2007 二月 | 大砲開講

二月, 2007

中華民國銀行公會網頁又被植入惡意連結

2007 年 02 月 28 日 – 11:47:00

**高度危險網站：常常被植入惡意連結或遭駭**

中華民國銀行公會網頁又被植入惡意連結。前幾天，他們的網頁就開始被植入惡意連結，他們網管人員很迅速地將它移除，但就是不檢查系統或軟體有沒有安全漏洞，昨天又被植入相同的連結，而且，在第一時間通知他們，但到目前為止，尚未處理，可憐的受害者，不曉得消基會有辦法處理這樣的申訴嗎？另外，如果可以立一個法：網站被入侵，需要罰款 (因網站被入侵，導致受害人損失，須賠償其損失)，這些枉顧消費者權益的企業，對資安才會開始認真起來。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。

**請幫忙通知他們，謝謝**

惡意連結是放置在 all.asp 檔案中：

惡意程式的一部分為：

執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\425D8586.DLL (注入某些執行程序如檔案總管等)

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Shell.exe
C:\WINDOWS\Help\425D8586.DLL
C:\WINDOWS\Help\425D8586.EXE
C:\WINDOWS\Help\autorun.inf

[Added COM/BHO]
{B778645D-B2A0-48E5-8E43-04B02CA3EA9D}-C:\WINDOWS\Help\425D8586.DLL

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

self.htm:
[ Trend ], “HTML_DLOADER.LAF”
425D8586.EXE:
[ Ahnlab ], “infected by Win-Trojan/Exploit-WMF.Gen”
gmsex[1].exe:
[ Ewido ], “Not-A-Virus.Exploit.Java.ByteVerify”
Shell.exe:
[ Ewido ], “Not-A-Virus.Exploit.Java.ByteVerify”
425D8586.DLL:
[ Ewido ], “Not-A-Virus.Exploit.ByteVerify”

更新資訊： 另外，也可參考 OpenBlue 的「(案例分析)銀行公會網頁被植入惡意連結」，他的文章中會說明銀行公會的網站有哪些安全漏洞，很精采喔。

更新資訊 (20070301)： 他們已經移除惡意連結。

惡意程式, 網站安全 | 瀏覽數：1 | 0 迴響 »

Malware-Test Lab 防毒軟體評比報告 (02/26/2007)

2007 年 02 月 27 日 – 02:44:00

防毒軟體的偵測率 (20070226):

AVIRA Premium Security Suite 7.0: 95.09% 新增加

Fortinet FortiClient Host Security 3.0: 94.70%

BitDefender Internet Security v10: 92.36%

AOL Active Virus Shield (免費版本): 89.02%

AVIRA AntiVir PersonalEdition Classic 7.0 (免費版本): 88.44%

GRISOFT AVG Internet Security 7.5: 88.37%

Norman Virus Control Plus 5.82: 86.64% 新增加

BitDefender 8 Free Edition (免費版本): 86.52%

Rising Antivirus 2007: 84.78%

Kaspersky Internet Security 6.0: 84.77%

Panda Internet Security 2007: 79.16%

MicroWorld eScan Internet Security 8.0: 77.68%

ClamWin Free Antivirus 0.90 (免費版本): 76.57%

Sunbelt CounterSpy V2: 76.39%

ALWIL avast Professional 4.7: 73.41%

F-Prot Antivirus 3.16f: 72.75%

Filseclab Twister Anti-TrojanVirus V7: 62.66%

Trend Micro Internet Security 2007: 60.53%

CA Internet Security 2007: 58.61%

AhnLab V3 Internet Security 2007 Platinum: 56.44%

Kingsoft Internet Security 2007: 55.55%

ESET NOD32 2.7: 49.17%

Jiangmin Antivirus KV 2007: 45.16%

Webroot Spy Sweeper with Antivirus: 40.71%

CAT Quick Heal Total Security 2006: 37.29%

Hauri Virobot Desktop 5.0: 34.38%

Microsoft Windows Live OneCare 1.5: 12.68% 新增加

Comodo Antivirus 1.1 (免費版本): 9.92%

在這次的測試中，某些防毒軟體會造成下面的問題：

1. 下面的防毒軟體會使得系統出現藍色死亡畫面(bugcheck 0×7f), 我們已經收集到系統所產生的memory dump：

F-Secure Internet Security 2007

2. 下列的防毒軟體會出現應用程式例外處理畫面：

Dr.Web Antivirus 4.33

Symantec Internet Security 2007

Virus Chaser Professional

VirusBuster Professional 2006

PC Tools Antivirus 3.1 (Free)

