Blast's Securityhttp://www.sacour.cn/Blast's Security LabRainbowSoft Studio Z-Blog 1.8 Walle Build 91204zh-CNCopyright, 2004-2010 Blast Software, all rights reserved.皖ICP备09016542号var sc_project=4924671;var sc_invisible=0;var sc_partition=57;var sc_click_stat=1;var sc_security="56d65c11";View StatsSun, 05 Feb 2012 22:23:15 +08002012/2/5 ~可疑URL列表admin@sacour.cn (blast)http://www.sacour.cn/post/1257.htmlSun, 05 Feb 2012 21:54:02 +0800http://www.sacour.cn/post/1257.html人工复查的URL后有其病毒名的标记。
如果误列出了正常站或所列站点为被入侵的站点,在此列出对您有影响的话请留言或发送邮件到info@sacour.cn,我将尽快删除相应条目。
--------------------------------
日期: 2012/2/5 数量:4
更多数据请查看http://www.sacour.cn/showmal.asp?month=2&year=2012。
提交时间: 2012/2/5 21:54:54
--------------------------------
文章来自: http://www.sacour.cn/ - Blast's Security 转载文章请注明来源
--------------------------------
URL/#1http://asgpp.com/images/logos/allnet.jpg
威胁名Trojan严重度
2
数据来源
来源2
URL/#2http://bkav.alwaysdata.net/anti/1.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#3http://2bta.com/Boleto.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#4http://fvsn.org/!install/install-17000.exe
威胁名Trojan严重度
2
数据来源
来源2
--------------------------------
报告结束。]]>恶意网站http://www.sacour.cn/post/1257.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1257http://www.sacour.cn/cmd.asp?act=tb&id=1257&key=e503f4742012/2/4 ~可疑URL列表admin@sacour.cn (blast)http://www.sacour.cn/post/1256.htmlSat, 04 Feb 2012 18:47:45 +0800http://www.sacour.cn/post/1256.html人工复查的URL后有其病毒名的标记。
如果误列出了正常站或所列站点为被入侵的站点,在此列出对您有影响的话请留言或发送邮件到info@sacour.cn,我将尽快删除相应条目。
--------------------------------
日期: 2012/2/4 数量:10
更多数据请查看http://www.sacour.cn/showmal.asp?month=2&year=2012。
提交时间: 2012/2/4 18:48:49
--------------------------------
文章来自: http://www.sacour.cn/ - Blast's Security 转载文章请注明来源
--------------------------------
URL/#1http://xogml.net/sqlservt.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#2http://track.wwwapps-myups.org/invoice3887A.JPG.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#3http://www.bestnzb.com/download/downloadfullmovies.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#4http://download3.fyxm.net/8/8088/Anti_Virus.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#5http://domodedovo-teplo.ru/components/com_um/wbs.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#6http://dejangorgievski.com/pomk/24.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#7http://onlinecasinoextra.com/downloads/yukongoldcasino.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#8http://keylogger.ru/s/?f=sonar_net_en.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#9http://www.onlinecasinoextra.com/downloads/platinumplaycasino.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#10http://filefinder.kr/filefinder/download/partner/setup.hotclip.s.exe
威胁名Trojan严重度
2
数据来源
来源2
--------------------------------
报告结束。]]>恶意网站http://www.sacour.cn/post/1256.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1256http://www.sacour.cn/cmd.asp?act=tb&id=1256&key=b4d304bd2012/2/3 ~可疑URL列表admin@sacour.cn (blast)http://www.sacour.cn/post/1255.htmlFri, 03 Feb 2012 22:01:33 +0800http://www.sacour.cn/post/1255.html人工复查的URL后有其病毒名的标记。
如果误列出了正常站或所列站点为被入侵的站点,在此列出对您有影响的话请留言或发送邮件到info@sacour.cn,我将尽快删除相应条目。
--------------------------------
日期: 2012/2/3 数量:11
更多数据请查看http://www.sacour.cn/showmal.asp?month=2&year=2012。
提交时间: 2012/2/3 22:02:23
--------------------------------
文章来自: http://www.sacour.cn/ - Blast's Security 转载文章请注明来源
--------------------------------
URL/#1http://www.toptenreport.com/download/pd.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#2http://117.41.228.137:33698/d.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#3http://update.internetservice.co.kr/bin/internetservice-se.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#4http://195.14.104.79/files/35
威胁名Trojan严重度
2
数据来源
来源2
URL/#5http://195.14.104.79/files/36
威胁名Trojan严重度
2
数据来源
来源2
URL/#6http://195.14.104.79/files/31
威胁名Trojan严重度
2
数据来源
来源2
URL/#7http://dejangorgievski.com/pomk/24.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#8http://free-videoz.info/youtube.crx
威胁名FireFox/Spammer严重度
2
数据来源
来源2
URL/#9http://free-videoz.info/youtube.xpi
威胁名FireFox/Spammer严重度
2
数据来源
来源2
URL/#10http://the111111.info/plugin/ytplugin.xpi
威胁名FireFox/Spammer严重度
2
数据来源
来源2
URL/#11http://the111111.info/plugin/ytplugin.crx
威胁名FireFox/Spammer严重度
2
数据来源
来源2
--------------------------------
报告结束。]]>恶意网站http://www.sacour.cn/post/1255.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1255http://www.sacour.cn/cmd.asp?act=tb&id=1255&key=8e717e92新型攻击模式:利用插件传播的木马 youtube.xpi / youtube.crx / ytplugin.xpi admin@sacour.cn (blast)http://www.sacour.cn/post/1254.htmlFri, 03 Feb 2012 20:28:14 +0800http://www.sacour.cn/post/1254.html

