banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Look2Me  XML
Profile for Look2Me Messages posted by Look2Me [ number of posts not being displayed on this page: 1 ]
 
Ping gateway mà cao vậy thì lỗi do máy nhà bạn hoặc modem. Cũng có thể trong mạng nội bộ có virus. Đừng đổ cho nhà mạng.
Đây là 1 cảnh báo giả . Giới nghiên cứu đang nghi ngờ đây là một scandal để gây chú ý cho phần mềm VulnDisco . Một số đã bỏ tiền ra mua VulnDisco cho biết mã khai thác trên không có khả năng exploit trên firefox.
FeedDemon Buffer Overflow Vulnerability

Nguồn: http://security.bkis.vn/?p=329


General Information

FeedDemon is known as the most popular Windows RSS Reader which allows users to view and manage easily RSS feeds from their desktop. In January 2009, SVRT-BKIS detected a buffer overflow vulnerability in this software. Taking advantage of this flaw, hackers can perform remote attacks, install viruses, steal private information, and even take control of users’ systems. We have sent the alert to the manufacturer.



Details

SVRT Advisory


SVRT-02-09

CVE reference




Initial vendor notification


01-21-2009

Release Date


02-05-2009

Update Date


02-05-2009

Discovered by


Le Nhat Minh (SVRT-Bkis)

Security Rating


Critical

Impact


Remote Code Execution

Affected Software


FeedDemon (version <= 2.7)



Technical Description

The vulnerability was found in the processing of OPML (Outline Processor Markup Language) file, which is an XML format for outlines used by RSS reader to store and manage RSS feeds. With OPML, users can easily share their RSS feed lists with others or export these lists to use in other RSS feed readers. However, FeedDemon does not handle this format well enough, which leads to buffer overflow flaw.



More precisely, the error occurs when users import an OPML file, whose “outline” tag has a too long “text” attribute. FeedDemon, on parsing this file, will crash; and if malicious code is embedded into that file, it will be executed and give hackers system control.



Exploitation can be carried out via a file stored on victims’ computers or simply a link to such file. It is this factor that increases the threat of users’ computers being attack remotely.



Feed-Demon-Import

The feed list Import function contains a buffer overflow error

and poses a thread of remote attack if the content of website_demo has malicious code



Taking advantage of the above vulnerability, a hacker might prepare a malicious OPML file, and somehow trick users into importing it. He/she might send the file to users directly or send them a link to that file instead. Right after users have imported the file, malicious code will be executed and they will become hacker’s victims.



Solution

Rating this vulnerability high severity, and due to the fact that the manufacturer hasn’t released any official patch for it. Bkis recommends that users of FeedDemon should be careful when importing RSS feed lists from untrustworthy sources.



SVRT-Bkis

Hôm này vào milw0rm thấy có link đến bài này nên post lên.
http://milw0rm.com/exploits/7995

bebadboy87 wrote:








Đây anh. nó hiện thường xuyên nên cũng dễ chụp. 

Bạn click cái cái: Click here rồi chụp ảnh lên đây để mọi người cùng giải quyét.
Tôi không thích phong cách nói chuyện của một số bác ở topic này. Suốt ngày mời nhau đi đọc thêm sách smilie

Trở lại vấn đề thực ra ở đây chúng ta dường như đang đứng trên 2 cái nhìn khác nhau. Theo tôi cách làm của Dan (mà bác mrro đang ủng hộ) là cách dành cho end user, còn cách làm của Bkis là dành cho các administrator.
Điều mà người dùng quan tâm nhất là tôi có được an toàn hay không? Lỗi ở đâu không cần biết.
Điều mà quản trị quan tâm nhất là: dịch vụ của tôi cung cấp có lỗi hay không? Vì tôi chịu trách nhiệm về vấn đề đó.

cuonganhchi wrote:
mấy bạn bày mình cách diệt virut''ckvo.exe'' cái được hem.Mỗi lần khởi động máy,thì máy tính hiện lên cửa sổ có thông báo lỗi là ''ckvo.exe-Aplication Error''.mình đã cài win nhưng nó vẫn hiện.Dùng BKAV diệt thì vẫn còn ,chỉ biết bó chiu thoai smilie smilie smilie
 


Câu trả lời chính xác đây nè: Virus đã bị diệt rồi. Sở dĩ có báo lỗi vậy là do còn key khởi động của virus. Lúc Windows khởi động lên, không tìm thấy file virus để chạy nên báo lỗi.
Tóm lại:
1. Máy bạn đã được diệt virus.
2. Bạn có thể dùng hijackthis hoặc tay để fix keyrun. Nếu không thì chịu khó cứ để cái thông báo lỗi đó. Không có sao hết.