F-Prot Antivirus 3.16f

3. 當執行掃描病毒時，下列防毒軟體本身的執行程序會發生凍結現象：

Sunbelt CounterSpy V2

4. 下列的防毒軟體花費大量的掃描時間：

Sunbelt CounterSpy V2

5. 下列防毒軟體產生安裝錯誤 (利用 Windows Live OneCare Cleanup Tool 可以解決此問題)：

Microsoft Windows Live OneCare 1.5

6. 下列的防毒軟體花費大量的掃描時間：

Trend Micro Internet Security 2007 (over 40 hours)

AVIRA AntiVir ProfessionalEdition Classic 7.0 (Free) (over 64 hours)

AVIRA Premium Security Suite 7.0 (over 175 hours)

GRISOFT AVG Internet Security 7.5 (over 70 hours)

7. 授權碼過期 (不曉得有人可以提供授權碼給我們嗎？)：

McAfee Internet Security 2007

對於更詳細的資訊，請參考這裡。

注意：由於病毒碼更新的時間不同，所以，容許誤差範圍介在 -4.3% 和 +4.3% 之間。

評比測試 | 瀏覽數：588 | 0 迴響 »

酷地球網站遭駭 (財團法人環境品質文教基金會)

2007 年 02 月 26 日 – 14:11:00

酷地球網站遭駭 (財團法人環境品質文教基金會)。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁及遭置換網頁：

至於詳細的資訊，可以參考 zone-h。

安全漏洞, 網站安全, 網站遭駭 | 瀏覽數：216 | 0 迴響 »

國立東華大學語言中心網站遭駭

2007 年 02 月 26 日 – 14:07:00

國立東華大學語言中心網站遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：

遭置換網頁：

至於詳細的資訊，可以參考 zone-h。

安全漏洞, 網站安全, 網站遭駭 | 瀏覽數：213 | 0 迴響 »

Firefox 安全漏洞 (Unload 功能)

2007 年 02 月 25 日 – 18:49:00

更新資訊：Mozilla 已經提供修補程式，請參考 Mozilla Foundation Security Advisory 2007-08。

Mozilla 才剛發布 Firefox 2.0.0.2 版本，Firefox 又被找到一個安全漏洞，原因是 Firefox 不當的處理 JavaScript Unload 功能。此漏洞可能導致記憶體損毀 (Memory Corruption)，以致於允許攻擊者未經授權可以在受害者系統執行任意程式碼。

影響：如果使用者瀏覽含有此惡意程式碼的網頁或電子郵件，攻擊者就有機會控制你的系統。

解決方案：在 Mozilla 尚未提供修補程式以前，最好將執行 JavaScript 的功能關閉。至於如何設定，可以參考 Securing Your Web Browser。

至於詳細的資訊，請參考：

Mozilla Firefox fails to properly handle JavaScript onUnload events

Bug 371321 – memory corruption when onUnload is mixed with document.write()s

安全漏洞 | 瀏覽數：225 | 0 迴響 »

華視首頁又被植入惡意連結

2007 年 02 月 25 日 – 11:20:00

**高度危險網站：常常被植入惡意連結或遭駭**

繼華視網站遭駭後，他們沒有找出安全漏洞，所以，現在首頁又被植入惡意連結。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。(此惡意程式應該也會偷使用者帳號與密碼)

**請幫忙通知他們，謝謝**

在首頁很難找到惡意連結，似乎是指向：

看不太出來吧 (如果有錯，請告知我)，因為它應該是與資料庫系統結合在一起，透過查詢方式執行一個微軟影音檔 (很恐怖吧)，此影音檔被動過手腳，會連至其他的網站，詳細流程，所下圖所示：

