BabyCrazy Is On The Move - I like Sliverlight,网站优化

“广告宣传单983040”（Win32.Troj.Autorun.ex.983040），这是一个木马程序变种。病毒运行后会关闭瑞星、卡巴斯基、360安全卫士等安全软件的进程。另外，病毒尝试将自身写入IE保护工具白名单，并自动点击指定网站来增加访问，它还会进行利用QQ窗口传播病毒信息、删除系统中用于存放网页地址数据的hosts文件等破坏活动。
“传奇盗号木马9900”（Win32.Troj.LmirT.by.9900），这是一个针对网络游戏《传奇》的盗号木马程序。它会强行关闭系统中的杀毒软件，并绕开游戏密保，然后盗取游戏的账号和密码。
一、“广告宣传单983040”（Win32.Troj.Autorun.ex.983040） 威胁级别：★
病毒进入系统后，首先将自己的病毒文件ridiap080124.exe复制至%WINDOWS%\system32\目录下，并在系统盘中生成四个病毒文件，分别是%WINDOWS%\目录下的ie.ini，%Documents and Settings%\All Users\「开始」菜单\程序\启动\目录的word.lnk，%WINDOWS%\system32\目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后，病毒就建立批处理程序，把自己的原始文件删除，使用户无法发现病毒源。
病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动，然后查找“瑞星”和“卡巴斯基”等的警告窗口，如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe，在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。
解决掉安全软件后，病毒尝试将自身伪装成Browser Helper Objects的进程（微软IE浏览器对第三方程序员开放交互接口的业界标准），并将自己添加到IE保护工具白名单中，删除系统中用于记录网址的hosts文件，为自己接下来的破坏行为铺平道路。
如顺利完成以上工作，病毒便连接木马种植者指定的地址，获取一份网址信息，自动登录其中的网站，为它们增加访问和“贡献”流量。同时，它还会利用QQ窗口传播包含病毒信息的消息，扩大自己的传播范围。
二、“传奇盗号木马9900”（Win32.Troj.LmirT.by.9900） 威胁级别：★★
病毒进入用户的电脑系统后，在系统盘%WINDOWS%目录下释放出病毒文件192896M.exe和192896MM.DLL，并修改系统注册表，把自己设置为随系统启动而自动运行。
当病毒运行起来，会迅速查找毒霸、卡巴斯基、瑞星、360安全卫士等安全软件的进程，发现后将它们强行中止。然后在后台连接http：//www.f**3.com：7*7/这个地址，下载一个名为MyUnBoundMB.uib的文件。这个动作对病毒的作案比较重要，因为该文件可帮助病毒绕开游戏密保的保护。
随后，病毒将之前生成的192896MM.DLL注入到系统桌面进程explorer.exe中，查找网络游戏《传奇》的进程。如果找到，就注入其中，通过读取游戏内存的方法获得账号密码，并通过网络发送到木马种植者指定的地址，使用户遭受虚拟财产的损失。
金山反病毒工程师建议
1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。
 

受影响系统：
Microsoft Outlook Express 6.0 SP1
Microsoft Outlook Express 6.0
Microsoft Outlook Express 5.5 SP2
Microsoft Windows Mail
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID： 25908
CVE(CAN) ID： CVE-2007-3897
Outlook Express和Windows Mail都是Windows操作系统所捆绑的邮件和新闻组客户端。NNTP（网络新闻传输协议）是用于读取和张贴Usenet文章的协议。
Windows Mail和Outlook Express在处理NNTP回复时存在堆溢出漏洞，恶意NNTP服务器可能利用此漏洞控制用户系统。
如果服务器返回了多于客户端所请求的数据，就可能将攻击者可控的值储存到所分配的内存范围之外，覆盖控制结构，导致执行任意指令。
<*来源：Greg MacManus
链接：http：//secunia.com/advisories/27112/
http：//www.us-cert.gov/cas/techalerts/TA07-282A.html
http：//www.microsoft.com/technet/security/Bulletin/MS07-056.mspx？pf=true
http：//labs.idefense.com/intelligence/vulnerabilities/display.php？id=607
*>
建议：
--------------------------------------------------------------------------------
临时解决方法：
* 禁用新闻协议处理程序。请将以下文本粘贴于记事本等文本编辑器中，然后使用.reg文件扩展名保存文件：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\news\shell\open\command]

@=“”
[HKEY_CLASSES_ROOT\snews\shell\open\command]

@=“”

