C.I.S.R.T.

Microsoft Security Advisory (977981)

Wed, 25 Nov 2009 01:01:37 +0000

Microsoft Security Advisory (977981)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
Published: November 23, 2009

Version: 1.0

Microsoft is investigating new public reports of a vulnerability in Internet Explorer. This advisory contains information about which versions of Internet Explorer are vulnerable as well as workarounds and mitigations for this issue.

Our investigation so far has shown that Internet Explorer 5.01 Service Pack 4 and Internet Explorer 8 on all supported versions of Microsoft Windows are not affected, and that Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6 and Internet Explorer 7 on supported editions of Windows XP, Windows Server 2003, Windows Vista, and Windows Server 2008 are affected.

The vulnerability exists as an invalid pointer reference of Internet Explorer. It is possible under certain conditions for a CSS/Style object to be accessed after the object is deleted. In a specially-crafted attack, Internet Explorer attempting to access a freed object can lead to running attacker-supplied code.

............

Tags - css/style , 977981

Im a virus. My name is sola

Sat, 10 Oct 2009 12:54:51 +0000

引用

I'm a virus. My name is sola.
我是一个病毒。我的名字叫苏拉。
今天，在这片堕落的土地上，我苏醒过来。
我曾经很快乐地活着，与我的朋友，ACG，快乐地活着。
我曾经也对病毒深恶痛绝。
然而.............
自从我来到了这片土地上，这片自称伟大，崇高，光明的土地上。
这片名为中国的土地上
我的朋友，已遍体鳞伤。
他死了
Death Note

............

Tags - sola

Microsoft Office Web 组件控件中的0-day漏洞（973472）

Tue, 14 Jul 2009 01:25:05 +0000

MS 安全通报：Microsoft Security Advisory (973472)

MS 知识库：http://support.microsoft.com/kb/973472

Tags - owc10 , owc11 , 973472

Green Dam-Youth Escort，绿坝

Fri, 12 Jun 2009 08:00:10 +0000

这两天有关绿坝的新闻很多，今天有一篇来自密歇根大学计算机技术与工程系（Computer Science and Engineering at the University of Michigan）的漏洞报告在国内被广泛转载。

Analysis of the Green Dam Censorware System

Tags - greendam , 绿坝

[转载]木马和僵尸网络监测与处置机制

Mon, 01 Jun 2009 02:15:03 +0000

木马和僵尸网络监测与处置机制

第一条为有效防范和处置木马和僵尸网络引发的网络安全隐患，规范监测和处置行为，净化网络环境，维护我国公共互联网安全，依据《中华人民共和国电信条例》、《互联网网络安全应急预案》，制定本办法。

第二条木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制的受害计算机群。木马和僵尸网络对网络信息安全造成危害和威胁，是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。

第三条本办法适用于对危害公共互联网安全的木马和僵尸网络控制端（以下简称木马和僵尸网络）及其使用的IP地址和恶意域名的监测和处置。

............

Tags - 木马 , 僵尸网络

五一期间爆三个新0day,暴风影音和中国游戏中心大厅漏洞被用在挂马新宠

Sun, 03 May 2009 07:48:46 +0000

五一小长假，被爆出三个高危0day漏洞，且这些漏洞已经被用于挂马集团中，当用户安装有漏洞的软件，浏览黑客精心构造含有恶意代码的网页后，在用户不知情情况下下载木马。

暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞

引用

受影响的系统:
暴风影音2009 <=[3.09.04.17]

细节:
CLSID:6BE52E1D-E586-474F-A6E2-1A85A9B4D9FB
文件:mps.dll
Sub OnBeforeVideoDownload(ByVal URL As String)

当参数URL是一个超长字符串时，发生栈溢出，利用堆填充技术，攻击者可以很轻松的利用此漏洞执行任意代码。

暴风影音2009(Config.dll)ActiveX远程栈溢出漏洞

引用

受影响的系统:
暴风影音2009 <=[3.09.04.17]

细节:
CLSID:BD103B2B-30FB-4F1E-8C17-D8F6AADBCC05
文件:Config.dll
Sub SetAttributeValue (
  ByVal lpQueryStr  As String ,
  ByVal bstrAttributeName  As String ,
  ByVal lpValueStr  As String
)

当参数lpQueryStr是一个超长字符串时，发生栈溢出，利用堆填充技术，攻击者可以很轻松的利用此漏洞执行任意代码。

............