執行之後，有下面的行為 (與「手機王網頁又被植入惡意連結」是一樣的)：

[Added process]
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe (注入 svchost.exe 的執行程序)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\CiKE.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\taskmgr.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\b0(29)[1].swf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\cike[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\dvbbs[1].mdb
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\2006692151148920[1].gif
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\cike2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\cike1[1].htm
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=svchost,Data=C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

Nhook.dll:
[ Trend ], “TROJ_AGENT.KPF”
shell.fne:
[ Trend ], “TSPY_LEGMIR.AMJ”
dvbbs[1].mdb:
[ Trend ], “TROJ_Generic”
eImgConverter.fne:
[ Trend ], “TROJ_PWSTEALER.W”
eLIB.fne:
[ Trend ], “TROJ_AGENT.KPD”
internet.fne:
[ Trend ], “TROJ_FLYST.D”
krnln.fnr:
[ Kaspersky ], “PAK:NSPack”
[ Fortinet ], “suspicious”
[ HBEDV ], “W32/Wutau.A”
svchost.exe:
[ Kaspersky ], “Trojan-Downloader.Win32.Agent.bgz”
[ Nod32 ], “Win32/TrojanDownloader.Agent.BGZ trojan”
[ Fortinet ], “W32/Agent.BGZ!tr.dldr”
[ HBEDV ], “TR/Crypt.NSPM.Gen”
[ Norman ], “Trojan W32/Hupigon.gen7″
[ Ewido ], “Downloader.Agent.bgz”
taskmgr.exe:
[ Alpha_Gen ], “TEST_Downloader1″
[ Symantec ], “Trojan.KillAV”
[ Kaspersky ], “Trojan-Downloader.Win32.Agent.aqy”
[ Nod32 ], “Win32/Delf.AG worm”
[ Fortinet ], “W32/Agent.AQY!tr.dldr”
[ HBEDV ], “TR/Crypt.NSPM.Gen”
[ Norman ], “Trojan W32/Hupigon.gen7″
[ Ikarus ], “Backdoor.Win32.Hupigon.BV”
[ Ewido ], “Downloader.Agent.aqy”
[ Grisoft ], “Trojan horse Generic3.AIS”
b0(29).swf:
[ Kaspersky ], “PAK:Swf2Swc, Trojan-Clicker.SWF.Small.b”
2006692151148920[1].gif:
[ Alpha_Gen ], “TEST_Downloader1″
[ Symantec ], “Trojan.KillAV”
[ Kaspersky ], “Trojan-Downloader.Win32.Agent.aqy”
[ Nod32 ], “Win32/Delf.AG worm”
[ Fortinet ], “W32/Agent.AQY!tr.dldr”
[ HBEDV ], “TR/Crypt.NSPM.Gen”
[ Norman ], “Trojan W32/Hupigon.gen7″
[ Ikarus ], “Backdoor.Win32.Hupigon.BV”
[ Ewido ], “Downloader.Agent.aqy”
[ Grisoft ], “Trojan horse Generic3.AIS”
eCompress.fne:
[ Sophos ], “Mal/Packer”
[ HBEDV ], “HEUR/Crypted”
HideProc.dll:
[ Nod32 ], “Win32/HideProc.A application”
[ HBEDV ], “TR/Crypt.NSPM.Gen”
[ Norman ], “Trojan W32/Hupigon.gen7″
[ Ewido ], “Trojan.Agent.agf”

另外，OpenBlue 也有針對華視網站遭駭所做的分析，如果各位有興趣的話，請參考「(案例分析)手機王與華視網站遭駭被植入惡意程式」。

安全漏洞, 惡意程式, 網站安全 | 瀏覽數：262 | 0 迴響 »

Mozilla 發布 Firefox 2.0.0.2 版本

2007 年 02 月 24 日 – 16:42:00

Mozilla 發布 Firefox 2.0.0.2 版本，以修補修補數項安全問題，其中一個為 Firefox Cookie 安全漏洞 (Null 字元 “\x00″)，其他的安全問題，請參考這裡。另外，他們也改善對 Windows Vista 的支援與新增數種新語言測試版本等等，如果各位想要更詳細的資訊，請參考「Firefox 2.0.0.2 新鮮事」。

