Messages posted by: beatboxvn

MS đã từng thất bại khi tung ra OneCare rồi, để xem MS duy trì được phần mềm này bao nhiêu lâu, nhất là lại còn không thu phí. Lấy đâu ra tiền để đầu tư cập nhật virus hàng ngày đây ? Các đại ca như Symantec, McAfee.... đánh cho bẹp đầu ngay.

Mọi người cẩn thận, dịch ngược coi chừng bị bác Q kiện

Tình cờ vô diễn đàn của Kas, có bài hướng dẫn diệt con này, mọi người tham khảo: http://forum.kaspersky.vn/showthread.php?t=5602

Hơi bực chút là hướng dẫn này sử dụng BKAV. Nhưng thôi, dù sao các bạn tiệm Net cứ thử coi.

Trong trường hợp mọi người lười click, có thể đọc luôn ở đây:

Diễn đàn Kas wrote:

Các bạn thân mến, sau một thời gian chờ đợi mệt mỏi và lo âu, cuối cùng bác Quảng hói nhà ta đã không làm phụ lòng người Việt (tôn vinh sản phẩm Việt).
Bản BKAV Home 2171 đã diệt được virus safesys trên máy bị nhiễm, tuy chưa hoàn hảo nhưng thế này cũng đã tạm chấp nhận được. Đây đúng là một tin vui cho các chủ tiệm Net và các bạn kĩ thuật viên làm công tác bảo trì phòng Net. Từ nay các bạn có thể ngủ yên giấc rồi, ko phải thức khuya hoặc giật mình vì lo lắng nữa.

Nhưng với bản này trong tay, các bạn diệt theo cách bình thường tải về và quét thì bảo đảm BKAV sẽ bị virus ăn mất.

Dưới đây mình sẽ trình bày về cách diệt virus safesys.exe này với BKAV, các bạn xem và thử nhé (mình đã làm 100% thành công)

1. Trước tiên trên máy nhiễm, bạn chép file BHome2171.exe vào ổ D (đừng chạy nó)
2. Rút dây mạng.
3. Boot bằng đĩa Hirent - vào DOS --> gõ lệnh fdisk/mbr để (clear master bootrecord) hay nói cách khác là làm lại bootsector
4. Khởi động lại máy --> ấn F8 để vào safemod của Windows
5. Vào Start Run --> gõ D:\BHome2171.exe --> chờ đến khi màn hình BKAV xuất hiện báo cài đặt thành công bạn chuyển sang bước 6.
6. Vào Taskmanager --> End Process Explorer.
7. Quét virus trên tất cả các ổ, tất cả các file, diệt ko cần hỏi.
8. Sau khi quét xong vẫn để nguyên màn hình BKAV, ấn tổ hợp phím CTR+ALT+DEL, để vào Taskmanager một lần nữa --> vào File --> New Task(Run) --> gõ Explorer.exe
9. Lại quét virus với BKAV một lần nữa.
10. Quét xong, khởi động lại máy vào chế độ win bình thường, tiếp tục quét thêm một lần nữa. (Khi quét ở safemod xong chế độ Security của Windows sẽ được BKAVHome phục hồi về trạng thái ban đầu) bạn cứ để nguyên trạng ở đó --> Chờ nó quét xong --> lúc đó mới tắt những chế độ update, firewall, ...
11. Khởi động lại máy ==> Chúc mừng bạn, xong rồi đó.

Kiểm tra thì vẫn thấy trong thư mục C:\Windows\system32\ vẫn có một số file lạ nhưng về căn bản thì BKAVHome đã diệt tốt virus Safesys.exe.
Anh em phòng Net và kĩ thuật viên xin hãy cổ vũ, động viên tinh thần cho bác Quảng cùng anh chị em làm ở trung tâm BKIS để họ sớm diệt tận gốc và luôn sát cánh với anh em diệt mọi biến thể của virus safesys.exe này.

