程序漏洞成黑帽大会关注点 更新时间:2007-8-21
全球广为关注的黑帽安全大会在美国拉斯维加斯结束了,今年的一个很大变化是,人们的关注焦点从病毒变转向了程序安全。这种变化反映出安全行业的趋势:即恶意攻击正从普通的病毒转变为更有针对性的攻击,这些攻击所<-- news 正文页网画中画广告 -->
<---->
针对的目标是存在漏洞的企业IT系统。
会上,网络安全测试公司Cenzic公布了几种程序漏洞趋势:在2007年第二季度,在流行软件中发现了1484个漏洞,其中,有72%的漏洞与软件程序、网络程序、网络服务器或网页浏览程序相关,而2007年第一季度,这一比例只有7%。
在浏览器黑客漏洞当中,有33%的漏洞存在于微软的IE浏览器中,26%存在于Mozilla的Firefox中,21%的存在于Opera浏览器中。
AJAX程序中漏洞多
SPI Dynamics程序安全测试软件制造商的研究员们演示了常见的AJAX程序设计漏洞,这些设计都来自不合标准的代码,比如使用客户端XSL转换、使用错误的服务器端的API以及将数据无意识地存放在很多客户端的程序中等等。而基于AJAX的Web 2.0语言,比如异步JavaScript和XM已经成为一种流行的平台,但很多程序员在使用这些语言时没有重视其安全问题。
大部分的开发人员对AJAX缺乏经验。雅虎、Google都存在AJAX安全问题;如果这些公司都存在问题,那么小公司的开发问题更多。
两位研究员对一个使用AJAX编程技术开发的虚拟旅游网站发起攻击,他们使用了从这些程序窃取信息的攻击手段,对网站实行拒绝服务式攻击,或者利用漏洞去深入底层的系统,都获得了成功。
2007年4月,Hoffman在ShmooCon年度黑客大会上使用他自己设计的一种系统发现了一个JavaScript漏洞,引起轰动,漏洞叫做Jikto,会后,有人将这个工具泄露到了互联网上。
数据库中存在漏洞
SPI的对手,Watchfire演示了“空悬指针”攻击——指针指向了一块没有分配给用户使用的内存,这是一种非常常见的编程漏洞。空悬指针曾被专家怀疑可以造成潜在的安全威胁,但一直没有得到证实。会上,Watchfire表示,他们找到了第一种可以真正利用这一漏洞的指令。Watchfire的安全研究主管Danny Allan说:“很长一段时间以来,空悬指针理论上被认为是一种安全漏洞,因为如果将指针指向恶意代码,你就可以干坏事,但之前,还没有人能够找出利用这一漏洞的方法。这是一种全新的攻击。我预计,围绕这一问题将出现大量的安全研究成果。”今年6月,这家公司被IBM收购,IBM计划将Watchfire的漏洞扫描技术整合到它的Rational开发平台当中。
Core的研究员Saura和Ariel Waissbein表示通过执行记录插入操作,人们可窃取数据库中的机密信息,在一个数据库当中,记录插入指令是一套非特权指令集,任何用户都可以使用它们,包括通过网络程序访问系统等等。
Core公司的首席技术官Ivan Arce说:“这里面并不存在配置错误漏洞。这里所利用的是数据库允许用户快速访问信息的设计特点,很多情况下,黑客只需简单在数据库当中插入几行指令,就可以找到数据库当中的内容。如果时序存在不同,那么人们可以推断出数据库内容是什么,比如,信用卡号码等等。将这种方法反复进行几次,就能够用插入指令的方法了解数据库的内容。”
因为程序漏洞日益增多,黑帽大会首度设立了“Pwnies”奖项,以奖励最有创新的漏洞以及漏洞利用发现者。“Pwnies”来源于“pwning”这个黑客专业术语(意思是专门威胁特定的网站或程序),它下设“最佳服务器端臭虫奖”,“最佳客户端臭虫奖”。“最有创新研究奖”,“最佳厂商响应攻击奖”以及“最轰动臭虫奖”。Pwnies奖的评委都是知名安全研究员,其中包括Dino Dai Zovi、HD Moore,Dave Aitel和Alexander Sotirov
任务管理器被病毒禁用解决方法 更新时间:2007-8-21
最近这段时间,QQ病毒又出来新品种了,就是任务管理器被禁用了,使你知道中了QQ病毒也没有办法关掉病毒进程,一开始作者把病毒修改的注册表改回来,但发现修改完保存好的注册表后驻留内存的病毒又将其修改了,怎么办呢?..........
