<![CDATA[Messages posted by "Look2Me"]]> /hvaonline/posts/listByUser/128376.html JForum - http://www.jforum.net Các anh chị giúp em về tình trạng dis mạng với /hvaonline/posts/preList/34932/214545.html#214545 /hvaonline/posts/preList/34932/214545.html#214545 GMT Xuất hiện mã khai thác lỗi zero-day của FireFox 3.6 /hvaonline/posts/preList/33379/205673.html#205673 /hvaonline/posts/preList/33379/205673.html#205673 GMT FeedDemon Buffer Overflow Vulnerability - Bkis FeedDemon Buffer Overflow Vulnerability Nguồn: http://security.bkis.vn/?p=329 General Information FeedDemon is known as the most popular Windows RSS Reader which allows users to view and manage easily RSS feeds from their desktop. In January 2009, SVRT-BKIS detected a buffer overflow vulnerability in this software. Taking advantage of this flaw, hackers can perform remote attacks, install viruses, steal private information, and even take control of users’ systems. We have sent the alert to the manufacturer. Details SVRT Advisory SVRT-02-09 CVE reference Initial vendor notification 01-21-2009 Release Date 02-05-2009 Update Date 02-05-2009 Discovered by Le Nhat Minh (SVRT-Bkis) Security Rating Critical Impact Remote Code Execution Affected Software FeedDemon (version <= 2.7) Technical Description The vulnerability was found in the processing of OPML (Outline Processor Markup Language) file, which is an XML format for outlines used by RSS reader to store and manage RSS feeds. With OPML, users can easily share their RSS feed lists with others or export these lists to use in other RSS feed readers. However, FeedDemon does not handle this format well enough, which leads to buffer overflow flaw. More precisely, the error occurs when users import an OPML file, whose “outline” tag has a too long “text” attribute. FeedDemon, on parsing this file, will crash; and if malicious code is embedded into that file, it will be executed and give hackers system control. Exploitation can be carried out via a file stored on victims’ computers or simply a link to such file. It is this factor that increases the threat of users’ computers being attack remotely. Feed-Demon-Import The feed list Import function contains a buffer overflow error and poses a thread of remote attack if the content of website_demo has malicious code Taking advantage of the above vulnerability, a hacker might prepare a malicious OPML file, and somehow trick users into importing it. He/she might send the file to users directly or send them a link to that file instead. Right after users have imported the file, malicious code will be executed and they will become hacker’s victims. Solution Rating this vulnerability high severity, and due to the fact that the manufacturer hasn’t released any official patch for it. Bkis recommends that users of FeedDemon should be careful when importing RSS feed lists from untrustworthy sources. SVRT-Bkis Hôm này vào milw0rm thấy có link đến bài này nên post lên. http://milw0rm.com/exploits/7995]]> /hvaonline/posts/preList/27648/169104.html#169104 /hvaonline/posts/preList/27648/169104.html#169104 GMT Re: Hỏi : Lỗi " Cannot load library " ở Firefox 2.0.0.12 "

bebadboy87 wrote:


Đây anh. nó hiện thường xuyên nên cũng dễ chụp. 
Bạn click cái cái: Click here rồi chụp ảnh lên đây để mọi người cùng giải quyét.]]>
/hvaonline/posts/preList/19538/147547.html#147547 /hvaonline/posts/preList/19538/147547.html#147547 GMT
Re: (Báo Động Đỏ) Lỗi bảo mật DNS đặc biệt nghiêm trọng , mọi người chú ý /hvaonline/posts/preList/23739/144210.html#144210 /hvaonline/posts/preList/23739/144210.html#144210 GMT virut ''ckvo.exe''