Đọc thêm thì thấy, Microsoft không cập nhật lỗi này cho Windows 7 smilie

congvienvang wrote:

Mình cũng mới học trong phần IT này thui. nói chung là winxp còn biết nhiều chứ win này và máy này cũng vẫn mới quá, mình dùng vista sẵn trong máy cơ bản giống win xp nhưng có nhiều cái mới phết hi hi

Sony Vaio sử dụng phần mềm Protector Suite QL để điều khiển quá trình đăng nhập bằng vân tay.
Bạn tìm nó trong program files, rồi chạy, và cho phần mềm học vân tay của mình. Cũng không khó lắm đâu.

Ngoài việc dùng vân tay để đăng nhập Windows, bạn có thể dùng nó để đăng nhập các phần mềm hoặc các website có login. Tất nhiên, bạn phải cho phần mềm học.

Tôi, ban đầu cũng có suy nghĩ giống LeVuHoang rằng đây không phải là lỗ hổng, nhưng khi đọc kỹ cái advisory này thì lại thấy khác.

Chính xác theo tôi, cơ chế của Google Wap Proxy có thể khiến cho kẻ xấu lợi dụng để tấn công lừa đảo. Vì vậy, có thể nói đây là kẽ hở của Goolge

Ngoài ra, tôi thấy cảnh báo này của BKIS là hướng tới người sử dụng, nhằm giúp họ có thông tin và biết cách phòng tránh. Tôi nghĩ đây là việc cần thiết, và tôi thấy BKIS đang phấn đấu để đạt được cái tầm cần phải có của một "security research center"

Mọi người có thể đọc, theo quan điểm của tôi, khuyến cáo của BKIS là cần thiết

BKIS wrote:

3. Solution
Rating this vulnerability high severity, Bkis Center recommends that users:
- Only log into their Gmail accounts at the address www.google.com/accounts.
- Do not perform actions such as logging in, inputting sensitiveinformation. when using Google Wap Proxy service.
- Be cautious with strange links, even links starting with domain names of well-known organizations like Google, Yahoo!, and Microsoft.

Quan niệm của tôi, lỗ hổng không nhất thiết lúc nào cũng phải là Buffer Overflow, SQL Injection, XSS... Ý kiến của mọi người thì thế nào ?

Nhưng nếu chúng ta chỉ coi đó mới là lỗi "đàng hoàng 1 tí", thì tôi cũng thấy BKIS đã từng phát hiện và cảnh báo các lỗi như thế. Tôi không nhớ hết khi đọc blog của họ, nhưng cũng thấy: Wireshark, MVNForum, K-Lite, Google Chrome ....

Trên đây là một chút quan điểm cá nhân, không khen BKIS, cũng như không chê họ. Tôi viết ra cảm nhận của mình.

Hê hê, tin trên PacketStorm: http://packetstormsecurity.org/0812-exploits/SVRT-08-08.txt

[SVRT-08-08] Google Wap Proxy Vulnerability can be exploited by Hackers to
attack Internet Users

1. General Information
On 15 December 2008, SVRT-BKIS, from BKIS Center, has found a vulnerability
in the Wap Proxy service of Google, which allows hackers to cheat Internet
users.

With this flaw, users are to think that they are using a trustworthy service
supplied by Google while all their actions are actually performed on
websites prepared by hackers. This means hackers can easily steal users'
sensitive information. We have been warning of this hole to Google.

Details : http://security.bkis.vn/?p=310

SVRT Advisory : SVRT-08-08
Initial vendor notification : 12-16-2008
Release Date : 12-27-2008
Update Date : 12-27-2008
Discovered by : Dau Huy Ngoc - SVRT-Bkis
Security Rating : Critical
Impact : Phishing
Affected Software http://google.com/gwt/n ; http://wap.google.com/gwt/n

Proof of concept:
http://google.com/gwt/n?u=http://security.bkis.vn/Proof-of-concept/Google/GmailWap.htm

Video Demonstration : You can download at
http://security.bkis.vn/Proof-of-concept/Google/GoogleWapProxyVuln.wmv
or view at http://www.youtube.com/watch?v=h654Cj-uRQY

2. Technical Description
Google Wap Proxy, also known as Google Wireless Transcoder, is a service
that helps translate the content of an arbitrary website into XHTML format
suitable for Wap browsers on cell phones.

Making use of this service, when users access the link
http://google.com/gwt/n?u=[http://website] with their cell phones, the
content displayed by the browsers will be translated from that of the
website at [http://website]. However, if [http://website] is the address of
a website prepared by a hacker, he/she can definitely take advantage of the
service to deceive users.