于是便随便找了个求助贴,把杀软关了,把那个病毒源程序下载来了.dir一下,把WINDOWS和system32目录下的.exe和.dll文件输出到文本.然后就运行那个病毒了.
很显然.任务管理器被禁用了.打开QQ会自动向外发信息(这个我早就知道了.嘻嘻.我当然不会傻到跟人家去聊Q.)其实经过分析.这其实还是个木马.会将一些病毒制造者感兴趣的东东通过E-mail发到他的邮箱.
这么做的目的无非是想让人家无法终止病毒进程.
然后就到注册表里去解锁.他却没有禁用注册表.开始心想.这SB,居然不禁用注册表?明明可以改回来嘛!
找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
把DisableTaskMgr直接删除了.
重新加载一遍WINDOWS外壳程序.却发现一个问题....任务管理器还是打不开.再次打开注册表.发现DisableTaskMgr的键值依然存在.郁闷了.怪不得他不禁用注册表.
其实应该想到了.这应该是内存中驻留的病毒程序搞的鬼.一旦他检测到你对注册表所做的修改.他会自动改回来的.
好吧.看到底是哪一个病毒程序..运行病毒程序之前为了保险,我是先对系统文件信息做了一个大概的备份的.然后再dir一下WINDOWS和system32目录下面的exe和dll文件.依旧输出到文本.用fc.exe比对了一下...发现确实多了一个svohost.exe,其实他就是想与svchost.exe这个系统文件混淆.只差一个字母.不仔细还真发现不了.
接下来开始解决.
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件",这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
v打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
基本搞定了.一开始我只是想弄明白他是怎样一个原理.其实.相信大家也应该看出来了.如果你的杀毒软件病毒库够新的话.都能把病毒源程序杀掉的.你所需要做的只是修复注册表中的相关项.这里也提供了一个DIY解决问题的思路.也许病毒源文件并不一样.大家按照实际情况.按照上面的方法操作.
友情提示一下:在QQ上发过来的文件.不经过确认可不要随意乱点.没准一不小心就中招了.
PS:一些不得不说的话:我发现有很多人误会我的意思了`
这篇文章只是想告诉大家一种方法。我发现有很多网友却依葫芦画瓢,去电脑里搜索svohost.exe和lsasa.exe,其实病毒有很多种,源文件也是千变万化的,不能认死理,重要的是方法。只要有病毒运行,那么一定是有病毒进程的`我想现在还不多见隐藏进程的病毒吧~仔细观察,总能发现源文件的~也许是跟系统文件名称一样但路径不同~例如在不同路径下有的svchost.exe,rundll32.exe等~
对于一般的网友而言,最好是用强力的杀毒软件来杀。
至于手动清除的话。我们也有很多方式可以查的~一般的病毒,都会设置为自启动~那么,大家可以到注册表里一些可以启动的地方去找一找。如RUN,SHELL等~相关文章大家可以上网去找一找,有些病毒会注册服务,以服务的形式启动~大家可以打开services.msc来查看。
很多病毒喜欢伪照服务进程。这里我以查进程中的svchost.exe有无可疑为例~
在CMD里输入命令:tasklist /svc回车~可以看到svchost.exe的进程代表的服务。
大家可以看到,有四个svchost.exe,那么,我们在tasklist下面看是几个呢?