序号

 #SAC 2012-1
相关文件名

感染前:  e.js / f.js / widget.php / plugin.html / 1.php / 2.php
感染后: youtube.xpi / youtube.crx / ytplugin.xpi / ytplugin.crx / s.js
影响

病毒伪装作Firefox ,Chrome 的插件

中毒用户可能会向SNS网站投递大量垃圾信息

 

本文来自www.sacour.cn 转载请注明来源

这年头浏览器的开放性得到了增强,大量的浏览器插件方便用户操作的同时,也给攻击者带来了可乘之机,这是晚上发现的一个病毒网站:

hxxp://free-videoz.info/

打开以后,显示名为“Katy Perry Tape Finally Leaked (LEAKED Tape)”,仔细查看其实就能看到,它的背景不是Facebook 而是一个截图:http://i.imgur.com/USOY0.jpg

jpg压缩后的痕迹隐约可见,而且网页提示 “Follow the steps”(跟随步骤)

跟随步骤

你并没有能播放视频的插件。 1.安装插件Youtube Premium 2. 按F5重载此页。

 

 那么为了查看到底有什么效果,我就继续点了安装,首先是这个站点已经被google收录进恶意站点里了,所以我先关闭掉了恶意站点警告

点击安装,Firefox弹出“Firefox阻止了来自此站点 (free-videoz.info)的安装软件的请求” ,这可能是因为firefox的数据库中这个网站并不在可信列表中,但是也不在其明确列出要屏蔽的列表中的缘故。因为之前我测试了一个类似的网站,firefox的数据库已经将其插件列为有危害的插件,这个插件无论如何firefox 都不允许安装,但是这个插件点击允许之后,Firefox 提示“您选择安装下列项目”,点击允许安装以后,这个插件居然被安装上去了,重启Firefox,这个插件已经生效了:

 

图:“Youtube extension 1.8”被装入了浏览器

 再一次刷新这个网页,它已经进入下一个区域widget .php了:

这儿让人完成四个调查问卷“获取免费$1000沃尔玛礼品卡”“Best Buy礼品卡”“告诉我们你对Facebook的看法赢取礼物”“带Smart Cover 的iPad2”

其实每一个都是坑爹的,随便点点之后,这个软件会定向到Facebook中,用你的帐号广播SPAM信息,让更多的人成为受害者。

清理方式:

1,打开浏览器,删除对应插件,重启浏览器

2,删除sns中的垃圾信息

相关站点(以下站点可能含有恶意攻击方式,非病毒研究人员请勿打开! sites listed below are known to be malicious, do not open them unless you are a professional virus analyst)

hxxp://free-videoz.info/
hxxp://free-videoz.info/plugin.html
hxxp://free-videoz.info/1.php
hxxp://free-videoz.info/youtube.xpi
hxxp://free-videoz.info/2.php
hxxp://free-videoz.info/youtube.crx
hxxp://free-videoz.info/s.js
hxxp://the111111.info/plugin/plugin.html
hxxp://the111111.info/plugin/ytplugin.xpi
hxxp://the111111.info/plugin/ytplugin.crx

]]>安全相关http://www.sacour.cn/post/1254.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1254http://www.sacour.cn/cmd.asp?act=tb&id=1254&key=f96b7e24-懒人工具:sacour.cn恶意URL自动下载小工具 1.0-admin@sacour.cn (blast)http://www.sacour.cn/post/1253.htmlFri, 03 Feb 2012 19:22:12 +0800http://www.sacour.cn/post/1253.html 嘛,其实我也懒得一个个的下我自己发的东西,于是做了这个程序,在下面输入日期,然后点击获取数据就可以了,如果你想转载呢,可以点击生成UBB代码,贴到论坛也是可以的。

下载:http://www.sacour.cn/malDownload/SacourMalReporter.rar

帮助文件:http://www.sacour.cn/malDownload/index1.htm

 