PS: À bạn có thể vào regedit để search ckvo.exe. Xóa key hoặc sửa key đó còn tùy thuộc vào key gì. Nói chung nếu bạn ko rành thì kô nên làm theo cách này.

Mấy bạn khác đừng phán lung tung loạn cho bạn ấy.
Chúc thành công.
Hết.
Thực ra Mr.Dan chỉ cải tiến phương pháp tấn công mà thôi. Việc tấn công DNS cache poisioning kiểu Birthday Paradox vốn đã được biết tới từ lâu rồi.
Tool check của Dan viết hình như chưa chuẩn. Mọi người cứ test thử xem. (Dựng 1 DNS đã đc fix check vẫn báo là có lỗi ) T_T

cuongzin wrote:
Mình thấy hiện nay nhiều người cũng bị dính con này mà chưa ai biết cách khắc phục.
Hiện tượng khi nhiễm Virus này hình như là không tạo được Socket, khi Ping ra ngoài vẫn có tín hiệu Reply nhưng cạnh địa chỉ ping đến sẽ bị đổi thành chữ "oy" như hình dưới.


Các bạn có thể tham khảo bài của Lãng Khách phát hiện đây là con "Infostealer.Gampass" .mình thử làm theo nhưng không thấy khả quan lắm nên vẫn phải làm lại máy nhanh hơn.
http://www.vnpower.org/forums/Dinh-nay-ping-van-duoc-nhung-khong-vao-duoc-mang-t44343.html 


Hi guy!
Lý do của hiện tượng trên là do virus inject vào LPS. Cách sửa (dĩ nhiên là sau khi đã diệt virus). Bạn có thể dùng LPSfix tool của CEXX.org để fix hoặc có 1 cách là:
Bạn vào xóa 2 key sau:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2]

(Đừng ngạc nhiên nhé).
Khởi động lại máy.
Bật IE vào HVA nói tán gẫu thôi smilie
Có lẽ đó là nguyên nhân thất bại của mình smilie(
Tiện đây hỏi TQN, lamer và các bạn khác là quy trình, hay các bước mà các bạn tìm là lỗi của một phần mềm mới là như thế nào.
Mong được học hỏi.
PS: Có ai nghiên cứu về cái bug BoF trong Flash của Adobe gần đây không?

TQN wrote:
Còn 1 cách để tìm hiểu về exploit mà tui đang thường dùng là:
1. Turn on AutoUpdate của Windows
2. Sau khi install 1 update nào đó của Windows, nếu thích thú về lỗi security của update đó, search trên mạng các mô tả về security, exploit của update đó.
3. Get PDB symbols cho các dll, sys hay exe trước và sau update, dùng Symchk trong WinDbg Tools. File sau khi update (còn gọi là Patched) nằm ở chổ cũ, vd System32, file trước khi update (Pre-Patched) thì nằm trong Windows\xxx gì đó\KBxxx (để Windows uninstall update). Tui thường xóa đi các thư mục này sau khi đã copy lại các file muốn xem, rồi vào Add/Remote panel xóa luôn.
4. IDA 2 file đó, apply PDB symbol đã lấy về.
5. Dùng các tool/plugin compare như BinDiff, PatchDiff2, EBDS... để compare hai IDA compare, tìm ra chổ MS coder đã đổi code.
6. Tái tạo lại source C/C++ ban đầu, bằng tay hay HexRays.
Đến đây ta sẽ hiểu rõ hơn về bug của update đó. Chứ đọc chay mô tả bug trên mạng không hiểu đâu.