cuonganhchi wrote:
mấy bạn bày mình cách diệt virut''ckvo.exe'' cái được hem.Mỗi lần khởi động máy,thì máy tính hiện lên cửa sổ có thông báo lỗi là ''ckvo.exe-Aplication Error''.mình đã cài win nhưng nó vẫn hiện.Dùng BKAV diệt thì vẫn còn ,chỉ biết bó chiu thoai :-( :-( :x  
Câu trả lời chính xác đây nè: Virus đã bị diệt rồi. Sở dĩ có báo lỗi vậy là do còn key khởi động của virus. Lúc Windows khởi động lên, không tìm thấy file virus để chạy nên báo lỗi. Tóm lại: 1. Máy bạn đã được diệt virus. 2. Bạn có thể dùng hijackthis hoặc tay để fix keyrun. Nếu không thì chịu khó cứ để cái thông báo lỗi đó. Không có sao hết. PS: À bạn có thể vào regedit để search ckvo.exe. Xóa key hoặc sửa key đó còn tùy thuộc vào key gì. Nói chung nếu bạn ko rành thì kô nên làm theo cách này. Mấy bạn khác đừng phán lung tung loạn cho bạn ấy. Chúc thành công. Hết.]]>
/hvaonline/posts/preList/23783/143465.html#143465 /hvaonline/posts/preList/23783/143465.html#143465 GMT
Re: (Báo Động Đỏ) Lỗi bảo mật DNS đặc biệt nghiêm trọng , mọi người chú ý /hvaonline/posts/preList/23739/143463.html#143463 /hvaonline/posts/preList/23739/143463.html#143463 GMT Re: Virus chặn không cho vào internet

cuongzin wrote:
Mình thấy hiện nay nhiều người cũng bị dính con này mà chưa ai biết cách khắc phục. Hiện tượng khi nhiễm Virus này hình như là không tạo được Socket, khi Ping ra ngoài vẫn có tín hiệu Reply nhưng cạnh địa chỉ ping đến sẽ bị đổi thành chữ "oy" như hình dưới.
Các bạn có thể tham khảo bài của Lãng Khách phát hiện đây là con "Infostealer.Gampass" .mình thử làm theo nhưng không thấy khả quan lắm nên vẫn phải làm lại máy nhanh hơn. http://www.vnpower.org/forums/Dinh-nay-ping-van-duoc-nhung-khong-vao-duoc-mang-t44343.html 
Hi guy! Lý do của hiện tượng trên là do virus inject vào LPS. Cách sửa (dĩ nhiên là sau khi đã diệt virus). Bạn có thể dùng LPSfix tool của CEXX.org để fix hoặc có 1 cách là: Bạn vào xóa 2 key sau: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2] (Đừng ngạc nhiên nhé). Khởi động lại máy. Bật IE vào HVA nói tán gẫu thôi ;-) ]]>
/hvaonline/posts/preList/23008/142318.html#142318 /hvaonline/posts/preList/23008/142318.html#142318 GMT
Re: Trang web chứa mã nguồn mẫu có lỗ hổng bảo mật /hvaonline/posts/preList/23485/141755.html#141755 /hvaonline/posts/preList/23485/141755.html#141755 GMT Re: Trang web chứa mã nguồn mẫu có lỗ hổng bảo mật

