Alvin Chen

Alvin@mincrosoft.com

June 2008 - Posts

變種EMail病毒 - ARJ格式

 

今日發現2隻新變種病毒,採用好久不見的壓縮檔格式 - arj,

 

許多防毒軟體或閘道,應可拆解並分析zip或rar;

但不一定能拆解arj。

 

所以一旦傳到個人用戶,只要有安裝解壓縮程式,

那麼幾乎都可解壓縮arj的格式...

 

看來DOS時代大名鼎鼎的ARJ壓縮檔,

準備重出江湖了!

 

 

樣本畫面1

 

 

樣本畫面2

 

 

以下防毒軟體已可偵測:

Authentium;5.1.0.4;2008.06.16;W32/Onlinegames.gen

AVG;7.5.0.516;2008.06.15;PSW.OnlineGames.BR

F-Prot;4.4.4.56;2008.06.12;W32/OnlineGames.AE.gen!Eldorado

Fortinet;3.14.0.0;2008.06.15;W32/OnLineGames.fam!tr.pws

Ikarus;T3.1.1.26.0;2008.06.16;Trojan.Win32.Helpud.A

Microsoft;1.3604;2008.06.16;PWS:Win32/OnLineGames.DL!dll

Panda;9.0.0.4;2008.06.15;Suspicious file

Rising;20.48.62.00;2008.06.15;Packer.Win32.Mian007.a

Sophos;4.30.0;2008.06.15;Mal/EncPk-CE

Webwasher-Gateway;6.6.2;2008.06.15;Win32.Malware.gen (suspicious)

 

 

 

Posted: Jun 16 2008, 08:00 PM by alvinchen | with no comments
Filed under: , ,
SQL Injection 123

最近火熱的資安議題,就是大規模攻台的SQLInjection攻擊。

 

在五月初時,已可看到一些戰火;而在5/20的前後,

為攻擊的最高峰,並陸續在各大媒體披露;一直到最近才稍稍減緩。

 

以下是我的一些觀察:

1.無特定對象,且不限系統平台;只要有資料庫的網站,都是攻擊對象

2.時間多在非上班時間,如上班前早上、中午、下班後晚上、午夜凌晨

3.攻擊次數多分散在各日

4.每次(日)攻擊IP皆不同

5.語法特徵混雜16進位碼及大小寫

 

下面是一些在家中查到的攻擊語法,

大致為權限測試及惡意網址注入。

 

摘要如下(部分文字以星號取代):

 

權限測試(原碼):

權限測試(實際語法):

 

惡意網址注入(原碼):

惡意網址注入(實際語法):

 

就語法來說,十分精簡,且不易攔截。

 

<<後語>>

SQLInjection攻擊雖然多指向網頁程式問題,

但個人認為,資料庫權限及語法、網站漏洞修補、作業系統權限及漏洞修補等,

也一樣重要。

 

只是這些工作,都非一人所能完成,

且環環相扣,因此也不容易面面俱到。

 

以下是一些個人覺得很有幫助的說明:

 

SQLInjection(資料隱碼)-駭客的SQL填空遊戲(恆逸資訊胡百敬)

http://www.microsoft.com/taiwan/sql/sql_injection_G1.htm

 

LINQ-對付SQLInjection的"免費補洞策略"(微軟技術顧問黃忠成)

http://www.microsoft.com/taiwan/msdn/columns/huang_jhong_cheng/LVSS.htm

 

老掉牙的SQLInjection卻造成你的網站在裸奔(網路攻防戰OpenBlue)

http://anti-hacker.blogspot.com/2008/06/sql-injection.html

Posted: Jun 12 2008, 10:13 PM by alvinchen | with no comments
Filed under:
自訂 HTTP 404 的網頁錯誤
看膩了 "HTTP 錯誤 404 - 找不到檔案或目錄"?

來客製化吧! 


Customizable, search-enabled web error pages - Web Page Error Toolkit
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=deca3e03-4f93-46d1-affc-493c0e02eb63 


把不必要的流量,都導到搜尋引擎上面去吧!

 

Posted: Jun 09 2008, 07:37 PM by alvinchen | with no comments
Filed under: , , , ,
列出AD網域群組中的使用者名單
許多人都是用vbscript在此分享dsget的做法。
 
Dsget重點是在最後面的參數 
 
範例:Dsget group CN=群組名稱,OU=OU名稱,DC=網域,DC=com,DC=tw members  
 
 
如果想進一步簡化帳號的欄位,例如只顯示名稱,
那麼可導向並再次執行dsget,加上-display參數。 
 
範例:dsget group " CN=群組名稱,OU=OU名稱,DC=網域,DC=com,DC=tw" -members | dsget user -display 
Posted: Jun 08 2008, 01:21 AM by alvinchen | with no comments
Filed under: , , , , ,