Trong đề tài của cậu mà đưa được cái này vào thì sẽ có giá trị hơn đó. Từ không source -> pesudo source -> bug.
PS: À, nhớ chọn cái patch nào nho nhỏ thôi, chứ chọn patch mà gồm 1 đống dll thiệt bự cỡ 500 KB trở lên thì tìm ra cũng mờ mắt luôn đó.
Đọc ASM code không hiểu được nữa thì code 1 program nho nhỏ, gọi chính dll đó. Cái Pre-Patched dll có thể copy vào thư mục của app luôn, khi run nó sẽ run code trong prepatched dll, còn không copy thì sẽ run code trong patched dll (Có nhiều cách để chỉ run prepatched dll khác). Dùng các debugger như OllyDbg, WinDbg, IDA... để debug.
 

Hi TQN!
Quả thật không phải lúc nào đọc mấy cái advisory cũng ra được do đó con đường này là một hướng tất yếu phải đi. Mình cũng đã từng theo hướng của bạn nhưng tiếc là không thành công lắm. T_T
Để lần này thử cái PatchDifff xem như thế nào.
Mục 3 của bạn cũng rất có ích với tôi . Trước mình toàn phải cài một bản windows sạch rồi cho update lên. Hơi mất công.
Không biếc TQN đã làm được nhiều lỗi theo cách như thế này chưa vậy?
Hi vodanhtang!
Bạn thử kiểm tra lại các máy trong cùng mạng Lan vì bọn tongji có gia gateway.
Lựa chọn ngôn ngữ cũng giống như lựa một cái áo trước khi đi ra đường. Nhiều bạn quá chú trọng tới cái áo mà không để ý tới việc mình sẽ đi đâu.
Tới 1 chỗ A nào đó mình có thể mặc áo sơ mi, áo phông hoặc tùy ý.
Tới 1 chỗ B mình chỉ có thể mặc suit thôi.
...
Và ngược lại, với một cái sơ mi bạn có thể tới chỗ C, chỗ D, chỗ E ... còn một cái áo tang chỉ dành để đi đám ma thôi smilie

Chính vì thế tôi mới hỏi bạn là bạn muốn đi đâu, làm gì để lựa cho bạn một cái áo phù hợp.
Tuy nhiên tôi chỉ có thể đưa ra cho bạn những lời khuyên chung nhất, được xem là phù hợp với tất cả mọi người, còn chọn gì thì bạn mới chính là người quyết định.
Ai cũng biết đi hội thảo thì nên mặc suit nhưng do bạn thích thoải mái, bạn có thể lựa sơ mi . Mỗi người có một đặc điểm riêng phù hợp với một phong cách nào đó.

Điều mà bạn reversing nói có nghĩa là: mặc cái gì không quan trọng lắm, bằng việc mình sẽ đi đâu làm gì? Rõ ràng việc chuẩn bị kiến thức nền tảng, chuẩn bị câu chữ lời nói, tình huống quan trọng hơn là chuẩn bị một cái áo đẹp.

Hi vọng bạn sẽ có quyết định đúng đắn!
À mình hỏi vậy vì mình tưởng là chương trình demo học lập trình cơ.

Góp ý nè: Bạn có thấy phầm mềm nào thiết kế lôm côm giống bạn không? Trông đã không muỗn xài rồi ! Giống như việc bạn đi qua một cái quán thấy đầy ruồi muỗi, bụi bặm, hôi hám, liệu bạn có dừng lại ăn không?
Góp ý thẳng thắn đừng buồn nhé. Ai cũng có lúc bắt đầu mà.
Nghi là windows update smilie

TQN wrote:
Học phí học 3 ngày về RE ở Hàn Quốc, theo tui biết trên mạng là 1200USD.
Ở VN ta chắc chưa có nghề RE, vì các công ty bảo mật chưa có hoặc chưa quan tâm đến nó. RE chỉ dừng ở mức độ thú vui.
Để tui post thông tin về một yêu cầu tuyển dụng cho các bạn tham khảo:

for a company in Chennai, TamilNadu,India

Exp: 2-8 years in Reverse Engineering, Viral File Analysis

Desired Profile:

