Messages posted by: bolzano_1989

chiro8x wrote:

MinhHung1122 wrote:

không bao giờ có chuyện này xảy ra, vì từ winxp trở đi thì mọi ứng dụng chạy trên windows thì các thư viện kernel32.dll, ntdll.dll,... sẽ tự động load vào chương trình

Bạn chắc rằng bạn nói đúng chứ ? Tài liệu kỹ thuật nào cho phép bản khẳng định hùng hồn vậy. Bạn hoàn toàn có thể viết chương trình không sử dụng bất cứ một thư viện nào.

chiro8x wrote:

Chà mình quên nói rõ là mình sử dụng phương pháp để truy ngược về điểm mà kernell32 được nạp (sau đó tìm LoadLibraryA và GetProcAddress) khi sử dụng Dependency Walker sẽ không thấy thư viện nào "được gọi", chứ không "tự động load" như bạn MinhHung1122 (kute pro) nói.

MinhHung1122 wrote:

biết syscall không, hahaha, không cần bất cứ dll nào à, kể cả syscall cũng gọi mà... tới khi nào tìm được cách nào mà không sử dụng syscall để I/O(API) đi rồi nói nhá( không chơi DOS)

Dạ em chưa biết ! anh chỉ em, em ngu mong được dạy bảo.

Bạn chiro8x cho tui xem thử file .exe của bạn với smilie

.

Nếu HVA mở lớp thì những khóa học với các môn học nào có thể được mở?
Nếu học phí có giá trên trời như của học viện SANS đến Việt Nam thì chắc chắn không phù hợp với khả năng tài chính của số đông bạn đọc:
http://force.vnsecurity.net/download/SANS-560-VN.pdf

boyvjp_hacker wrote:

sao tôi dùng lệnh
c:\net view x.x.x.x
nhưng địa chỉ IP nao cũng không được vậy

Bạn đọc kĩ lại đi.
Code:

net view \\x.x.x.x

chứ không phải

net view x.x.x.x

Theo mình không phải là lỗi Google Sites đâu, hình như là do tình hình chính trị đang được chia sẻ khá "nóng" trên các blog Blogger của Google và các blog trên WordPress.com nên các nhà mạng phải tiến hành chặn các trang web theo chỉ thị của bên trên đưa xuống, mà khả năng của nhà mạng thì hạn chế hoặc là họ làm theo chỉ thị một cách vô trách nhiệm với người dùng.
Ngay cả blog.chromium.org của Google cũng không vào được.

Hiện tại với website của bạn, bolzano_1989 cũng không vào được nếu duyệt web một cách bình thường. Tuy nhiên nếu dùng Tor Browser Bundle để duyệt web thì vào website của bạn ngon lành. Bạn có thể tìm hiểu thêm các vấn đề về vượt tường lửa để biết thêm chi tiết.

Có lẽ là tình trạng chung hôm nay đó, mình cũng thấy 1 website khác làm bằng Google Sites truy cập qua tên miền sites.google.com thì được nhưng truy cập qua tên miền riêng thì không (dù hôm qua vẫn truy cập bình thường).

Bạn có thể tham khảo bài viết sau của tôi:
Một số hiện tượng đặc trưng biểu hiện máy tính bị lây nhiễm virus máy tính
http://support.cmclab.net/vn/tut0rial/mot-so-hien-tuong-dac-trung-bieu-hien-may-tinh-bi-lay-nhiem-virus-may-tinh/

manthang wrote:

bolzano_1989 wrote:

Một trang kiểm tra password khác anh chị em có thể dùng là:
http://leakedin.org/

Một kết quả kiểm tra tham khảo:

Looks like your password was not leaked. Hooray!

Danh sách trên không chứa các hash password bị trùng lắp. LinkedIn có hơn 161 triệu người dùng, nên khả năng đây không phải là trọn bộ CSDL tài khoản của LinkedIn. Nhưng cũng không thể biết được liệu hacker còn giấu phần nào đó của CDSL hash này mà chưa tung lên không. Và cũng không chắc được là hệ thống của LinkedIn còn bị xâm nhập hay không.

