易破解
给你所需要的内容YIPOJIE.CN!

微软发布 Excel 及 HTTP 协议堆栈远程代码执行漏洞补丁

易破解阅读(131)

近日,微软官方发布了Microsoft Excel远程代码执行漏洞(CNNVD-201806-800、CVE-2018-8248)及Microsoft Windows HTTP协议堆栈远程代码执行漏洞(CNNVD-201806-771、CVE-2018-8231)的公告。

成功利用Microsoft Excel远程代码执行漏洞的攻击者,能在当前用户环境下执行任意代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统。

Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 RT Service Pack 1、Microsoft Office 2013 Service Pack 1、Microsoft Office 2016、Microsoft Office 2016 Click-to-Run (C2R)等版本均受漏洞影响。

成功利用Microsoft Windows HTTP 2.0协议堆栈远程代码执行漏洞的攻击者,可在目标系统上执行任意代码,并控制该用户的系统。Windows 10、Windows 10 Version 1607、Windows 10 Version 1703、Windows 10 Version 1709、Windows 10 Version 1803、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server version 1709 (Server Core Installation)、Windows Server version 1803 (Server Core Installation)等版本均受漏洞影响。

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、 漏洞介绍

Microsoft Excel是美国微软公司为使用Windows和Apple Macintosh操作系统的电脑编写的一款电子表格软件。Microsoft Excel存在远程代码执行漏洞,该漏洞源于该软件未能正确处理内存中的对象,攻击者可通过向用户发送经过特殊构造的文件并诱使用户打开该文件,从而触发远程代码执行漏洞。

Microsoft Windows是美国微软公司研发的一套采用了图形化模式的操作系统。Windows中的HTTP协议是一种通信协议,即超文本传输协议。Microsoft Windows HTTP协议存在堆栈远程代码执行漏洞。该漏洞源于HTTP 协议堆栈未能正确处理内存中的对象,攻击者可以向目标http.sys服务器发送经过特殊构造的数据包,从而触发远程代码执行漏洞。

二、危害影响

Microsoft Excel远程代码执行漏洞。攻击者可以远程执行代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统,任意安装程序、更改或删除数据、创建管理员帐户等。该漏洞涉及了多个版本,Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 RT Service Pack 1、Microsoft Office 2013 Service Pack 1、Microsoft Office 2016、Microsoft Office 2016 Click-to-Run (C2R)等版本均受漏洞影响。

Microsoft Windows HTTP协议堆栈远程代码执行漏洞,攻击者可以在目标系统上执行任意代码,并控制该用户的系统。该漏洞涉及了多个版本,Windows 10、Windows 10 Version 1607、Windows 10 Version 1703、Windows 10 Version 1709、Windows 10 Version 1803、Windows Server 2016、Windows Server 2016 (Server Core installation)、Windows Server version 1709 (Server Core Installation)、Windows Server version 1803 (Server Core Installation)等版本均受该漏洞影响。

三、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施,微软官方链接地址如下:

1、Microsoft Excel远程代码执行漏洞(CNNVD-201806-800、CVE-2018-8248)补丁链接如下:

https://www.microsoft.com/en-us/download/details.aspx?id=57038

https://www.microsoft.com/en-us/download/details.aspx?id=57036

https://www.microsoft.com/en-us/download/details.aspx?id=57019

https://www.microsoft.com/en-us/download/details.aspx?id=57020

https://www.microsoft.com/en-us/download/details.aspx?id=57053

https://www.microsoft.com/en-us/download/details.aspx?id=57035

2、Microsoft Windows HTTP协议堆栈远程代码执行漏洞(CNNVD-201806-771、CVE-2018-8231)补丁链接如下:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284835

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284819

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284880

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284874

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284880

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4284860

AcFun泄露数千万条用户信息已在GitHub公布数据和密码

易破解阅读(276)

北京时间 6 月 13 日凌晨,AcFun 发布公告称网站遭遇黑客攻击,近千万条用户数据外泄。呼吁 2017 年 7 月 7 日之后从未登陆过的用户以及密码强度低的用户及时更改密码。如果在其他网站使用与 A 站相同的密码,也应及时修改,上一篇易破解提到做了一个详细的介绍 快手全资收购A站后AcFun受黑客攻击数据泄露在暗网售卖 

目前已经升级到了直接在全球最大的开源代码托管网站GitHub公开数据,北京时间 6 月 13 日 12:49,涉事人员继续发帖,称的确手握 AcFun 的 Shell 和数据,并要求 A 站及时回应,否则将分批公布这些用户数据(包括 Admin 的账号密码),帖子的大意是之前拿到数据后向 A 站反馈问题但是没有回应(仿佛传达了一种恨铁不成钢的情绪)。

ACfunSHELL,AcFun泄露数千万条用户信息已在GitHub公布数据和密码

关于ACfun的SHELL+数据库+内网权限网络安全人员进来看一下,扩散一下脂由agentK》

Sakurak今天想澄清一下,有关于ACfun的事情网络安全人员看到后请截图,以你们的方式向公网扩散

不错,ACfun的shell确实有一阵子在我们手下这次卖数据与shell的事件是由于我们多次向Acfun官方邮箱,[email protected]发信,无回信而造成的后果

作为一个多年的二次元爱好者,以及一个对信息泄露深恶痛绝的人。我也不希望曾经美好的A站就这么被我亲自毁掉,用户信息被滥用。
我们想与官方达成一致的共识,我们希望销毁这批数据,我们希望帮助A站度过近期的风波,让B站一直有一个竞争对手