1. Expertise with Disassemblers and Animated/Realtime Debuggers
1. Experience with (IDA, SoftICE, OllyDBG, WinDBG, GDB) is required.
2. IDA/SoftICE/OllyDBG experience is preferred. The candidate must be familiar with stepping through a binary and doing predictive analysis.
2. Must be well versed in x86 Assembler
1. Advanced Researchers will be required to read, understand, and code x86 assembly. All candidates must be able to alter binaries at runtime.
2. Advanced Researchers must have experience analyzing common en/decryption algorithms at an assembly level.
3. Advanced Researchers must be familiar with Object Oriented calling conventions and looping constructs within x86 assembly.
4. Advanced Researchers must be familiar with Programming languages that use an Intermediate Language.
3. Must have an in-depth knowledge of Window System internals
1. Advanced Researchers must be well versed in the Win32 kernel.
2. Advanced Researchers are required to have working knowledge of Windows API’s and expected returns within a Realtime debugging environment.
4. Must be familiar with predictive analysis and binary alteration
1. Advanced Researchers must be able to predict binary function flow at an assembly level.
2. Advanced Researchers must be able to alter assembly code in order to deviate execution flow of an application. Candidates must be familiar with altering executable assembly code in order to
1. Bypass anti debugging techniques.
2. Bypass limited environment operation variables
3. Prevent premature function exits
4. Alter stack variables
5. Disrupt self(mutation/obfuscation/encryption) algorithms
5. Must have expertise in identifying common Malware coding techniques and an assembly level
1. Anti Debugging techniques
2. Common Encryption/Decryption routines
3. Thread management
4. Malicious residency (survive reboot)
5. Rootkit behaviors

Urgent Requirements please forward your references also.
 

Toàn những mảng mình thích smilie) Tiếc là mình vẫn còn kém quá .. smilie
Ở VN thuê RV thì chỉ toàn crack này crack nọ thôi, chán ghê T_T
Bạn hỏi ổng Firewall có chống được tấn công Social engineering không? Có chặn được virus không?
Thiết lập 1 hệ thống an ninh sẽ gồm:
- Thiết bị an ninh.
- Chính sách an ninh.
- Nhận thức của người xử dụng.
Phải làm thủ công thôi bạn ơi, không có giải pháp về kỹ thuật đâu. Tôi nghĩ việc kiểm tra bao nhiêu Hub không thực sự là mục đích của sếp bạn mà mục đích của ổng là bạn nắm được mô hình mạng của công ty. Trong mô hình mạng thì số lượng hub,switch rất ít ý nghĩa.
Bồ muốn trở thành cái gì? Lúc đó tôi sẽ khuyên bồ học ngôn ngữ nào smilie)
Tôi ghét .Net cũng như java, đi đâu cũng phải mang theo cái framework củ đậu theo. Bó tay.

khigiadano wrote:
Có cách nào search Shell nhanh gọn ngay trên host ko nhỉ ?? 

Đc, mãi mới thấy hỏi đc câu hay smilie
Tiếc là tớ ko có biết câu trả lời. Nhưng tớ nghĩ chắn chắn là có vì bạn đã dần hiểu đc bản chấn của vấn đề rồi:
Bạn thử với các từ khóa: detech webshell, detect web backdoor xem ntn smilie)
Bạn thử dùng proview chưa?

Ikut3 wrote:
Bạn khởi động máy bình thường .Cho đĩa Win vào .Sau khi vào hệ thống vào Run gõ câu lệnh .Xong 