Tags - 暴风影音 , 中国游戏中心游戏大厅 , mps.dll , cgagent.dll , 挂马 , 恶意代码

Twitter XSS 蠕虫【Mikeyy（StalkDaily）】

Mon, 20 Apr 2009 01:25:45 +0000

这两周，有关Twitter XSS 蠕虫的报道在国外媒体上看到很多。蠕虫最早是在4.12爆发的，在随后的几天里不断有变种出现。

报道说，蠕虫的作者Mikeyy Mooney只有17岁，并且已经承认蠕虫是他写的。

有关此蠕虫的新闻，大家可以在网上搜一下。我这里也摘录了两篇：
............

Tags - twitter , xss , mikeyy , stalkdaily

CISRT公布部分中国互联网2009年4月13日挂马简报

Mon, 13 Apr 2009 16:58:11 +0000

CISRT公布部分中国互联网2009年4月13日捕获以下网站被植入恶意代码。

新增部分公布：

引用

京华论坛-http://bbs.mil.qianlong.com/thread-1600831-1-1.html

深圳巴士集团网站-http://www.szbus.com.cn

绿色软件站-http://www.onegreen.net/index.html

中国德庆-http://www.deqing.gd.cn

南京仁创物资有限公司-http://www.njrenchuang.com

广东火电-http://www.gpec.cn

赣州三中-http://www.jxgzsz.com/yw/readnews.asp?newsid=42

云南蒙自文澜高级中学政教处-http://dyyd.mzyz.cn/onews.asp?id=981

烟台南山学院-http://www.nanshan.edu.cn

*C.I.S.R.T不保证列出网址是否为官方。
*C.I.S.R.T数据支持来源金山毒霸云安全中心。
*根据中华人民共和国刑法修正案（七）中明确指出，挂马行为已经触犯了刑法，大家请勿以身试法！

............

Tags - 挂马 , 简报 , 中国互联网 , 恶意代码

CISRT公布部分中国互联网2009年4月9日挂马简报

Thu, 09 Apr 2009 12:33:47 +0000

CISRT公布部分中国互联网2009年4月9日捕获以下网站被植入恶意代码。

新增部分公布：

引用

澄江县国土资源局-hxxp://www.yncjgt.gov.cn/news/onews.asp?id=1444

洪雅人事局-hxxp://www.hyrsj.gov.cn

中国盂县-hxxp://www.sxyx.gov.cn

西北工业大学-hxxp://som.nwpu.edu.cn

西安工程大学-hxxp://zsb.xpu.edu.cn/2009zsb/z2-1.html

河北师范大学-hxxp://xwb.hebtu.edu.cn/lwws/index.asp

河北金融学院-hxxp://news.hbcf.edu.cn/fxx

南通大学-hxxp://xgc.ntu.edu.cn

*C.I.S.R.T不保证列出网址是否为官方。
*C.I.S.R.T数据支持来源金山毒霸云安全中心。
*根据中华人民共和国刑法修正案（七）中明确指出，挂马行为已经触犯了刑法，大家请勿以身试法！

............

Tags - 挂马 , 简报 , 恶意代码 , 中国互联网

CISRT公布部分中国互联网2009年4月8日挂马简报

Wed, 08 Apr 2009 15:38:28 +0000

CISRT公布部分中国互联网2009年4月8日捕获以下网站被植入恶意代码。

新增部分公布：

引用

中国纺织工业协会统计中心-hxxp://tongji.ctei.gov.cn

九江市公安局政务网-hxxp://www.jjsga.gov.cn

延安姚店工业园区-hxxp://www.yaydxq.yanan.gov.cn/

乌苏市地方税务局-hxxp://www.xjwsds.gov.cn/news/zhengwugongkai/index.html

中国朝阳-hxxp://www.zgcy.gov.cn/videonews/index.asp

重庆玉峰山-hxxp://www.cqyfs.gov.cn

连云港民族宗教事务局-hxxp://www.lygmzzjj.gov.cn

*C.I.S.R.T不保证列出网址是否为官方。
*C.I.S.R.T数据支持来源金山毒霸云安全中心。
*根据中华人民共和国刑法修正案（七）中明确指出，挂马行为已经触犯了刑法，大家请勿以身试法！

............

Tags - 恶意代码 , 挂马 , 简报 , 中国互联网