加糖苦咖啡

文章列表

2009-02-25 17:07

和SourceFire的那个补丁相比：
1，补丁代码完全剽窃（或者说借鉴），呵呵；
2，走修补路线，不是文件替换，因此补丁程序只有几十KB，小了100倍；
3，适用于Acrobat Reader 8.0 和 9.0各版本。

在以下环境中测试过：
Acrobat Reader 8.1.2 简体中文版
Acrobat Reader 8.1.3 简体中文版
Acrobat Reader 9.0.0 英文版

下载地址：http://filedown.jiangmin.com/download/AdobeReaderPatch.exe

欢迎试用。

相关链接：Adobe PDF文件格式惊现零日漏洞江民紧急施援

类别：系统网络安全 | 评论(15) | 浏览()

注意防范Acrobat PDF 0day

2009-02-24 14:34

    这个PDF 0day的分析和利用代码已经公布，并且广为转载了，利用这个漏洞传播病毒已经变得相当容易。
    根据已公布的资料，Adobe Acrobat和Acrobat Reader 8 / 9 存在该漏洞。Adobe计划在3月11日发布补丁。暂时的解决方案有：

1，禁用Acrobat Javascript
    如果你用的是Acrobat Reader 9.0，可以从这里下载批处理程序，运行后即搞定。
    或者手工在首选项里面把启用JavaScript选项禁用，如下图：

2，安装山寨补丁
目前有一个仅供Acrobat Reader 9使用的第三方补丁，下载zip包，解压出AcroRd32.dll覆盖原文件（一般在C:\Program Files\Adobe\Reader 9.0\Reader\）

相关链接：
Acrobat 0-day used in targeted attacks
Homebrew patch for Adobe AcroReader 9
Have a nice weekend!(PDF love)
Multiple PDF Readers JBIG2 Local Buffer Overflow PoC
Adobe Acrobat Reader JBIG2 Local Buffer Overflow PoC #2 0day

Updated 2009-2-25
禁用JavaScript能够阻止绝大多数的恶意PDF攻击，但不是100%。利用这个0day，无需JavaScript也能制作出稳定运行的恶意PDF。所以，要么安装山寨补丁，要么等2周后发布的官方补丁。
http://secunia.com/blog/44/

Updated 2009-2-26
改进了那个山寨补丁，江民PDF补丁只有几十KB，且适用Acrobat Reader 8 & 9。详见这里。

类别：系统网络安全 | 评论(5) | 浏览()