Vì vậy việc xác minh qua trang LastPass.com hay leakedin.org nói trên cũng không đảm bảo là tài khoản của mình vẫn an toàn.
Cách tốt nhất và là đổi lại mật khẩu LinkdeIn và các tài khoản quan trọng khác dùng chung mật khẩu này.

Theo tìm hiểu của mình thì không phải là do danh sách trên "không chứa các hash password bị trùng lắp" nên không phủ được tất cả các password hash đâu manthang. Tay hacker này cũng chẳng phải có lòng muốn chia sẻ danh sách hash cùng tên tài khoản Linkedin tương ứng với cộng đồng cracker, chẳng qua là hắn đang tìm sự trợ giúp từ cộng đồng password cracking này.

Mình đã tìm được file dump các password hash tay hacker đã gửi lên diễn đàn Nga đó rồi.
Sự thật là nếu hash của password bạn dùng ở Linkedin xuất hiện trong danh sách của hacker gửi lên đó nghĩa là password của bạn là một trong những password mà tay hacker này không tìm được password tương ứng từ thông tin hash SHA1 và hắn phải tìm sự trợ giúp từ các tay hacker khác trong cộng đồng password cracker này.

Những password dễ crack mà tay hacker này đã crack được từ các tài khoản Linkedin đều không được post lên diễn đàn trên, cho nên nếu password hash của bạn không được tìm thấy trong 2 trang kiểm tra mà bolzano_1989 gửi trên thì không có nghĩa là password của bạn an toàn mà còn có khả năng là password của bạn đã bị crack quá dễ dàng và tay hacker không buồn gửi lên mạng.

Một trang kiểm tra password khác anh chị em có thể dùng là:
http://leakedin.org/

Một kết quả kiểm tra tham khảo:

Looks like your password was not leaked. Hooray!

Anh chị em có thể vào trang sau kiểm tra password tài khoản Linkedin của mình có nằm trong danh sách các password hash đã bị thỏa hiệp và công bố bởi hacker này hay không:

LastPass - LinkedIn Password Checker
https://lastpass.com/linkedin/

Một kết quả kiểm tra cho mọi người tham khảo:

Your password was NOT one of the ones that was compromised.

Despite this fact, you may still be at significant risk since the hackers might have only posted a partial list.

We strongly recommend that you follow our recommendations above and immediately change your LinkedIn and related passwords.

Phần mềm chống virus của Webroot đã phát hiện thành phần của Flame từ ngày 1 tháng 3 năm 2010.
~ZFF042.TMP, Prevx
http://www.prevx.com/filenames/X835863115482163633-X1/Z-~ZFF042.TMP.html

The filename ~ZFF042.TMP was first seen on Mar 1 2010 in the following geographical region of the Webroot community:

Iran, Islamic Republic of on Mar 1 2010

Phân tích con này tốn nhiều thời gian và dài hơi:
Jumping Into the Flames of Skywiper | McAfee Labs Blog
http://blogs.mcafee.com/mcafee-labs/jumping-in-to-the-flames-of-skywiper

Theo khoanh vùng của Microsoft thì malware Flame có sự góp tay của một/vài trong các khách hàng doanh nghiệp đã có yêu cầu kích hoạt license Terminal Services.

Microsoft certification authority signing certificates added to the Untrusted Certificate Store - Security Research & Defense - Site Home - TechNet Blogs
http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

Ky0 wrote:

somenuchi wrote:

- Chắc sắp tới HVA sẽ thắt chặt quy trình đăng ký nick, phải trả lời đúng 5-10 các câu hỏi ngẫu nhiên mới được tham gia sinh hoạt.