您可以通过双击此.reg文件将其应用到各个系统，还可以使用组策略跨域应用该文件。
* 删除Outlook Express或Windows Mail客户端中所有已注册的新闻帐户。
1. 在Windows Mail或Outlook Express中，选择“工具”菜单，然后选择“帐户”
2. 选择一个新闻帐户，然后依次单击“删除”、“确定”或“是”
3. 对所有新闻帐户重复步骤2
厂商补丁：
Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS07-056）以及相应补丁：
MS07-056：Security Update for Outlook Express and Windows Mail (941202)
链接：http：//www.microsoft.com/technet/security/Bulletin/MS07-056.mspx？pf=true
 
 

受影响系统：
Microsoft Windows XP SP2
Microsoft Windows Vista
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID： 25974
CVE(CAN) ID： CVE-2007-2228
Microsoft Windows是微软发布的非常流行的操作系统。
Windows系统在处理RPC认证时存在漏洞，远程攻击者可能利用此漏洞导致系统拒绝服务。
漏洞具体存在于RPC运行时库rpcrt4.dll解析RPC级认证消息期间。在解析认证类型为NTLMSSP且认证级别为PACKET的报文时，如果验证尾部签名被初始化为0而不是标准的NTLM签名，就会出现无效的内存引用。成功利用这个漏洞可能导致RPC服务及整个操作系统崩溃。
<*来源：ZDI （http：//www.zerodayinitiative.com/）
链接：http：//secunia.com/advisories/27153/
http：//marc.info/？l=bugtraq&m=119205438510634&w=2
http：//secunia.com/advisories/27134/
http：//www.us-cert.gov/cas/techalerts/TA07-282A.html
http：//www.microsoft.com/technet/security/Bulletin/MS07-058.mspx？pf=true
*>
建议：
--------------------------------------------------------------------------------
临时解决方法：
* 在防火墙处阻止以下内容：

UDP端口135、137、138、445；TCP端口135、139、445、593

端口号大于1024的端口上的所有非法入站通信

任何其他特殊配置的RPC端口

* 使用个人防火墙。
* 在支持高级TCP/IP过滤功能的系统上启用此功能。
* 通过在受影响的系统上使用IPSec来阻止受影响的端口。

厂商补丁：
Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS07-058）以及相应补丁：
MS07-058：Vulnerability in RPC Could Allow Denial of Service (933729)
链接：http：//www.microsoft.com/technet/security/Bulletin/MS07-058.mspx？pf=true
 
 

受影响系统：

Microsoft Windows XP SP2

Microsoft Windows Server 2003 SP2

Microsoft Windows Server 2003 SP1

Microsoft Windows 2000SP4

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID： 25909

CVE(CAN) ID： CVE-2007-2217

Microsoft Windows是微软发布的非常流行的操作系统。

Windows中的柯达图像查看器处理特制图像文件的方式中存在内存破坏漏洞，远程攻击者可能利用此漏洞通过诱使用户处理畸形数据控制用户系统。

攻击者可以通过构建特制图像来利用此漏洞，如果用户访问网站、查看特制电子邮件或者打开电子邮件附件，该漏洞可能允许远程执行指令。成功利用此漏洞的攻击者可以完全控制受影响的系统。

<*来源：Cu Fang

Rita Schappler

链接：http：//secunia.com/advisories/27092/

http：//www.microsoft.com/technet/security/Bulletin/MS07-055.mspx？pf=true

http：//www.us-cert.gov/cas/techalerts/TA07-282A.html

*>

建议：

--------------------------------------------------------------------------------

临时解决方法：

* 以纯文本格式阅读电子邮件可帮助保护您自己免受来自HTML电子邮件攻击媒介的攻击。

* 修改oieng400.dll上的访问控制列表：

1. 以拥有管理员特权的用户身份登录。

2. 单击“开始”，单击“运行”，键入cmd，然后单击“确定”。

3. 记下文件上的当前 ACL（包括继承设置），以便将来必须撤消此修改时作为参考。要查看ACL，请键入以下内容：

cacls “C：\winnt\system32\oieng400.dll”

4. 要拒绝“everyone”组访问该文件，请在命令提示符处键入以下内容：

cacls “C：\winnt\system32\oieng400.dll” /E /D Everyone

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS07-055）以及相应补丁：

MS07-055：Vulnerability in Kodak Image Viewer Could Allow Remote Code Execution (923810)

链接：http：//www.microsoft.com/technet/security/Bulletin/MS07-055.mspx？pf=true

1月29日消息，携程旅行网因在宣传中使用“规模最大”“中国领先”等宣传用语，被同行北京黄金假日旅行社有限公司以不正当竞争等名义告上法庭。昨天，双方在东城法院组织下进行了证据交换。