修補的安全漏洞列表：

MFSA 2007-07 Embedded nulls in location.hostname confuse same-domain checks

MFSA 2007-06 Mozilla Network Security Services (NSS) SSLv2 buffer overflow

MFSA 2007-05 XSS and local file access by opening blocked popups

MFSA 2007-04 Spoofing using custom cursor and CSS3 hotspot

MFSA 2007-03 Information disclosure through cache collisions

MFSA 2007-02 Improvements to help protect against Cross-Site Scripting attacks

MFSA 2007-01 Crashes with evidence of memory corruption (rv:1.8.0.10/1.8.1.2)

如何更新到 Firefox 2.0.0.2 版本呢？對於一般使用者，請使用「Firefox 檢查更新機制」。開啟 Firefox，點選「說明」->「檢查更新」，如下圖所示：

安全更新, 產業動態 | 瀏覽數：364 | 0 迴響 »

微軟發表 Virtual PC 2007

2007 年 02 月 23 日 – 23:37:00

微軟最近發表新版 Virtual PC，稱為 Virtual PC 2007 (虛擬機器)。此版本是免費軟體 (Virtual PC 2004 也是免費)，很難得微軟不收取費用，如果各位想要執行其他版本的 Windows 作業系統又不想花錢購買虛擬軟體或新電腦，可以考慮使用 Virtual PC 2007 (雖然，我比較喜歡使用 VMWare，不過，也許我會再嘗試看看囉)。

主要功能 (這些功能 VMWare 都支援)：

拖曳式複製 (Drag and drop copying)：方便在實體與虛擬系統之間做檔案或資料夾拖曳。

整合式滑鼠 (Integrated mouse)：方便在實體與虛擬系統之間做切換。

時間同步 (Time synchronization)：同步實體與虛擬系統的時間。

資料夾分享 (Folder sharing)：方便在實體與虛擬系統之間做資料夾分享。

支援 x86 或 x64 實體系統 (Supported Host System)：

Windows Vista Business

Windows Vista Enterprise

Windows Vista Ultimate

Windows XP Professional

Windows XP Tablet PC Edition

支援虛擬系統 (Supported Guest System)：

Windows 98

Windows 98 Second Edition

Windows Millennium Edition (Windows Me)

Windows 2000 Professional

Windows XP Home Edition

Windows XP Professional

Windows Vista Enterprise

Windows Vista Business

Windows Vista Ultimate

OS/2 Warp Version 4 Fix Pack 15

OS/2 Warp Convenience Pack 1

OS/2 Warp Convenience Pack 2

對於沒有支援 Linux 作業系統，個人是有一點失望，不曉得微軟會支援嗎？還是擔心 Linux 會對他們造成威脅呢？

如果各位想要更了解 Virtual PC 2007，請參考這裡。

產業動態, 虛擬機器 | 瀏覽數：603 | 0 迴響 »

繞過 PatchGuard 的監控

2007 年 02 月 23 日 – 00:15:00

PatchGuard 到底是什麼呢？這是微軟為了防止惡意程式或其他廠商修改 Windows 作業系統架構，所提供的一個 Windows 核心 (Kernel) 防護機制。此功能只支援 Windows x64 版本。

為什麼要保護 Windows 核心呢？如果惡意程式感染 Windows 核心，它就可以獲得至高無上的系統權限，可以為所欲為。很多駭客或安全專家都積極在嘗試破解此項功能，正如大家所預期，他們很快就找到方法，其中一個名為 Skywing，提供一些方法以繞過 PatchGuard 的檢測，如果各位有興趣的話，請參考 Bypassing PatchGuard on Windows x64 和 Subverting PatchGuard Version 2 這兩篇文章。

安全性、便利性和功能性本來就無法兼顧，如果一味地強調安全性，那個系統一定很難操作以及很少功能，所以，如何取得平衡是一個很難抉擇的問題。

研討會講義/資安文章 | 瀏覽數：567 | 0 迴響 »