In order to perform the attack, a hacker creates a website with the
interface similar to that of Google. Then he's/she's in some way sending
users a link in the form
http://google.com/gwt/n?u=[http://fake-google-website]. As this link starts
with google.com or wap.google.com, domain of Google, users might think it is
safe and follow all the operations arranged by hackers, which results in
their losing sensitive information.

In fact, if this service only translated and displayed contents of websites,
there would be no flaw to be exploited by hackers. The Achilles' heel is
that users can interact with the websites, in other words, they can still
login, input personal information and credit card information. via Wap
Proxy. If the website in effect is created by hackers, all users' actions
will be saved on hackers' servers.

And for this reason, the vulnerability is due to a design fault in Google
Wap Proxy Service. We have tested it with a fake website that has the
interface identical to the Gmail login page. When users login via the site,
their accounts and passwords will be disclosed. Follow this link to check
for the test:
http://google.com/gwt/n?u=http://security.bkis.vn/Proof-of-concept/Google/GmailWap.htm

This service supports cell phone users but due to the fact that the provided
links could be both wap.google.com and google.com, it also affects all
Internet users in general.

3. Solution
Rating this vulnerability high severity, Bkis Center recommends that users:
- Only log into their Gmail accounts at the address
www.google.com/accounts.
- Do not perform actions such as logging in, inputting sensitive
information. when using Google Wap Proxy service.
- Be cautious with strange links, even links starting with domain
names of well-known organizations like Google, Yahoo!, and Microsoft.

Credits
Thanks to Dau Huy Ngoc for working together with us in the detection and
alert process of this vulnerability.

SVRT-Bkis

Cuốn sách dành cho "web application developers, browser engineers, and information security researchers"

http://code.google.com/p/browsersec/wiki/Main

Mọi người tham khảo

Chưa được fix đâu.

Phải đến 5h sáng mai, 18/12/2008, giờ VN, MS mới đưa ra bản vá: http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx

Các bạn Tàu tấn công ác quá nên MS phải đưa bản vá cho IE ngay (mà không chờ đến định kỳ như thường lệ)

Theo tôi, trình duyệt nào cũng đều có nguy cơ tồn tại lỗ hổng cả. Có điều IE thì nhiều người sử dụng và chính sách đưa bản vá của MS chậm chạp nên nguy hiểm hơn các bạn trình duyệt khác

Theo tin có được giá chợ đen của lỗi này là 15 nghìn USD!

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9123179&source=rss_topic17

Có mã khai thác mới trên Milw0rm:

http://milw0rm.com/exploits/7410

Cũng có tin là các bạn Tàu phù đang tấn công bằng lỗi này:

http://computerworld.co.nz/news.nsf/scrt/AECD89F21B902D47CC25751A006AE3E5

Bạn Microsoft cũng đã confirm lỗ hổng bằng advisory này:

http://www.microsoft.com/technet/security/advisory/961051.mspx

Khó quá, mấy bác siêu thật

Security Focus:
http://www.securityfocus.com/archive/1/498872

Secunia:
http://secunia.com/Advisories/32931

1. General Information
mvnForum is software used for creating forums on the Internet
http://www.mvnforum.com). This is an open source software making use of
Java J2EE (ISP/Servlet) technology.

On September 6 2008, SVRT-Bkis found several CSRF and XSS vulnerabilities in
some functions of mvnForum 1.2 GA. These are highly serious vulnerabilities
allowing hackers to perform privilege escalation attack on the Forum.

We have contacted the development team and they have patched all those
vulnerabilities in the latest version of mvnForum 1.2.1 GA.

Details : http://security.bkis.vn/?p=286
SVRT Advisory : SVRT-06-08
Initial vendor notification : 30-10-2008
Release Date : 03-12-2008
Update Date : 03-12-2008
Discovered by : SVRT-Bkis
Attack Type : CSRF, XSS
Security Rating : Critical
Impact : Privilege escalation
Affected Software : mvnForum (version <= 1.2 GA)

2. Technical Description
We have detected five vulnerabilities in different functions of mvnForum,
four of which are CSRF (Cross-site request forgery) flaw and the other is an
XSS (Cross-site scripting) flaw.