- Ky0 -

Em thấy ý này hay đó, khi đăng ký nick người đăng ký phải trả lời các câu hỏi có câu trả lời trong Nội Quy của diễn đàn smilie

.

gungui wrote:

vote thế này thì đến khi nào mới xong

Đến khi nào có nhiều member thường xuyên tích cực thảo luận cũng như có nhiều trao đổi về mảng này trên diễn đàn chứ sao nữa.
Trong box "Thông tin new bugs và exploits" đã có vài chủ đề về mảng này nhưng mình thấy ít người tham gia thảo luận, trao đổi. Thay vì như bạn gì ở trên đề nghị mở box mới để "có nhiều thông tin cho mình đọc mỗi khi duyệt HVA", bà con hãy chủ động và tích cực trao đổi về mảng này thì box đó sẽ sớm được mở thôi smilie

.

Chủ topic yêu cầu những người bạn có máy tính nhiễm virus này quét virus với phần mềm diệt virus đã phát hiện và diệt được mẫu virus này (phần mềm chống virus của CMC bản miễn phí lẫn có phí đều diệt được). Nếu họ mặc kệ mình và không quét virus thì unfriend họ vậy.

Lần sau, bạn có thể gửi mẫu virus cho mình qua tin nhắn riêng ở Facebook hoặc wall này của mình:
http://goo.gl/4Zkto

Biến thể Zeus 2.x có chức năng của phần mềm tống tiền

Tội phạm mạng đang ngày càng trở nên tinh vi hơn, như trong các báo cáo gần đây cho thấy các lập trình viên hacker đã tích hợp thành công một trojan tống tiền với một phần mềm độc hại kế thừa từ malware Zeus với tên gọi là Citadel. Một nền tảng phần mềm độc hại tai tiếng nhắm mục tiêu là các thông tin tài chính đã được thêm vào một thủ thuật mới để chiếm quyền điều khiển và tống tiền người dùng máy tính.

Những nhà nghiên cứu từ hãng F-Secure đã phát hiện gần đây một biến thể Zeus 2.x có cả chức năng tống tiền. Về cơ bản đây là một phiên bản được hiệu chỉnh của Zeus, phần mềm độc hại này có mục đích cung cấp hỗ trợ tốt hơn cho một nhánh phát triển của nền tảng mã độc Zeus, đồng thời cho phép các khách hàng tin tặc bỏ phiếu cho các yêu cầu chức năng cũng như viết các module riêng cho nền tảng phần mềm tin tặc này.

Net-security giải thích hoạt động của biến thể Zeus 2.x này: Một khi phần mềm độc hại này được thực thi, nó sẽ chạy Internet Explorer và trỏ về một địa chỉ URL đặc biệt lex.creativesandboxs.com/locker/lock.php. Đồng thời người dùng máy tính sẽ bị khóa để không thực hiện được bất cứ việc gì khác trên máy tính của họ nữa.

Bạn có thể mở khóa khá dễ dàng với một phần mềm chỉnh sửa registry như sau:
1. Khởi động máy tính vào chế độ safe mode
2. Thêm vào một khóa syscheck dưới HKEY_CURRENT_USER.
3. Tạo một giá trị DWORD với tên Checked dưới khóa syscheck này.
4. Thiết lập nội dung cho giá trị DWORD trên (syscheck) là 1.
5. Khởi động lại máy tính.

bolzano_1989 - HVA News

Tham khảo:
Zeus 2.x variant includes ransomware features | The Hacker News
http://thehackernews.com/2012/05/zeus-2x-variant-includes-ransomware.html
Zeus Trojan variant comes with ransomware feature
http://www.net-security.org/malware_news.php?id=2120

lntc500 wrote:

learn2hack wrote:
vừa hôm rồi mình có đọc 1 bài viết ở quantrimang.com thấy có nói rằng khi khởi động máy và kết nối vào lan thì máy tính sẽ tự động share IP$, C$, D$, ADMIN$ và đó có thể là những lỗ hổng khiến mình bị thâm nhập.
trong bài viết còn nói để tránh bị thâm nhập thì tạo 1 file bat nội dung:
Code:
net share IP$ /delete /y
net share C$ /delete /y
net share D$ /delete /y
net share ADMIN$ /delete /y
để tắt các share đó đi.