整治MS09-002挂马第一批曝光网址名单

2009-02-23 10:44

谨以此标题向“整治互联网低俗之风”运动致敬。第二、三……N批不准备公布了，会没完没了的。
目前这个漏洞的利用率已经升至40%左右，增长趋势还是比较强的。

hxxp://www.hynno8744.cn/17/02.htm	hxxp://www.hynno8744.cn/31/02.htm
hxxp://www.slllj4.cn/a1/ss.htm	hxxp://fffddd11.cn/new10/02.htm
hxxp://www.yqwt5efe56w56e.cn/06014.htm	hxxp://fffddd11.cn/new3/02.htm
hxxp://www.hynno8744.cn/23/02.htm	hxxp://cccbbbb.cn/1/02.htm
hxxp://www.hynno8744.cn/18/02.htm	hxxp://cccbbbb.cn/new3/02.htm
hxxp://www.166pp.com/w/ss.htm	hxxp://onewedhost.com/qdring1/themes/902.htm
hxxp://w.7u8f.cn/01/7.htm	hxxp://fffddd11.cn/new12/02.htm
hxxp://8.bluesky02.cn/02.htm	hxxp://cccbbbb.cn/new1/02.htm
hxxp://1.114central.com/17/02.htm	hxxp://cccbbbb.cn/new8/02.htm
hxxp://w.7u8f.cn/01/5.htm	hxxp://www.xiaoyx8.cn/js/sd1/ytxxz.htm
hxxp://www.poloi999.cn/2/02.htm	hxxp://fffddd11.cn/new8/02.htm
hxxp://baidusib.cn/01/ytxxz.htm	hxxp://www.hynno8744.cn/21/02.htm
hxxp://www.poloi999.cn/10/02.htm	hxxp://www.hynno8744.cn/13/02.htm
hxxp://1.114central.com/4/02.htm	hxxp://ddddsss12.cn/new3/02.htm
hxxp://www.auctlva.com/02.htm	hxxp://baidusib.cn/05/ytxxz.htm
hxxp://www.xiaoyx8.cn/js/td1/ytxxz.htm	hxxp://www.sll4362.cn/a1/ss.htm
hxxp://www.hynno8744.cn/20/02.htm	hxxp://baidusib.cn/06/ytxxz.htm
hxxp://www.hynno8744.cn/22/02.htm	hxxp://product4.cn/tcoun/ss.htm
hxxp://51momo.woy3.cn/root/uc.htm	hxxp://www.eryfghfdc.cn/xOiii.htm
hxxp://ghost.adf3.cn/root/uc.htm	hxxp://www.poloi999.cn//13/02.htm
hxxp://www.luckffxi.com/02.htm	hxxp://wm.mnvk8.cn/cx.htm
hxxp://www.slll4j.cn/a1/ss.htm	hxxp://www.ok8uuer5.cn/2/02.htm
hxxp://www.poloi999.cn/14/02.htm	hxxp://w.6tg7.cn/01/7.htm
hxxp://www.hynno8744.cn/26/02.htm	hxxp://bb.2015wyt.net/newer/nod32.htm
hxxp://www.eretukyig.cn/xOiii.htm	hxxp://ddddsss12.cn/new2/02.htm
hxxp://www.hynno8744.cn/29/02.htm	hxxp://www.al1pay9.com.cn/love/ss.htm
hxxp://alan.p9555.cn/images/web/2/ie7_new.html	hxxp://www.lkjdlfior.cn/xOiii.htm

类别：系统网络安全 | 评论(4) | 浏览()

灰鸽子上了新闻联播

2009-02-21 23:55

今天晚上边吃饭边看新闻联播，报道未成年人健康成长和净化网络网吧环境的时候，突然出现了灰鸽子客户端的画面，是个VIP 2007 BETA2版，持续了1秒左右。
节目显然不是在批判灰鸽子，不知CCTV用意何在，是推荐灰鸽子做网吧管理软件呢，还是推荐灰鸽子做未成年人电脑课程呢？想不明白。这上意揣摩不透，基层工作就不好办了，以后见到鸽子，是杀呢，还是放呢……

想要求证的，可以查看央视网站上的原始视频，在2:23。

类别：反病毒相关 | 评论(3) | 浏览()

MS09-002没有瑞星说的那么火，至少现在没有

2009-02-21 15:10

    昨天瑞星发表了IE7新漏洞导致木马病毒暴增瑞星一天截获866万次挂马攻击。文章说，利用MS09-002漏洞的新木马病毒大量出现。由于该类木马病毒的暴增，2月19日截获的挂马网站攻击人次比前一天增加了一倍。瑞星为此发布了红色安全警报。
    其实MS09-002没有文章说得那么火，也许过段时间会火起来，但现在还差得远。
    MS09-002和IE XML 0day（MS08-078）对比的话，略逊一筹，原因很简单：
    其一，IE XML 0day在MS08-078补丁发布之前就已经很泛滥了(当时70%以上的挂马网站已利用了该漏洞)，MS09-002不是0day，微软补丁出现一周后才陆续有人利用，危害显然低了一个档次；
    其二，看看微软的bulletin就知道，MS09-002影响的软件平台范围没有MS08-078广泛，各平台上的危害等级都小于或等于MS08-078；
    考虑到二者在Windows XP + IE7和Windows Vista + IE7的主流环境上危害程度一致，所以用了“略逊”这个词。
    现在，MS09-002的漏洞代码刚刚被milw0rm公布了不到2天，的确拦截到了十来个利用实例，比如：
hxxp://www.lkjdlfior.cn/xOiii.htm，hxxp://www.slllj4.cn/a1/ss.htm，但整体利用率尚不足10%，也许我们应该多等些时间，毕竟当初MS08-078一个堂堂0day也花了一周时间才成为最火的挂马漏洞。
    参考瑞星前几次红色警报——磁碟机、诺顿误杀、Flash漏洞(CVE-2007-0071)的情形，似乎IE XML 0day那次忘拉了，而这次警报的风格似乎更加未雨绸缪。
    当然，警报早拉两天也不算什么坏事，但文章中所说的瑞星截获挂马攻击翻番的事情，要么是截获能力提高了，要么是用户群扩大了，要么是算错了，要么是别的什么原因，总之，那不关MS09-002什么事。