Kinh nghiệm của tôi cho biết: Không thể chữa spyware bằng cách cài repair Windows. Bạn đừng phí thời gian.
Hãy thử dùng các chương trình diệt spyware xem sao: SpySweeper, Adware SE ...
Bạn nén file đó lại, đặt password rồi upload lên đâu đó. Tớ sẽ nghĩ cách giúp bạn. Oki?
Oài, nghĩ chi phức tạp vậy. Cho sang máy ảo hoặc máy công cộng chạy 1 cái, chụp ảnh mành hình rồi lưu lại thành file ảnh mới.
Chúc thành công!
Việc giải thích cho người khác hiểu, cũng là một cách giúp mình hiểu rõ hơn vấn đề. Cho nên giúp người cũng là giúp chính mình.
Nếu bạn cảm thấy vấn đề đó không cần thiết, không đáng để bạn quan tâm thì bạn có thể bỏ qua đừng trả lời.
Vài lời góp ý, hi vọng không làm loãng topic.
Bác tmd ơi xem xét kỹ kỹ lại chút nhé! Đừng có hơi chút là khuyên user cài lại win, ghost lại máy. Cách đó thực sự sẽ làm hỏng tư duy đấy.
Vấn đề này cũng đơn giản thôi.
Ai cũng biết cái stop badware là của google. Và việc cảnh báo: "Trang Web này có thể nguy hại cho máy tính của bạn" là một tính năng rất hữu ích của cỗ máy tìm kiếm thông minh nhất thế giới: google.
Theo các chuyên gia thống kê thì cứ 10 kết quả search trên google thì có 1 kết quả dẫn tới 1 trang chứa mã độc. Nói cách khác (không thực sự chính xác) có khoảng 1/10 số lượng website trên đời này là nguy hiểm với người dùng. Mối quan hệ giữa google và firefox thì chắc ai cũng rõ . Vấn đề ở đây là khoảng 1 tháng trước trên site của VTC đúng là có mã độc thật. Và google đã dectect ra chuyện ấy. Các bạn có thể search vtc, virus hoặc vào diễn đàn của vtc sẽ rõ. Hiện nay trên site của vtc mã độc đã được gỡ bỏ nhưng google cần tối thiểu 90 mới loại bỏ một website ra khỏi blacklist của nó.
Do vậy nó cảnh báo thì cảnh báo, còn bạn, bạn biết là đã hết nguy hiểm rồi thì xin mời cứ vào smilie)
Storm worm đáng sợ không phải vì nó quá phức tạp, mà ở số lượng biến thể khổng lồ của nó.
Đây là một worm điển hình chứ không phải là polymophic virus nhưng số biến thể của nó làm ngán ngẩm tất cả các chuyên gia virus (phát biểu của Trend micro). Thực sự là họ đang bất lực.
Gần đây có xuất hiện một virus đa hình khá nổi tiếng là Vetor (số biến hình là 2^32 - sử dụng 1 DWORD làm flag), nhưng storm đáng sợ hơn bởi chính những kẻ đã tạo ra và duy trì nó.

- Số lượng biến thể khổng lồ: Các chuyên gia cho rằng storm phải được tạo ra bởi một công cụ nào đó. Tính đến nay đã có hơn 10 000 biến thể của storm từng được biết đến.
- Các mạng botnet kiểm soát bởi storm luôn được duy trì ở một kích cỡ ổn định theo mong muốn của hacker. Mỗi khi số lượng zombie giảm, ngay sau đó người ta lại thấy xuất hiện rất nhiều biến thể mơi xuất hiện và sẽ lại có nhiều nạn nhân bị lây nhiễm.
- Các mạng botnet này từng tấn công từ chối dịch vụ vào My Space, Yahoo.
- Việc sử dụng P2P giúp hacker có thể điều khiển botnet của mình một cách an toàn hơn (rất khó truy tìm). Tuy nhiên tính năng này của storm vẫn chưa thực sự hoàn thiện .

Con này mình nghiên cứu lâu rồi nên cũng không còn nhớ chi tiết nữa.
Nhầm ... toán loạn rồi, các khái niệm: Entry Point, Import Point ^^!
Tôi nghĩ bạn nên đọc kỹ lại cấu trúc PE file tại đây.
http://virusvn.com/forum/showthread.php?t=54 

Thấy bạn only1bit có vẻ mất phương hướng quá mình có một gợi ý nhé.
Bây giờ bạn hãy thử viết một đoạn code kiểm tra xem có các chương trình như: Ollydbg, windbg, sòtice, IDA ... đang chạy trong hệ thống hay không. Nếu có thì rẽ sang một nhánh khác hoặc kết thúc ctrình. Nếu không thì tiếp tục smilie

Đây không phải là kỹ thuật gì cao siêu cả nhưng nó đúng là: Anti-Debug đó, hiện nay vẫn được sử dụng khá nhiều và hiệu quả. Bạn cứ thử hoàn thành đi rồi tớ sẽ đưa ra thêm một vài cải tiến.

Good luck!
Việc vtc bị google liệt vào: trang web này có thể gây hại cho máy tính của bạn, thông tin các bạn có thể xem tại đây:
http://virusvn.com/forum/showthread.php?t=152
Tôi nghĩ câu trả lời là không. Bởi các spammer thường chỉ gửi một lần và nếu đã fake IP rồi thì chỉ còn cách tiếp cận với log của proxy, sock hoặc VPN server. Hi vọng mong manh!
 
Go to Page:  2 3 4 Page 5 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|