黄金假日公司的总经理钱宇来到法庭参加诉讼。他告诉记者，携程主要存在两个方面的问题：第一，携程没有互联网信息服务和旅游业务的行业许可证，却经营信息服务和旅游业务，属于非法经营。另外，携程在会员手册和公司网站中，宣称“行业内规模最大的统一机票预订系统”、“中国最大的电子旅游商务网站”、“中国领先的宾馆预订”等，这种“最大的”、“领先的”等夸大性宣传用语，形成了对同业竞争者的排挤，构成不正当竞争。因此黄金假日公司要求法院判令携程停止不正当竞争，在媒体公开道歉，并赔偿黄金假日公司损失1万元。

其实，早在2004年，钱宇就曾对以上两点进行了公开质疑，并针对这两点进行了一系列的诉讼。2005年3月，携程开始起诉黄金假日，指责钱宇的说法对公司声誉造成影响。两家公司在上海、天津、河北有过诉讼。上海高院在判决中各打五十大板，认为双方都存在不正当竞争行为。目前，在河北的相关案件已经上诉到最高院。

此次东城法院的诉讼中，携程网表示，“携程”曾经在2006年获得上海市著名商标。在数据统计和媒体报道中，携程网也是国内最大的电子旅游商务网站，并不存在虚假宣传。携程还表示，该案在上海和河北等地已有起诉，属于重复诉讼。但黄金假日公司称侵权发生地不同，因此可以再诉讼。

昨天，法官要求携程将以前审理过的内容进行整理。对于非法经营一节，法官当庭告知黄金假日公司，此请求不是法院处理范围，要求黄金假日向相关行政管理部门反映。钱宇则说，他曾分别向国家旅游局和上海通信管理局反映携程非法经营，但两家机构都没有进行处理。

1月29日消息，因靠病毒软件盗取银行一用户48万元，近日，黑龙江省某大学学生郭某(男，1986年出生)，和同伙孙某(男，1989年出生，山东省某县农民)被朝阳区检察院以盗窃罪提起公诉，此案已被朝阳法院受理。

朝阳区检察院经审理查明，郭某和孙某通过视频聊天结识后，于2006年12月，分别于大庆市和上海市两地的网吧，通过“灰鸽子”病毒软件下载电子银行证书，记录银行账号、密码，盗取了北京张先生两张中国建设银行银行卡内人民币483083.82元。其后，被告人郭某用盗取的近30万元钱购买游戏点卡，在互联网上销售，后两被告将所得款分花。

1月29日消息，去年年底，一家著名门户网站遭遇黑客攻击，导致该网站托管在北京、天津、济南、广州机房的服务器全部瘫痪，造成经济损失19万元人民币，百万网民浏览该网站受到影响。昨天，北京警方宣布，经过40天侦查，在大连警方的协助下，成功破获了该起案件，两名黑客在大连落网。

去年12月4日，该网站接到了一个“特殊要求”，一名网友向网站索要号码吉利或便于记忆的“ID靓号”。该要求被网站拒绝。随后，一个网名为“一网打尽狂”的黑客向该门户网站托管在北京、天津等地的服务器展开大规模攻击，造成经济损失19万元人民币，约有100余万网民受到了不同程度的影响。

该网站随即报警。
接到报案后，北京警方立即组成专案组展开调查。在大连警方的协助下，民警很快查明黑客的真实身份。该黑客为辽宁省大连市人，名叫张波，年仅23岁。

同时，专案组发现，张波还有一个同伙叫王冬波，为辽宁省鞍山市人，网名叫“小虾米”。民警锁定，两人经常在大连市八一路附近的暂住地或网吧上网。1月16日下午，专案组民警在大连市张波的暂住地将其抓获，同时起获了用于黑客攻击的电脑。数小时后，张波的同伙王冬波也落入法网。与此同时，另一路负责取证的民警将两名嫌疑人在某机房租用的12台服务器进行了查扣。
 
张波交代，他利用个人电脑在暂住地远程登录托管在某机房的服务器，随后使用攻击软件指挥被控制的数百台电脑对目标服务器发动攻击。

民警告诉记者，被张波控制用来攻击的电脑被圈内人士称为“肉鸡”。黑客可以在互联网上通过木马程序远程控制这些电脑并发出指令，攻击想要攻击的电脑或服务器，使之死机或瘫痪。

目前，两名嫌疑人因涉嫌破坏计算机系统信息安全罪被刑事拘留。

警方提示

民警提醒网民，一旦个人的电脑中了木马病毒成为“肉鸡”，不仅储存的个人信息会泄露，更会被黑客操纵成为攻击其它电脑或服务器的工具。网民应让操作系统一直保持更新，保证较高安全设置，同时不要随意下载来源不明的文件，避免登录色情、赌博等小网站；对陌生人发来的邮件保持警惕，不打开或直接删除是最明智的选择；此外，网民还应该安装正版的杀毒软件和防火墙，并及时更新病毒库。
 