也是四个~证明这四个svchost.exe都是正常的(服务态加载的病毒除外)
如果在上面那幅图出现了5个svchost.exe呢?这意味着。那个多余的svchost.exe肯定是有问题的。那么我们可以在C盘搜索一下svchost.exe看到底有几个,非system32目录下的svchost.exe一定是病毒~
大家可以先把所有的应用程序,一些认识的除系统进程外的后台程序通通都关了,缩小查找的范围,这需要的就是经验。
其实WINDOWS提供了很多的小工具帮你解决问题,如系统信息查询工具,msconfig,servicse.msc,tasklist.exe等等小工具,只要用好了这些小工具,我想将病毒除去也不是什么太大的难事!
还是建议大家能安装一个好一点的杀软。如果嫌麻烦的话,但我认为,能自己亲手把病毒干掉。是一件很值得快乐的事情
国家计算机病毒中心发现利用U盘进行传播的病毒 更新时间:2007-8-21
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种利用U盘进行传播的新蠕虫“小浩”(Worm_XiaoHao.A),被感染后的文件图标变为一个“浩”字的图样。
该蠕虫和之前出现的蠕虫“熊猫烧香”具有相似的特点,都可以感染可执行文件(后缀名为.EXE)。与其不同的是,被感染后的可执行文件将无法正常运行和恢复。
蠕虫运行后,会在受感染计算机系统中的每个磁盘根目录下释放两个病毒文件,文件运行后会查找系统中的可执行文件,将病毒文件写入其中,从而使文件感染成为新的病毒文件,同时被感染后的文件图标变为一个“浩”字的图样。除此之外,该蠕虫还会搜索系统中的网页脚本文件,并向其中插入含有恶意代码的网页地址连接。
另外,蠕虫还会利用Windows系统的自动播放功能并结合U盘来进行病毒传播。一旦计算机双击染有该蠕虫的U盘,系统就会受到感染。系统感染后,蠕虫将会把系统时间修改为2005年1月17日,并且终止系统中防病毒软件的服务进程。
针对这一类利用移动存储设备进行传播的病毒,国家计算机病毒应急处理中心建议广大计算机用户养成使用U盘、移动硬盘等移动储存设备的良好习惯,例如当外来U盘接入计算机系统时,切勿双击打开,一定要先经过杀毒处理,或是采用具有U盘病毒免疫功能的杀毒软件查杀后,再接入计算机系统,另外,关闭微软的“自动播放”功能。
奇虎360杀完瑞星杀毒霸 金山或为受损用户维权
8月17日,金山毒霸客服中心连续接到用户求助,奇虎360安全卫士将金山毒霸2006版、金山毒霸OEM联想版的update.exe程序当作木马病毒删除,直接影响到这两个版本毒霸的在线功能的正常使用。
接到用户求助后,金山毒霸反病毒中心高度重视,经过金山毒霸研发中心分析确认,这是由于奇虎360安全卫士3.6beta版的误杀所致。奇虎360安全卫士升级到1.0.1.1285版本时,误报解除。但奇虎360网站上提供的360 3.6beta安装包里的特征库(1.0.1.1282)还是会误报毒霸2006、联想OEM版的Update.EXE文件。
因为奇虎360安全卫士并未提供误杀灾难恢复功能,受此次误杀事件影响的金山毒霸的用户无法通过自己的计算机完成对误删除程序的恢复,只能通过在正常电脑复制,重新下载独立的升级程序,或者重新安装金山毒霸来修正。金山对因奇虎360安全卫士误杀事件给用户造成的损失表示遗憾,保留为大量被侵害用户维权的法律权力。
如果您所使用的金山毒霸受此次误杀事件影响,请点击
http://down.www.kingsoft.com/db/download/othertools/Update.EXE,在浏览器弹出的对话框中,选择另存为,再浏览到金山毒霸的安装文件夹,金山毒霸2005和2006的缺省安装目录分别是c:kav2005和c:kav2006,update.exe下载完毕即可恢复金山毒霸正常的升级功能。