Google 將推出應用服務豪華版本

2007 年 02 月 22 日 – 20:46:00

TechCrunch 和 GigaOM 都相繼報導 Google 即將推出 Google 應用服務豪華版本 (Google Apps Premier Edition)。

Google Apps 包含 Gmail、Google Talk、Google Calendar、Docs & Spreadsheets、Page Creator 和 Start Page。這個版本為付費版本，每個人每年要美金 50 元，電子郵件的儲存空間為 10 GB。至於豪華版本與標準版本之間的差別，如下圖所示：

微軟又多了一個競爭對手，不曉得他們會有什麼反應呢？

至於相關的報導，請參考：

Google Apps grows up

It’s G-Day: Google Launches Apps Premier

Google and the Office game

產業動態 | 瀏覽數：197 | 0 迴響 »

網頁設計聯合國首頁被植入惡意連結

2007 年 02 月 22 日 – 18:17:00

網頁設計聯合國首頁被植入惡意連結。另外，此網站也遭到入侵。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。

**請幫忙通知他們，謝謝**

遭置換網頁：

惡意連結是放置在首頁中：

惡意程式碼的一部分為：

執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\222[1].exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ld7media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP]

ID: 1013
NAME: MSAFD Tcpip [TCP/IP]

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ Trend ], “TROJ_DELF.DZP”
ld7media.dll:
[ Trend ], “Possible_Virus”
222[1].exe:
[ Trend ], “Possible_Virus”

安全漏洞, 惡意程式, 網站安全, 網站遭駭 | 瀏覽數：214 | 0 迴響 »

Windows Live Messenger 散播惡意程式

2007 年 02 月 22 日 – 15:27:00

對於 Windows Live Messenger 網站廣告系統散播惡意程式，微軟公開道歉。

惡意程式的作者透過購買廣告的方式 (Yahoo、Google 搜尋引擎等都有類似的問題)，將惡意程式的連結與廣告標題結合在一起，當使用者瀏覽那個廣告標題網頁，就會彈出警告視窗 (如下圖)，此視窗就是惡意程式、廣告軟體或間諜軟體，如果使用者按「OK」按鍵，就會執行安裝動作，有時後，按「Cancel」按鍵，也會執行安裝動作。

對於這種問題，除非業者具備資訊安全相關知識且嚴格把關，否則，很難阻止這種問題的發生。對於使用者而言，只能靠防毒、反間諜或入侵防禦等軟體。最重要的是不要任意執行來路不明的檔案。

Microsoft apologises for serving malware from APC

廣告軟體, 惡意程式 | 瀏覽數：370 | 0 迴響 »

Windows Vista 需要 4GB 系統記憶體嗎？

2007 年 02 月 22 日 – 10:54:00

如果消費者想要購買或升級到 Windows Vista 作業系統，微軟建議的系統需求為：

1 GHz 的 32 位元 (x86) 或 64 位元 (x64) 處理器

512 MB 系統記憶體

20 GB 硬碟容量，至少 15 GB 的可用空間

DirectX 9 圖形支援與 32 MB 圖形記憶體

DVD-ROM 光碟機

音訊輸出

網際網路連線 (可能需要付費)

雖然很想把 Windows Vista 安裝在自己的筆記型電腦 (1GB RAM)，但想到它對硬體的要求，這個念頭很快就放棄了。

最近看到一篇有關「Windows Vista 需要 4GB 記憶體」的報導 — 經過兩年的 BETA 測試，IBM 的顧問說如果 Windows Vista 要達到最佳效能，使用者最好考慮使用 4GB 系統記憶體。另外，戴爾 (DELL) 建議使用 2GB 系統記憶體。看到這裡，使用者的荷包又要大失血了。

至於詳細的情形，請參考相關的報導：

Buying a new PC? ‘Windows Vista Capable’ barely hits the mark

DELL Windows Vista Recommendation

Microsoft Recommendation

4 GB May Be Vista’s RAM Sweet Spot

作業系統, 產業動態 | 瀏覽數：595 | 0 迴響 »