mình muốn hỏi là các share đó có vai trò gì và tại sao lại dễ bị thâm nhập thông quả nó. nếu tắt các share đó thì có ảnh hưởng đến chức năng remote desktop connection ko?
Bạn cho mình hỏi, cách tạo file .bat ấy có phải để dùng tắt các share ẩn đi, mỗi lần khởi động lại HĐH k?
Nếu đúng là vậy, bạn có thể nói rõ hơn về cách này không?
Mình xin cảm ơn

Bạn có thể tìm hiểu về lệnh NET SHARE.

learn2hack wrote:

vừa hôm rồi mình có đọc 1 bài viết ở quantrimang.com thấy có nói rằng khi khởi động máy và kết nối vào lan thì máy tính sẽ tự động share IP$, C$, D$, ADMIN$ và đó có thể là những lỗ hổng khiến mình bị thâm nhập.
trong bài viết còn nói để tránh bị thâm nhập thì tạo 1 file bat nội dung:
Code:
net share IP$ /delete /y
net share C$ /delete /y
net share D$ /delete /y
net share ADMIN$ /delete /y
để tắt các share đó đi.

mình muốn hỏi là các share đó có vai trò gì và tại sao lại dễ bị thâm nhập thông qua nó.

Về vai trò các network share này bạn có thể đọc bài sau:
How to create and delete hidden or administrative shares on client computers
http://support.microsoft.com/kb/314984

The versions of Windows that are listed in the "Applies to" section create hidden administrative shares that administrators, programs, and services can use to manage the computer environment on the network.

Việc máy tính có các network share này dễ bị thâm nhập hay không tùy thuộc vào sự bảo mật cho máy tính đó cũng như ý thức của người dùng máy tính. Một trong những nguyên nhân thường gặp là một tài khoản Administrator của máy tính đó được đặt mật khẩu yếu (dễ dò được).

Gửi yêu cầu xin kiểm tra giúp mà không cung cấp thông tin đi kèm gì hết vậy bạn? Bạn nghĩ những file này có gì đặc biệt để người khác muốn kiểm tra hộ bạn thì bạn hãy cung cấp thông tin tương ứng.

Thay vì dùng chatbox của website khác thì bạn tự cài đặt chatbox cho website của chính bạn đi.
Nếu không làm được thì bạn có thể liên lạc các hãng antivirus có nhận diện script chatbox kia là virus, đề nghị họ kiểm tra lại giùm.
Hiện tại thì mình thấy chatbox mà bạn dùng không truy cập được, bạn xóa luôn chatbox này trong mã nguồn website để khỏi bị phát hiện như vậy nữa cũng được.

Ngay sau vụ trojan Unikey được thông báo ở chủ đề này, vào ngày 05-03-2012, có một website được tạo với lời giới thiệu như sau:

Thân mến gửi quý khách ! Đứng trước tình trạng phần mềm Unikey được chia sẻ một cách tràn lan trên internet đã tạo ra kẽ hở an ninh nghiêm trọng là tạo cơ hội cho hacker chèn virus vào phần mềm Unikey rồi phát tán đi khắp các diễn đàn, website khác gây thiệt hại cho người dùng. Năm 2008, nhóm Community Unikey Fans chính thức thành lập và quyết định cần phải có hành động ngay lập tức để ngăn chặn tình trạng đó. Đó chính là lý do để chúng tôi xây dựng trang web www.unikey.com.vn là nơi chính thức công bố các phiên bản Unikey cũ và mới với điều kiện an ninh tốt nhất.