类别：系统网络安全 | 评论(3) | 浏览()

MS09-002漏洞利用代码公开

2009-02-19 12:33

milw0rm上终于公开了MS09-002的利用代码，这下大家都不用费劲找了。
从交换来的样本看，似乎2月11日就有了的说。
上次IE XML 0DAY曝光后一周，利用率就达到了70%以上。这个MS09-002，虽然不是0DAY，但也不用“估计”，马上就会被用来大范围挂马。如果还没有打过补丁，赶快行动吧。

类别：系统网络安全 | 评论(3) | 浏览()

元宵夜CCTV新楼大火

2009-02-10 08:41

昨晚往老丈人家路上在103.9听到的消息，幸好不是主楼。转段视频：

大楼在烧，旁边的花还在放，无语。这么大的火势，这个北配楼差不多要炸了重盖了吧，不过以CCTV的NB，也不会在乎。

updated:
火灾原因确定：央视自宫。还真让韩寒给说着了。

类别：生活点滴 | 评论(4) | 浏览()

传说中的MYSQL烤肉店

2009-01-16 13:22

昨晚摄于明月三千里烤肉广安门店，"MYSQL"满眼皆是，呵呵。考虑到最近特别是年底已经吃过几次烤肉，未来几天内可能还要吃，昨天只要了拌饭、酱汤和牛肉饼。拌饭不怎么样，酱汤味道很正，牛肉饼口感超嫩，我和老婆一共消费56，还有的打包 :)
心仪已久的“XML饭店”——香满楼，还没去过，有机会吧。

类别：生活点滴 | 评论(7) | 浏览()

用于下载木马的快捷方式

2009-01-12 17:03

前两天在Sophos Blog上看到了一篇LNK Trojan Downloaders - when the shortcut becomes the program，是说使用一个单独的快捷方式(.LNK文件)来下载执行木马程序。收到了几个样本，正在通过台湾Yahoo邮箱传播。

右键菜单里看“目标”：用cmd.exe /c执行一系列命令——先创建一个ftp脚本，然后ftp.exe -s执行脚本，下载文件，最后用start命令启动。
类似的命令行虽早已司空见惯，但用邮件群发这样的快捷方式我还是第一次遇到。看来，有必要做个.LNK-->.BAT的转换程序，把所有的快捷方式都当批处理文件查查了。

类别：反病毒相关 | 评论(4) | 浏览()

Google V8 JavaScript引擎

2009-01-11 20:25

    和Mozilla的SpiderMonkey一样，Google Chrome浏览器的JavaScript引擎Google V8也是一个开源的独立引擎，可内嵌于任何C++工程之中。
    速度是V8追求的主要设计目标之一，它把JavaScript代码直接编译成机器码运行，比起传统的“中间代码+解释器”的引擎，优势不言而喻。在SunSpider测试中，V8的综合表现是最好的。据说Mozilla正在开发的TraceMonkey比V8还要快20%左右，可惜尚未完工。
    用V8解密了一把恶意网页常用的Base62加密，结果如下：

看来功能上是没有问题的（100%废话，呵呵，不过原来用SpiderMonkey做解密的时候，出现过程序崩溃）

类别：反病毒相关 | 评论(4) | 浏览()