TQN wrote:
Còn 1 cách để tìm hiểu về exploit mà tui đang thường dùng là: 1. Turn on AutoUpdate của Windows 2. Sau khi install 1 update nào đó của Windows, nếu thích thú về lỗi security của update đó, search trên mạng các mô tả về security, exploit của update đó. 3. Get PDB symbols cho các dll, sys hay exe trước và sau update, dùng Symchk trong WinDbg Tools. File sau khi update (còn gọi là Patched) nằm ở chổ cũ, vd System32, file trước khi update (Pre-Patched) thì nằm trong Windows\xxx gì đó\KBxxx (để Windows uninstall update). Tui thường xóa đi các thư mục này sau khi đã copy lại các file muốn xem, rồi vào Add/Remote panel xóa luôn. 4. IDA 2 file đó, apply PDB symbol đã lấy về. 5. Dùng các tool/plugin compare như BinDiff, PatchDiff2, EBDS... để compare hai IDA compare, tìm ra chổ MS coder đã đổi code. 6. Tái tạo lại source C/C++ ban đầu, bằng tay hay HexRays. Đến đây ta sẽ hiểu rõ hơn về bug của update đó. Chứ đọc chay mô tả bug trên mạng không hiểu đâu. Trong đề tài của cậu mà đưa được cái này vào thì sẽ có giá trị hơn đó. Từ không source -> pesudo source -> bug. PS: À, nhớ chọn cái patch nào nho nhỏ thôi, chứ chọn patch mà gồm 1 đống dll thiệt bự cỡ 500 KB trở lên thì tìm ra cũng mờ mắt luôn đó. Đọc ASM code không hiểu được nữa thì code 1 program nho nhỏ, gọi chính dll đó. Cái Pre-Patched dll có thể copy vào thư mục của app luôn, khi run nó sẽ run code trong prepatched dll, còn không copy thì sẽ run code trong patched dll (Có nhiều cách để chỉ run prepatched dll khác). Dùng các debugger như OllyDbg, WinDbg, IDA... để debug.  
Hi TQN! Quả thật không phải lúc nào đọc mấy cái advisory cũng ra được do đó con đường này là một hướng tất yếu phải đi. Mình cũng đã từng theo hướng của bạn nhưng tiếc là không thành công lắm. T_T Để lần này thử cái PatchDifff xem như thế nào. Mục 3 của bạn cũng rất có ích với tôi . Trước mình toàn phải cài một bản windows sạch rồi cho update lên. Hơi mất công. Không biếc TQN đã làm được nhiều lỗi theo cách như thế này chưa vậy?]]>
/hvaonline/posts/preList/23485/141699.html#141699 /hvaonline/posts/preList/23485/141699.html#141699 GMT
Re: dt.tongji.yahoo.com /hvaonline/posts/preList/23470/141546.html#141546 /hvaonline/posts/preList/23470/141546.html#141546 GMT Re: Học C, VC hay Java? /hvaonline/posts/preList/22167/135766.html#135766 /hvaonline/posts/preList/22167/135766.html#135766 GMT Re: WinHeal Utilities 1.3 Final - Dọn dẹp hậu quả virus - Bảo mật hệ thống /hvaonline/posts/preList/21915/135761.html#135761 /hvaonline/posts/preList/21915/135761.html#135761 GMT Re: Máy tính bị xâm nhập mà BIT và Zone Alarm ko phát hiện được /hvaonline/posts/preList/22574/134441.html#134441 /hvaonline/posts/preList/22574/134441.html#134441 GMT Re: Reverse Engineering - Một nghề hay chỉ là một thú vui ?

TQN wrote:
Học phí học 3 ngày về RE ở Hàn Quốc, theo tui biết trên mạng là 1200USD. Ở VN ta chắc chưa có nghề RE, vì các công ty bảo mật chưa có hoặc chưa quan tâm đến nó. RE chỉ dừng ở mức độ thú vui. Để tui post thông tin về một yêu cầu tuyển dụng cho các bạn tham khảo: for a company in Chennai, TamilNadu,India Exp: 2-8 years in Reverse Engineering, Viral File Analysis Desired Profile: 1. Expertise with Disassemblers and Animated/Realtime Debuggers 1. Experience with (IDA, SoftICE, OllyDBG, WinDBG, GDB) is required. 2. IDA/SoftICE/OllyDBG experience is preferred. The candidate must be familiar with stepping through a binary and doing predictive analysis. 2. Must be well versed in x86 Assembler 1. Advanced Researchers will be required to read, understand, and code x86 assembly. All candidates must be able to alter binaries at runtime. 2. Advanced Researchers must have experience analyzing common en/decryption algorithms at an assembly level. 3. Advanced Researchers must be familiar with Object Oriented calling conventions and looping constructs within x86 assembly. 4. Advanced Researchers must be familiar with Programming languages that use an Intermediate Language. 3. Must have an in-depth knowledge of Window System internals 1. Advanced Researchers must be well versed in the Win32 kernel. 2. Advanced Researchers are required to have working knowledge of Windows API’s and expected returns within a Realtime debugging environment. 4. Must be familiar with predictive analysis and binary alteration 1. Advanced Researchers must be able to predict binary function flow at an assembly level. 2. Advanced Researchers must be able to alter assembly code in order to deviate execution flow of an application. Candidates must be familiar with altering executable assembly code in order to 1. Bypass anti debugging techniques. 2. Bypass limited environment operation variables 3. Prevent premature function exits 4. Alter stack variables 5. Disrupt self(mutation/obfuscation/encryption) algorithms 5. Must have expertise in identifying common Malware coding techniques and an assembly level 1. Anti Debugging techniques 2. Common Encryption/Decryption routines 3. Thread management 4. Malicious residency (survive reboot) 5. Rootkit behaviors Urgent Requirements please forward your references also.  
Toàn những mảng mình thích :)) Tiếc là mình vẫn còn kém quá .. #:S Ở VN thuê RV thì chỉ toàn crack này crack nọ thôi, chán ghê T_T]]>
/hvaonline/posts/preList/22511/134116.html#134116 /hvaonline/posts/preList/22511/134116.html#134116 GMT
Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? /hvaonline/posts/preList/22478/133916.html#133916 /hvaonline/posts/preList/22478/133916.html#133916 GMT Re: Muốn biết trong hệ thống mạng của mình có bao nhiêu HUB/SWITCH /hvaonline/posts/preList/22481/133913.html#133913 /hvaonline/posts/preList/22481/133913.html#133913 GMT Re: Học C, VC hay Java? /hvaonline/posts/preList/22167/133662.html#133662 /hvaonline/posts/preList/22167/133662.html#133662 GMT Re: ?? CHMOD chống shell r57 ??