]]>站内信息http://www.sacour.cn/post/1253.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1253http://www.sacour.cn/cmd.asp?act=tb&id=1253&key=76a467a32012/2/2 ~可疑URL列表admin@sacour.cn (blast)http://www.sacour.cn/post/1252.htmlThu, 02 Feb 2012 23:05:14 +0800http://www.sacour.cn/post/1252.html人工复查的URL后有其病毒名的标记。
如果误列出了正常站或所列站点为被入侵的站点,在此列出对您有影响的话请留言或发送邮件到info@sacour.cn,我将尽快删除相应条目。
--------------------------------
日期: 2012/2/2 数量:10
更多数据请查看http://www.sacour.cn/showmal.asp?month=2&year=2012。
提交时间: 2012/2/2 23:06:03
--------------------------------
文章来自: http://www.sacour.cn/ - Blast's Security 转载文章请注明来源
--------------------------------
URL/#1http://domodedovo-teplo.ru/thoose/domodedovo-teplo.ru/thoose/Habilita-Token.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#2http://www.pornovanje.si/wp-includes/Sincronizar.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#3http://www.casag.org.br/thoose/Habilitar-Token.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#4http://lenaason.com/wp-includes/Sincronizar.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#5http://www.johansky.net/gallery/include/Online/Upgrade/descargasfree/Outlook.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#6http://renplace.gc.k12.va.us/images/cheque829342_pdf.scr
威胁名Trojan严重度
2
数据来源
来源2
URL/#7http://update.info-manager.co.kr/setup/insta1.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#8http://173.201.233.47/Flash/Update_FlashPlayer.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#9http://prontodia.it/se.exe
威胁名Trojan严重度
2
数据来源
来源2
URL/#10http://myrv.com.cn/801e.exe
威胁名Trojan严重度
2
数据来源
来源2
--------------------------------
报告结束。]]>恶意网站http://www.sacour.cn/post/1252.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1252http://www.sacour.cn/cmd.asp?act=tb&id=1252&key=0783a9e3z-blog wap 2.0漏洞补丁admin@sacour.cn (blast)http://www.sacour.cn/post/1251.htmlThu, 02 Feb 2012 21:02:18 +0800http://www.sacour.cn/post/1251.html

发现日期:2012-1-9
(发现者:washun  bbs.rainbowsoft.org)

 Zblog wap 2.0 搜索页面存在SQL注入漏洞
x 漏洞 (高危害) (已修复)
有影响的相关软件 zblog wap 2.0
不受影响的相关软件 -

刚刚看见= = 转载一下

相关补丁见:

http://bbs.rainbowsoft.org/thread-65778-1-1.html

2012年1月9日  更新记录
[重要更新]1、修复手机搜索处的SQL注入漏洞,给大家带来安全风险非常抱歉,请即时更新该压缩包中的FUNCTION/c_system_wap.asp文件

]]>漏洞风险http://www.sacour.cn/post/1251.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1251http://www.sacour.cn/cmd.asp?act=tb&id=1251&key=8a41862echina.com.cn 新闻页相对路径使用错误 可能导致浏览器资源占用上升admin@sacour.cn (blast)http://www.sacour.cn/post/1250.htmlWed, 01 Feb 2012 23:41:44 +0800http://www.sacour.cn/post/1250.html 

发现日期:2012-2-1
(发现者:本站 www.sacour.cn)

 china.com.cn 新闻页相对路径使用错误 可能导致浏览器资源占用上升
n 提示
日期 2012.2.1
影响 加载时出现死循环 可能导致浏览器资源占用上升 出现卡机现象

本文来自www.sacour.cn 转载请注明来源

今天(2012.2.1)china.com.cn可能是有人正在更新网站,导致其页面接连出现问题,首先是部分页面可能出现如下提示:

Windows 安全: “位于 Sun ONE Web Server 的服务器 www.china.com.cn 要求用户名和密码。 警告:此服务器要求以不安全的方式发送您的用户名和密码(没有安全连接的基本认证)。”

猜测是网站更新时设置错了一些文件的权限或者其他原因

 

其次是www.china.com.cn/news/index.html中由于编写代码者误将绝对路径当成相对路径使用:

(其引用代码:)

<iframe id="jsxw_guonei" src="rollnews/node_10122.htm" width="314" scrolling="no" height="20" frameborder="0"></iframe>

编写者的本意是引用www.china.com.cn/news/rollnews/node_10122.htm,但是这儿使用的是绝对路径而不是相对路径(第一位少了一个反斜杠,应为/rollnews/node_10122.htm),导致其实际指向的是www.china.com.cn/rollnews/node_10122.htm这个不存在的页面,但是由于服务器的软404设定,这个不存在的页面会在3秒后跳转到www.china.com.cn/,而www.china.com.cn可能又有元素引用了www.china.com.cn/news/的数据,这样就导致了一个加载的死循环,导致其资源占用迅速增长。

图为单单打开www.china.com.cn/news/后30秒的ie资源占用,其专有内存还在不断增长:

 

 

]]>安全相关http://www.sacour.cn/post/1250.html#commenthttp://www.sacour.cn/http://www.sacour.cn/feed.asp?cmt=1250http://www.sacour.cn/cmd.asp?act=tb&id=1250&key=b8f19c74