Trải qua nhiều khó khăn, nhóm Community Unikey Fans 2008 cuối cùng đã xây dựng thành công trang web này dựa trên mã nguồn và máy chủ do Google cung cấp. Với cơ sở hạ tầng được chính Google bảo mật, với nhân sự am hiểu về bảo mật và với tên miền đăng ký tại Trung tâm Internet Việt Nam (VNNIC) là cơ quan Chính phủ điều phối các hoạt động internet tại Việt Nam, trang web www.unikey.com.vn là nơi cung cấp các phiên bản Unikey an toàn nhất hiện nay.

Đây là một Dự án phục vụ cộng đồng mang tính chất phi lợi nhuận và chúng tôi hy vọng phục vụ cộng đồng ngày một tốt hơn. Chúng tôi có thể tự hào để nói rằng: Trên website này phát hành các bản Unikey chính thức đã được kiểm định chất lượng kỹ thuật. Xin trân trọng cám ơn các bạn đã ủng hộ để Unikey ngày càng phát triển !

Cho đến gần đây, tôi vẫn chưa bao giờ nghe nói về nhóm Community Unikey Fans ( www.unikey.com.vn ) này cả dù gần đây có một nhóm người ra sức quảng cáo cho website này trên các forum người Việt.
Ngoài trang web www.unikey.com.vn có nhiều dấu hiệu lừa đảo này, còn có một website lừa đảo khác cũng được lập nên cho phép tải một sản phẩm với tên gọi "Unikey Pro", "Unikey Professional" ở địa chỉ http://unikeypro.com

Tôi vẫn giữ quan điểm mọi người không nên tải phần mềm Unikey từ những nguồn không được kiểm chứng như thế này.
Mọi người cần đặc biệt cẩn thận, không tải các phần mềm Unikey có những dấu hiệu lừa đảo người dùng như trên ( unikey.com.vn, unikey.vn và unikeypro.com ).
Địa chỉ an toàn để tải phần mềm Unikey là: http://sf.net/projects/unikey

Một vài thông tin Whois:

TÊN MIỀN

unikey.com.vn
Ngày đăng ký: 05-03-2012
Ngày kích hoạt : 05-03-2012
Ngày hết hạn : 05-03-2013
Tên chủ thể đăng ký sử dụng : Ông Nguyễn Bằng Giang
Tên giao dịch : 012702296
Địa chỉ : Phòng 501, CT 4.2, Khu Đô thị mới Mễ Trì Hạ, Phạm Hùng, Hà Nội
Quản lý tại Nhà đăng ký: Công ty TNHH Thương mại dịch vụ Mắt Bão
Máy chủ DNS chuyển giao: + ns1.matbao.vn
+ ns2.matbao.vn

TÊN MIỀN

unikey.vn
Ngày đăng ký: 20-03-2009
Ngày kích hoạt : 20-03-2009
Ngày hết hạn : 20-03-2013
Tên chủ thể đăng ký sử dụng : Ông Đào Duy Phong
Tên giao dịch : Ông Đào Duy Phong
Địa chỉ : P204 - D7 - ĐHBK Hà Nội, số 01 Đại Cồ Việt, Hà Nội
Quản lý tại Nhà đăng ký: Công ty TNHH PA Việt Nam
Máy chủ DNS chuyển giao: + ns2008.nhanhoa.com.vn
+ ns2009.nhanhoa.com.vn

Domain Name: unikeypro.com
Registrar: Name.com LLC

Protected Domain Services Customer ID: NCR-3963119

Expiration Date: 2013-04-23 09:37:58
Creation Date: 2012-04-23 09:37:58

Name Servers:
ns1.name.com
ns2.name.com
ns3.name.com
ns4.name.com

Domain privacy provided by Protected Domain Services. For more information see w
ww.protecteddomainservices.com

REGISTRANT CONTACT INFO
Protected Domain Services - Customer ID: NCR-3963119
P.O. Box 6197
Denver
CO
80206
US
Phone: +1.7202492374
Email Address: unikeypro.com@protecteddomainservices.com

ADMINISTRATIVE CONTACT INFO
Protected Domain Services - Customer ID: NCR-3963119
P.O. Box 6197
Denver
CO
80206
US
Phone: +1.7202492374
Email Address: unikeypro.com@protecteddomainservices.com