khigiadano wrote:
Có cách nào search Shell nhanh gọn ngay trên host ko nhỉ ?? 
Đc, mãi mới thấy hỏi đc câu hay :D Tiếc là tớ ko có biết câu trả lời. Nhưng tớ nghĩ chắn chắn là có vì bạn đã dần hiểu đc bản chấn của vấn đề rồi: Bạn thử với các từ khóa: detech webshell, detect web backdoor xem ntn :))]]>
/hvaonline/posts/preList/22396/133659.html#133659 /hvaonline/posts/preList/22396/133659.html#133659 GMT
Re: Thắc mắc: Virus làm Task Manager im re,msconfig ko chạy được? /hvaonline/posts/preList/22407/133480.html#133480 /hvaonline/posts/preList/22407/133480.html#133480 GMT Re: máy tính bị nhiểm spyware nặng, cách khắc phục win sau khi quét.

Ikut3 wrote:
Bạn khởi động máy bình thường .Cho đĩa Win vào .Sau khi vào hệ thống vào Run gõ câu lệnh .Xong 
Kinh nghiệm của tôi cho biết: Không thể chữa spyware bằng cách cài repair Windows. Bạn đừng phí thời gian. Hãy thử dùng các chương trình diệt spyware xem sao: SpySweeper, Adware SE ...]]>
/hvaonline/posts/preList/22404/133472.html#133472 /hvaonline/posts/preList/22404/133472.html#133472 GMT
Re: gỡ virus đính kèm vào file /hvaonline/posts/preList/22322/133424.html#133424 /hvaonline/posts/preList/22322/133424.html#133424 GMT Re: gỡ virus đính kèm vào file /hvaonline/posts/preList/22322/133275.html#133275 /hvaonline/posts/preList/22322/133275.html#133275 GMT Re: Trang Web của VTC có Virus???? /hvaonline/posts/preList/22150/132105.html#132105 /hvaonline/posts/preList/22150/132105.html#132105 GMT Re: Trang Web của VTC có Virus???? /hvaonline/posts/preList/22150/132036.html#132036 /hvaonline/posts/preList/22150/132036.html#132036 GMT Re: [Thảo luận]: Storm worm botnet /hvaonline/posts/preList/22151/132028.html#132028 /hvaonline/posts/preList/22151/132028.html#132028 GMT Re: AntiDebug (ForVirus) http://virusvn.com/forum/showthread.php?t=54  Thấy bạn only1bit có vẻ mất phương hướng quá mình có một gợi ý nhé. Bây giờ bạn hãy thử viết một đoạn code kiểm tra xem có các chương trình như: Ollydbg, windbg, sòtice, IDA ... đang chạy trong hệ thống hay không. Nếu có thì rẽ sang một nhánh khác hoặc kết thúc ctrình. Nếu không thì tiếp tục :) Đây không phải là kỹ thuật gì cao siêu cả nhưng nó đúng là: Anti-Debug đó, hiện nay vẫn được sử dụng khá nhiều và hiệu quả. Bạn cứ thử hoàn thành đi rồi tớ sẽ đưa ra thêm một vài cải tiến. Good luck!]]> /hvaonline/posts/preList/21735/132017.html#132017 /hvaonline/posts/preList/21735/132017.html#132017 GMT Re: Trang Web của VTC có Virus???? http://virusvn.com/forum/showthread.php?t=152]]> /hvaonline/posts/preList/22150/131814.html#131814 /hvaonline/posts/preList/22150/131814.html#131814 GMT Re: Làm sao để lấy địa chỉ IP thực của người gửi email /hvaonline/posts/preList/21409/131384.html#131384 /hvaonline/posts/preList/21409/131384.html#131384 GMT