More precisely, four CSRF vulnerabilities make way for hackers to escalate
their privilege on such forum by tricking the administrator to perform some
task without asking him/her for confirmation. Tasks relating to these four
vulnerabilities are:
- Creating a new forum where the hacker is the administrator.
- Raise the privilege of an arbitrary account.
- Give an arbitrary account the sub-forum administrator privilege.
- Enable or disable an arbitrary account.

The XSS vulnerability is in the "Who's online" function of the forum. If
hackers successfully exploit this flaw, malicious code (JavaScript) will be
executed whenever the administrator view information with this function.

3. Solution
Rating these highly critical vulnerabilities, Bkis Center recommends that
all units, organizations and individuals using mvnForum should immediately
update their forums with the latest version of the application here:
http://sourceforge.net/project/showfiles.php?group_id=65527&package_id=6
3007

4. Credit
Thanks Dau Huy Ngoc for working with SVRT-Bkis

http://seclists.org/fulldisclosure/2008/Nov/0540.html

1. General Information

ffdshow is a DirectShow filter and VFW codec for many audio and video
formats, such as DivX, Xvid and H.264. It is the most popular audio and
video decoder on Windows. Besides a stand-alone setup package, ffdshow is
often included in almost all codec pack software such as K-lite Codec Pack,
XP Codec Pack, Vista Codec Package, Codec Pack All in one,.

In Oct 2008, SVRT-Bkis has detected a serious buffer overflow vulnerability
in ffdshow which affects all available internet browsers. Taking advantage
of the flaw, hackers can perform remote attack, inject viruses, steal
sensitive information and even take control of the victim's system.

Since ffdshow is an open source software (can be found at
http://sourceforge.net/projects/ffdshow-tryout), we have contacted the
developing team and they have patched the vulnerability in the latest
version of ffdshow.

Details : http://security.bkis.vn/?p=277
SVRT Advisory : SVRT-05-08
Initial vendor notification : 13-11-2008
Release Date : 24-11-2008
Update Date : 24-11-2008
Discovered by : SVRT-Bkis
Security Rating : Critical
Impact Remote : Code Execution
Affected Software : ffdshow (< rev2347 20081123)

2. Technique Description

The flaw occurs when ffdshow works with a media stream (e.g.
http://[website]/test.avi). On parsing an overly long link, ffdshow would
encounter a buffer overflow error as the memory is not allocated and
controlled well.

ffdshow is in fact a codec component for decoding multimedia formats so it
must be used via some media player; the default program is Windows Media
Player (wmp). Due to this reason, all internet browsers that support wmp
plug-in are influenced by this vulnerability, such as Internet Explorer,
Firefox, Opera, Chrome...

In order to exploit, hackers trick users into visiting a website containing
malicious code. If successful, malicious code would be executed without any
users' further interaction. Hackers can then take complete control of the
system.

3. Solution

As for the seriousness of the vulnerability, it has been patched in the
latest version of ffdshow by the developing team of the software. Bkis
Internetwork Security Center highly recommends that users should update
ffdshow to the latest version here:
http://sourceforge.net/project/showfiles.php?group_id=173941&package_id=199416&release_id=439904

At the moment, there are a lot of software packages packing ffdshow that
haven't been updated. On account of this, users should also update the
ffdshow latest versions:
- K-Lite Codec Pack (lastest version).
- XP Codec Pack (lastest version).
- Vista Codec Package (lastest version).
- Codec Pack All in one (lastest version).
- Storm Codec Pack (lastest version).
- And many other software Codec packages using ffdshow.

In addition, software producers that make use of ffdshow in their products
should also update these products with the latest version of ffdshow.

4. Credits
Thanks Nguyen Anh Tai for working with SVRT-Bkis.

----------------------------------------------------------------
Bach Khoa Internetwork Security Center (BKIS)
Hanoi University of Technology (Vietnam)

Email : svrt_at_bkav.com.vn
Website : www.bkav.com.vn
WebBlog : security.bkis.vn
Our PGP : http://security.bkis.vn/policy/pgp/SVRT-Bkis.gpg