TECHNICAL CONTACT INFO
Protected Domain Services - Customer ID: NCR-3963119
P.O. Box 6197
Denver
CO
80206
US
Phone: +1.7202492374
Email Address: unikeypro.com@protecteddomainservices.com

BILLING CONTACT INFO
Protected Domain Services - Customer ID: NCR-3963119
P.O. Box 6197
Denver
CO
80206
US
Phone: +1.7202492374
Email Address: unikeypro.com@protecteddomainservices.com

Phần mềm nào phát hiện virus với tên đó, phát hiện ở đâu thì bạn vào nơi đó copy file (nếu cần thì tạm thời tắt chế độ bảo vệ theo thời gian thực của antivirus), nén lại rồi upload lên mediafire.com chẳng hạn, rồi gửi link tải lên forum để các thành viên khác xem thử.
Bạn hỏi mà chẳng cung cấp thông tin của câu hỏi rõ ràng thì ai mà giúp được.

Công cụ mã hóa Skype giả mạo nhắm vào các nhà hoạt động chính trị Syria, cung cấp spyware thay vì sự bảo mật
Người dịch: bolzano_1989 at hvaonline.net

Chiến dịch của các tấn công trên Internet nhắm vào các nhà hoạt động chính trị đối lập Syria đã chuyển sang một hướng mới. Kể từ đầu năm đến nay, các nhà hoạt động chính trị đối lập Syria đã bị tấn công bằng cách sử dụng một số trojan, bí mật cài đặt phần mềm gián điệp vào máy tính bị lây nhiễm cũng như nhiều cuộc tấn công lừa đảo ăn cắp thông tin đăng nhập tài khoản YouTube và Facebook. Trong tuần vừa rồi, blog Malware của TrendMicro đã mô tả một website tự nhận cung cấp phần mềm mã hóa Skype, nhưng thực ra là một trojan thực hiện cài đặt phần mềm quản lý máy tính từ xa (RAT) DarkComet 3.3, cho phép kẻ tấn công ghi lại các hoạt động của webcam, tắt chức năng thông báo của một số phần mềm chống virus, ghi lại các hoạt động bàn phím, đánh cắp mật khẩu và hơn cả là gửi những thông tin nhạy cảm đến một địa chỉ nằm trong dải địa chỉ IP của Syria. Trong tuần này, EFF đã tìm thấy một website gần như giống hệt ở địa chỉ hxxp://skype-encryption.sytes.net/ mà bạn có thể thấy trong các ảnh chụp màn hình dưới đây.

Click "download" sẽ download ứng dụng mã hóa Skype giả mạo với tên "Skype Encryption v2.1" như hình sau:

Khi chạy, ứng dụng giả mạo này sẽ tạo một cửa sổ cho bạn những lựa chọn "Encrypt" và "DeCrypt" như hình sau:

Khi bạn click "Encrypt" , ứng dụng giả mạo sẽ thông báo yêu cầu bạn chờ trong khi ứng dụng này mã hóa kết nối, như trong ảnh chụp màn hình dưới đây. Tuy nhiên, thực tế là ứng dụng này không mã hóa gì cả. Thay vì mã hóa traffic Skype của bạn, ứng dụng sẽ tải một trojan từ địa chỉ hxxp://216.6.0.28/SkypeEncryption/Download/skype.exe. Đây cũng là địa chỉ IP Syria được sử dụng trong các tấn công được mô tả bởi TrendMicro, Symantec, Cyber Arabs, và một vài bài viết đăng trên blog của EFF khác.

Sau khi được cho là các kết nối của bạn đã được mã hóa, ứng dụng tạo một cửa sổ thông báo rằng: "Your Connections are Now Completely Encrypted ! ..... Enjoy" như ảnh chụp màn hình sau.

