Google 问答（google.com.hk/wenda/）于7月27日上线后（和讯新闻，http://tech.hexun.com/2010-07-28/124396433.html）两天即被HX。

本文来自www.sacour.cn 禁止转载(原因你懂的，重新写一篇吧)

原因是这样的（转自腾讯微博），Google没有对      的名字进行过滤，由于这些使用      的名字的人过于活跃，一直漂浮在问答榜前列，于是Google 问答就被HX了：

本文来自www.sacour.cn 转载注明来源/包含高手绕道声明

昨天的一个样本，代码里面有很长一大段类似于Base64加密的代码：

而把它前几个字符稍加计算转换成明文，
密文.     i      V      B      O
明文.      89       50       4E

密文.     R      w      0      K
明文.       47       0D      0A

得到8950 4E/47/0D 0AXXXXXX，看到这一组代码之后有什么反应没？没错，正常人都不会有反应的，不过这儿不是重点，因为不打开程序的话我还不知道它是不是用BASE64加密的呢，我是因为看到后面有很多的AAAA（BASE64解密的时候4字节一组，A偏移量是0，而且表示6个bit，即是000000，4个A即是24bit的0，转成明文即为3字节的00（NULLCHAR）），很像二进制文件中的代码，那么假设它们就是程序代码，在OD中使用Binary方法输入，看一下这些代码是干什么的：
+0:      8950 4E       mov     dword ptr [eax+4E], edx
+3:      47            inc     edi
+4:      0D 0A??????   or      eax, ??????0A

看起来还真有点像是程序代码，等下让它自解密之后看看是不是这样呢？

解密过程，即是一种BASE64解密算法，程序第一个函数调用即是解密过程，密码盘在这儿，BASE64解码专用：

解密之后，搜一下89504E470D0A，……看来之前估计的BASE64是没错，但是把它当作是程序代码好像不对，因为这个是PNG的文件头，之前忘了它是FakeAlert了，肯定会弹个窗口骗人的，防止杀软对窗口里面的图片取特征（某些杀软不是喜欢在.data段取特征嘛- -），它用了BASE64加密，而且之后免杀也简单，换个码表就能生成完全不同的加密字符了。

后面的主要就是创建一个窗口和图片框，加载图片，显示主窗口，（可能需要提前在GetDlgItem、CreateFileA处设置一个断点。）首先程序弹出这样一个窗口：

假的，像是抽随机数加上去的……断GetDlgItem的话这儿会比较卡，之后程序会读取资源，将一些没有意义的字符写到sys32\msaszhmo.dll，然后会弹出个窗体，（～～中间打开mlang.dat之类的动作跳过啦，代码太恶心了，没注意就过去了。。～）问你是否同意安装，不管你同不同意反正程序就是复制自己到%windir%\system32\usеrinit.exe，注意这儿的е是俄语那个字母，不是英语字符e。

总之比较古怪了，不知道是不是沙盘里面执行的缘故，总之分析的不是太成功，囧，一直不用OD都不熟悉操作了，以后再去看看吧，清理的话：

1. 结束进程usеrinit.exe
2. 删除usеrinit.exe/msaszhmo.dll

结束了结束了

cnBeta消息（@唯一，@http://www.cnbeta.com/articles/117703.htm），前天（7月26日）更新的QQ2010 SP1正式版本出现严重安全隐患，即消息记录中没有屏蔽HTML代码，所以可以使得任何HTML代码在里面被运行。在里面可以类似于XSS一般构建出一个IMG标签并在其OnLoad或者OnError时执行任意IE脚本，而虽然腾讯对网址作出了过滤，但是依旧可以使用转义符的方式加载URL，具体可以参考cnBeta的截图。

本文来自www.sacour.cn   转载注明来源

我安装QQ2010失败了……正在尝试安装

虚拟机中安装成功,从简单到复杂,最后发现腾讯这东西就跟开了个随便执行别人代码的IE一样...

注:下列脚本已经做了部分模糊处理,如果您眼力好硬是读出来了,保存到硬盘也可能报毒,禁止用于非法用途.

第一级:危险代码执行测试

I.使用不安全的JavaScript脚本交互，读取网络数据并向用户系统写入数据。（IE中会提示是否写入。）执行失败，但是远程数据获取成功了，应该是使用了IE控件之类的东西（？），自动否定了危险交互代码。

II.直接使用Script标签标记，虽然被识别了但是却没有弹出对话框。

III.使用不安全的VBScript脚本交互，读取网络数据并向用户系统写入数据。（IE中会执行失败，因为ADODB流不能创建对象，而VBS会执行成功）。执行失败，所以它的权限应该是和HTML一样，但是低于VBS。

IV. 使用XSS中常用的Marquee字幕测试，成功，一个红叉飘来飘去的。

V. Marquee中又嵌套一个Image对象并且试图读取cookies，没有弹出。

V - 2. 使用消息管理器可以弹出cookies，不过值是空的。

第二级:简单脚本执行测试

I.使用JavaScript弹出一个对话框，执行成功。

II.使用VBScript弹出一个对话框，执行成功。

第三级:iframe执行测试

PRE.注意事项，cnBeta中已经指明URL会被转换，而实际测试中两道反斜杠和www开头的也会被转换，所以将网址隔开是有必要的。

注：直接使用iframe写入没有测试。

I. BODY标签可以被执行。

II. iframe可以通过置入DIV中并在当前页追加一个子元素来实现：

III. 网上表示可以直接重定向，也能达到此效果（iframe对于某些人是好的实现方法，因为如果这儿把宽高改成0那么就……请当我没说）

规避方法：

1. 降级到QQ 2010 SP0

2. 等待更新版本

本文来自www.sacour.cn 转载注明来源

C:\WINDOWS\system32>nslookup encrypted.google.com 144.223.234.234
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 144.223.234.234: Timed out
Server:  UnKnown
Address:  144.223.234.234

Name:    encrypted.google.com
Address:  59.24.3.173

（http://www.chinaz.com/Webbiz/Exp/0521115S92010.html）

某些网络运营商为了某些目的，对DNS进行了某些操作，导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。常用的手段有：DNS劫持和DNS污染。