址
http://update2.dswlab.com/VMUnpacker.zip
http://update3.dswlab.com/VMUnpacker.zip
数据安全实验室(DSWLAB) 出品
经常看到网上有人在问:什么原因导致所有网页文件都被加了iframe?
至少可能有两种原因:
1、网站被挂马,所有页面被骇客加了iframe并指向木马文件;
2、中了ARP病毒,例如这个链接中接到的8w8w8w病毒;
不管哪种原因,杀毒的方法并不复杂,但杀毒之后,所有网页中都还有着那条被插入的iframe,怎么处理呢?别急,超级巡警能帮您解决这个问题,在超级巡警4.0 beta3中的垃圾清理功能中,新增了“清除指定代码”的功能,如下图所示:
积木?容器?变形金刚?
客户端安全产品的发展方向会是什么,似乎找到了点思路,随手写下,免得忘了。
超级巡警最近的发展势头比较好,于是又有人看不过眼了,在XFOCUS上开始有人放起冷箭来了,节录几句,学习一下泼脏水的艺术:
看了下脱壳列表,咦,怪了,好像跟某公司的列表特别像,怎么会这么像?难道是抄袭的某公司的引擎?
这种脱壳方法,国内的某企业貌似以前也是这么干的
你就说老实话吧,这个“虚拟机脱壳”是不是你写的
说句不好听的,你们空有“列表”(好像是抄来的哦)
给这招取个名字,叫“含沙射影”,其精髓在于,没啥证据的事儿,适当“点”一下,之后便不说更多的了,留给读者无限想象空间,果然出手不凡。
没有人希望中国人做的安全产品都是垃圾,说你是为你好!
还是踏实点的好,这个过家家软件,还远不到可以拿出来吹牛的程度
这招更是大开大阖高屋建瓴,站在振兴民族产业的高度,指点了一把江山。
哎,懒得多抄了。
1、还是KILLER那句话:觉得你技术很强,拿出你的过家家软件让我们学习一下。
2、我补充一句:如果拿不出作品,那麻烦拿出真凭实据,用技术说话,不用阴阳怪气的但偏又不知所云。
嘿嘿,今儿心情不太好,气量随之变小,写完之后才觉得,这篇文字纯属垃圾,但既写之,则发之,咱也就不掩饰自己的小肚鸡肠了 :)
Powered by Haiwit