Trong khi đó, ứng dụng giả mạo này cài đặt công cụ quản lý máy tính từ xa (RAT) DarkComet 3.3 vào máy tính của bạn. DarkComet cho phép kẻ tấn công ghi lại các hoạt động của webcam, tắt chức năng thông báo của một số phần mềm chống virus, ghi lại các hoạt động bàn phím, đánh cắp mật khẩu từ máy tính của bạn. Không như phiên bản DarkComet được mô tả trong bài viết của TrendMicro đã được phát hiện bởi một số phần mềm chống virus, phiên bản DarkComet này không được phát hiện bởi bất cứ phần mềm chống virus nào ở thời điểm bài này được viết. Cách tìm kiếm và loại bỏ DarkComet ra khỏi máy tính của bạn đã được thảo luận trong bài viết sau trên blog của EFF:
Campaign Targeting Syrian Activists Escalates with New Surveillance Malware
https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware

EFF khuyến cáo những người Syria sử dụng Internet nên đặc biệt cẩn thận khi tải các phần mềm ứng dụng từ các website không quen thuộc. Dù website ứng dụng mã hóa Skype giả mạo trên có nhiều dấu hiệu hiển nhiên cho thấy đây không phải là website , từ lỗi chính tả của từ "encryption" ("mã hóa") cho đến việc lạm dụng font Comic Sans MS, EFF tin rằng chúng ta có thể gặp những cuộc tấn công tinh vi hơn trong tương lai.

Bài viết này được dịch từ nguồn:
Fake Skype Encryption Tool Targeted at Syrian Activists Promises Security, Delivers Spyware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/05/fake-skype-encryption-tool-targeted-syrian-activists-promises-security-delivers

Các link đến các trang web chứa phần mềm độc hại trong bài viết đã được chỉnh sửa để không thể gây hại cho bạn đọc.

Các link tham khảo được dẫn trong bài viết:
Fake Skype Encryption Tool Targeted at Syrian Activists Promises Security, Delivers Spyware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/05/fake-skype-encryption-tool-targeted-syrian-activists-promises-security-delivers

Backdoor.Breut Technical Details | Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2012-021012-3004-99&tabid=2

How to Find and Protect Yourself Against the Pro-Syrian-Government Malware on Your Computer | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/03/how-find-syrian-government-malware-your-computer-and-remove-it

Campaign Targeting Syrian Activists Escalates with New Surveillance Malware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/04/campaign-targeting-syrian-activists-escalates-with-new-surveillance-malware

Fake YouTube Site Targets Syrian Activists With Malware | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/03/fake-youtube-site-targets-syrian-activists-malware

Syrian Activists Targeted With Facebook Phishing Attack | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2012/03/pro-syrian-government-hackers-target-syrian-activists-facebook-phishing-attack

Fake Skype Encryption Service Cloaks DarkComet Trojan
http://blog.trendmicro.com/fake-skype-encryption-software-cloaks-darkcomet-trojan/

Cyber-arabs
http://www.cyber-arabs.com/

US-CERT Vulnerability Note VU#520827 - PHP-CGI query string parameter vulnerability
http://www.kb.cert.org/vuls/id/520827

Impact
A remote unauthenticated attacker could obtain sensitive information, cause a denial of service condition or may be able to execute arbitrary code with the privileges of the web server.
Solution:

Apply update

PHP has released version 5.4.3 and 5.3.13 to address this vulnerability. PHP is recommending that users upgrade to the latest version of PHP.

PHP has stated, PHP 5.3.12/5.4.2 do not fix all variations of the CGI issues described in CVE-2012-1823. It has also come to our attention that some sites use an insecure cgiwrapper script to run PHP. These scripts will use $* instead of "$@" to pass parameters to php-cgi which causes a number of issues.

Apply mod_rewrite rule

PHP has stated an alternative is to configure your web server to not let these types of requests with query strings starting with a "-" and not containing a "=" through. Adding a rule like this should not break any sites. For Apache using mod_rewrite it would look like this:
Code:

RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]