Archives for 网络安全

CC98白洪欢老师答疑版版主BlackWhite对CTB-Locker病毒的分析

经分析,此病毒的作者非常厉害。 cab包里面是一个屏保程序,其实就是一个exe,但此exe内部有加密处理,需要动态跟踪才可以看懂里面的逻辑,用静态分析无用;此exe会释放出另外一个exe,故且称之为exe2;exe2会到国外某个已被黑客攻掉的网站下载一个叫efax.jpg的文件,大小900k左右;这个efax.jpg经过加密,并非一张图片,而是一个exe,故且称之为exe3;这个exe3里面调用了crypt32.dll中的一些加密相关函数,如CryptSignMessage, CertFindCertificateInStore,一看就知道是与证书相关的加密手段。 目前对exe3正在分析之中,估计楼主文件恢复的希望不是很大,因为这种加密极有可能使用像RSA这种不对称密钥的算法,解密密钥掌握在黑客手中。 网上查了一下,360宣称可以解密的是老版本的tcb-locker,用的是AES对称加密算法;而楼主中的是新版,用的是ECC(椭圆曲线算法),该算法是非对称加密算法。本地电脑只有加密数据用的公钥,解密要用到的私钥已上传到黑客那里,本地计算机中并没有保存。 按照黑客提供的步骤,试了一下,确实可以连上黑客指定的网站,它要用户转帐3个比特币作为赎金,用户若没有比特币,它还指导你到哪里可以购买,约合690$。而且为了获得用户的信任,它还免费让你上传2个加密文件以验证能否解密,我帮楼主传了两个加密的.xsls文件,结果真的可以解密。这黑客确实够专业。不知一天能收获多少money。 黑客指定的网站要用特殊的浏览器叫tor还要vpn翻墙才可以连上,用了类似代理的手段,目的是防止被人追踪到它的老巢;用比特币而不是Paypal当然也是为了这个目的。 附几个截图:

ECSHOP商城系统search.php页面过滤不严导致SQL注入漏洞

添加时间: 2010-05-17 系统编号: WAVDB-01606 影响版本: ECSHOP All Version 漏洞分析: 见 http://wavdb.com/vuln/1618 解决方案: search.php 源代码大概300行 if (is_not_null($val)) 修改为 if (is_not_null($val) && is_numeric($key))

提供M4561421.CAB下载

提供M4561421.CAB下载,更新Office2003的时候可能需要的。 点击下载

有关Officescan 客户端程序守护程序ofcdog.exe 被误认为病毒的说明

C:\WINNT\Temp下有一只褐色的小狗,它每次启动都改名的,但是不是病毒。 解决方案 61867 标题:   有关Officescan 客户端程序守护程序ofcdog.exe 被误认为病毒的说明   问题描述:   系统进程中发现类似 FK41B0.EXE ,HX2E11.EXE等进程在 $WINDIR$\TEMP 目录下,这些是否是病毒? 解决方案:   OSCE 6.5为了防止恶意病毒关闭防毒进程,安装时默认启用防黑客模式。OFCDOG.EXE为客户机看守程序服务进程。当您启用防黑客模式后,该看守进程OSCE 客户端会复制OFCDOG.EXE 程序到系统temp 目录下并重命名为随机的6位字母文件名称后启动,保护OSCE 客户端程序正常运行。 OSCE 6.5 客户机看守程序服务进程实现以下功能 1、监控客户端的进程:NtRtScan.exe和TmListen.exe,并且当它们被恶意程序关闭的时候,重启进程。并且把相关事件写入事件日志并上传到服务端,时间日志将显示与控制台的系统事件日志页。 2、锁定所有客户端目录下的的 EXE和DLL文件,防止其他程序的更改和删除 。 3、复制自身进程,并随机命名,以防止该进程被删除起到看守作用。 注意:您可以通过客户机管理->全局客户机设置,选择是否设置启用防黑客模式,当您取消防黑客模式时 OFCDOG.exe将不会进行随机命名和复制到系统临时目录的动作。