January 2009 - Posts
本着对一些不谙世事的小朋友,如“ 牛掰 ”的J.Y的爱护,出于对极其嚣张的网络欺诈案的愤慨,鉴于此时受害者仍在增加中,且遭遇基本相同,现将三日前成功骗走J.Y1600元的团伙所使用的帐户进行公示,以方便那些谨慎稳重的人,在向可疑帐户付款前可以通过搜索引擎至此,进行参考: 中文名, 聂立奇 英文名,Nie'li'qi~~, 曾用银行账号: 招行山西太原分行 6225883510698587 工商银行 6222020510001670874 诈骗活动主要集中在09年1月,通过恶意软件或其他方法,获取
Read More...
给各位拜个早年,祝大家一家人一切顺心、顺意、顺利! 09年是全身心投入Security职业工作的第9年,接触Security的第11个年头,不长也不短, 偶尔回头来看职业 和观察思考整个行业及从业者后,只有一句话继续自省:积极掌握自己命运(职业发展、生活进步)的主动权,感恩。 Keep Walking!
Read More...
还是从 Conficker 说起, Liang 拿到并分析了其中一个变种的样本,该蠕虫为了提升传播的效率,修改了 TcpNumConnections 值,释放了一个驱动来修改TCPIP.SYS内存镜像中的“连接数”。其实我们在一些下载软件中,也可以看到类似的修改,例如迅雷,然而,这样的修改会不会提升下载的效率呢?和 Idler 闲谈过后,决定写一篇Blog。 先说TcpNumConnections,这个决定系统“TCP并发连接总量”的键值自NT系统以来就存在,在2000以后的Windows版本中,该键值默认即为最大值0xfffffe,无论客户端还是服务器,都无需变更默认配置,因此对于蠕虫,其实没有修改的必要。
Read More...
Conficker蠕虫 的一些变种,不仅把Autorun.inf加花,而且还使用 Social Engineering 欺骗普通用户,如下图(来自 F-Secure ): [Autorun]: Action=Open folder to view files 其实就我个人习惯而言,这个自动播放功能我从来不用,但也懒得禁用,于是偶尔有人拿出U盘要求拷贝我的文件时,我就心有忐忑,依照Vista下我只点击“Open folder to view files”来打开移动存储的习惯,对于这种耍花招的病毒,中招是很有可能的了。
Read More...
昨晚离开公司时本准备发新年第一个安全公告MS09-001的介绍,通知大家基本可以过个安心年,不用为Bindiff出来的问题费心费力,没想到回到家就忘了。今天发新年第一个漏洞报告致谢。 致谢 : PPStream-冷焰 报告反映问题 2009年初报告,MSN.COM.CN某子网站存在缺陷,可导致目录遍历。 分析结果 系网站服务器非微软应用解析问题,属于安全缺陷。 响应说明 微软在线服务的安全问题,不涉及终端用户,因此不会以安全补丁方式修复,当日已解决。 顺便的闲谈: MSRC负责微软全线产品的安全漏洞响应,因此如果今后大家发现有MSN或Live的安全问题,也可以联系我们(cnsecure),谢谢大家!
Read More...
上周六那天是我第一次看到传说中的“黑屏”,是在我一个环保专业同学的电脑上,刚看到时还小感叹环保人士的习惯真该我们学习。在MS内部,多数人都没机会见黑屏,但 黑屏事件 至今的两个多月里,MS内部安全部门一直在关注和担心这个事件可能带来的影响:市场部门这个仓促的“黑屏策略”会不会严重影响了中国用户的安全?中国今后会不会持续成为恶意软件的重灾区?然而,近三周以来的两个事件却让大部分同事,特别是美国同事困惑了: 事件回顾1: 一个纯粹的、脱离了低级趣味的蠕虫 Conficker.B ; 多少国人感染了新的
Read More...