 

1月29日消息，国家计算机病毒应急处理中心通过对互联网的监测发现，互联网上很多使用动态网页技术制作的论坛存在大量的漏洞。恶意攻击者可以利用这些漏洞来攻击论坛，并获取论坛的管理权限。

恶意攻击者一旦获取管理权限，就可以在论坛网页上安装恶意木马程序或者盗取论坛用户的密码信息。如果计算机用户浏览了这些论坛网页就可能会被恶意木马程序入侵感染，使计算机系统无法正常使用。
 
专家建议：计算机用户在上网浏览时务必不要随意点击不明的网页或程序地址链接；浏览论坛时，务必打开计算机系统中防病毒软件的“网页监控”功能；及时下载安装操作系统浏览器的补丁程序，将浏览器的安全属性值设为“中级”。
 
 

1月28日消息，在现代社会，人类与网络依赖程度与日俱增，这也意味一旦网络遭遇攻击，我们的生活受到冲击的风险越大。美国中央情报局日前透露，在美国以外的国家发生了黑客入侵水电公共设施网络并导致几个城市停水断电的案件。

据英国《每日电讯报》1月26日报道，在新奥尔良召开的程序控制安全峰会（Process ControlSecuritySummit）上，CIA高级分析师汤姆？多纳休说：“根据我们从美国外的几个地区得到的情报，公共设施系统遭入侵后，接着就有人向当局提出了勒索。”
多纳休没有指明遭遇此类案件的国家和案发及持续时间，但他透露，其中至少有一起供能中断事件影响了几个城市。虽然CIA也不清楚作案人的身份和动机，但他们都是通过互联网侵入公共设施系统的，其中一些案件不排除有人提供“内部消息”。类似模式的“网络勒索”案可以追溯到六七年前，当时黑客通过攻击网络博彩业的网站来向对方敲诈金钱。
报道称，控制发电厂、供水厂和化工厂等公共设施的数据采集监控报警系统（SCADA）主要依靠互联网运行，一旦遭到黑客甚至是恐怖分子攻击，后果将不堪设想，但各国政府对这种风险显然还知之甚少。美国调查人员已经发现了无数的匿名刺探行为，主要是针对有关美国的紧急电话系统、供水网络和电网等基础设施的关键部分。美国国土安全局去年3月还举行了名为“极光发电测试”的“网络演习”，测试SCADA系统应对攻击的防御能力。
***针对公共设施的网络入侵案
·1989年，末日黑客组织控制了美国南方贝尔（BellSouth）公司的电话系统，可以像技术人员那样窃听电话、进行网络路由调用。
·1998年3月，美国马萨诸塞州的一位少年通过侵入贝尔大西洋公司(（BellAtlantic）电话公司的网络，切断了对当地机场空中交通管制塔台的重要服务，导致该机场引导飞机降落的控制系统失灵6小时。
·2000年，一名澳大利亚人利用网络、无线电台和盗窃的控制软件，将100万公升的污水排放到昆士兰州的河流与沿海水域中，以报复当地政府拒绝聘用他。此前他45次尝试进入控制系统都遭败绩，但第46次却成功了。
·2003年，位于美国俄亥俄州的一家核电站被一种名为“监狱”的蠕虫病毒袭击，其安全监控系统因此瘫痪了整整5小时。据悉，由于网络及通讯线路的安全漏洞，“监狱”病毒得以穿过防火墙并获得了使用权限。

1月28日消息，白天貌似一个正常的网站，到了深夜就组织人在网上进行淫秽色情视频表演。这个名为“黑眼睛娱乐网”的网站近日被公安机关关闭，组织网上淫秽色情表演的“主持人”也被判刑。

2007年4月17日，重庆市公安局网监总队接到群众举报称，“黑眼睛娱乐网”涉嫌组织淫秽色情视频表演。经过警方调查发现，“黑眼睛娱乐网”设有大量视频聊天室，每个聊天室都有所谓“主持人”，在深夜组织人进行点对点、点对多点的淫秽色情表演。“黑眼睛娱乐网”由于开办不久，为了聚集人气，无需注册就可以登陆浏览，因此社会危害性更大。深夜进行淫秽色情表演时，“黑眼睛娱乐网”的在线人数超过1000人。

民警奔赴深圳、成都、福建、内蒙古、武汉等地，分别抓获淫秽表演的组织者康某、齐某、刘某。2007年12月12日，齐某、刘某分别被重庆渝北区人民法院判处有期徒刑一年六个月，并处罚金1000元。康某因身体健康原因被取保候审。