今晚,我们将在Github上公布300条用户数据,向Acfun证明我们的实力。请及时留意,介时标题为:AC_300fun

6月15号,如果还是没有收到回复,我们将公布3000条

6月18号,如果还是没有收到回复,我们将公布10000条,包含admin用户

请ACfun言方及时回复我发给你们的邮件,至少发了10封了我们希望这件事情能够私了,A站能够正常运作,用户的隐私不受侵犯

2018年6月13 日16:25 更新

目前 GitHub 已经更新,相关人员发布了密码和手机号等信息。由信息可以看出,MD5 并没有加密,而且 AcFun 的登录页面没有 HTTPS,甚至直接被 Chrome 标记为不安全。

2018年6月13日19:00 更新

目前该老哥的 GitHub 账号已经删除了,数据是不用再等了,不知道还会不会有其他发展。总之趁这个机会去改一波密码然后把自己的密码分分类绝对不会错。

快手全资收购A站后AcFun受黑客攻击数据泄露在暗网售卖

易破解阅读(242)

2018年06月13日 00:16:07 AcFun受黑客攻击致用户数据外泄,快手全资收购A站后AcFun泄露数千万条用户数据,网站SHELL和内网权限在暗网售卖,目前官方已经发布公告呼吁 2017 年 7 月 7 日之后从未登陆过的用户以及密码强度低的用户及时更改密码。如果在其他网站使用与 A 站相同的密码,也应及时修改。AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。同时公告也提示用户,所有的密码都是经过加密的没有明文密码。2017 年 7 月 7 日之后登录过 AcFun 的用户密码自动升级为更强的加密策略,密码是安全的。但如果密码过于简单,也应尽快修改。

暗网已经在出售数据

根据可靠消息称,其实早在今年 3 月份,暗网论坛中就有人公开出售 AcFun 的一手用户数据,数量高达 800 万条,平均 1 元能买到 800 条。

快手全资收购A站后,AcFun受黑客攻击数据在暗网售卖

而在 AcFun 发布此次数据泄露公告之前,暗网中也早有人兜售其 Shell 和内网权限,主要卖点就是数据量大以及日流量高。

快手全资收购A站后,AcFun受黑客攻击数据在暗网售卖

这几个月,AcFun 先后出现资金链断裂的动荡,前段时间刚刚宣布被快手收购,这就出现了数据泄露,不知道中间是否另有隐情呢?

快手全资收购A站后,AcFun受黑客攻击数据在暗网售卖

以下是 AcFun 关于此次数据泄露事件的公告

尊敬的AcFun用户:我们非常抱歉,AcFun受黑客攻击,近千万条用户数据外泄。

如果您在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码。如果您在其他网站使用同一密码,也请及时修改。

AcFun在2017年7月7日升级改造了用户账号系统,如果您在此之后有过登录行为,账户会自动升级使用强加密算法策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。

这次重大事故,根本原因还在于我们没有把AcFun做得足够安全。为此,我们要诚恳地向您道歉。

接下来,我们会采取一切必要的措施,保障用户的数据安全。我们的措施包括但不限于:

1、强烈建议账号安全存在隐患的用户尽快修改密码。我们会通过AcFun站内公告、微博、微信、短信、QQ群、贴吧等途径提醒这部分用户,也请大家相互转告。对于未及时主动修改密码的存在隐患的账户,将会在重新登录访问时,被要求修改密码。

2、事发之后,我们第一时间联合内部和外部的技术专家成立了安全专项组,排查问题并升级了系统安全等级。

3、接下来,我们会对AcFun服务做全面系统加固,实现技术架构和安全体系的升级。

4、我们已经搜集了相关证据并报警。

后续,我们会与用户、媒体和各界保持信息的及时沟通。

最后,我们再次向您诚恳地道歉。未来我们要用实际行动把A站的安全能力建设好,真正让用户放心。

用户特别提示

1、泄露的用户数据包括哪些?

包含用户ID、用户昵称、加密存储的密码等信息。

2、用户被泄露的密码是明文密码还是经过加密的?

AcFun的所有用户密码都经过加密,没有明文密码。

3、2017年7月7日之后登录过AcFun的用户,需要修改密码吗?

这部分用户的密码自动升级为更强的加密策略,密码是安全的。但是如果您的密码过于简单,也建议修改密码。
4、2017年7月7日之后没有登录过AcFun的用户,该怎么办?

建议用户尽快修改密码,如果用户在其他网站使用同一密码,也请及时修改。AcFun会采取技术措施,这部分用户的账户在重新登录访问时,会被要求修改密码。

注册过该网站用户应尽快修改密码

密码泄露的风险众所周知。除了你在这个网站的所有信息一览无余,收藏的经典 av 号会暴露你的小爱好之外。攻击者还把你的信息纳入社工库,通过撞库来获取你在其他网站的密码或信息,进而实施钓鱼等一系列攻击,最终让你遭遇财产或者其他损失……

网红“商品藏隐患”发光饮料冒烟冰淇淋或有食品安全问题

易破解阅读(291)

暑期将至,一些受年轻人欢迎的“网红”吃喝玩层出不穷。比如“冒烟冰淇淋”、“发光饮料”、“发光泡泡气球”等网红商品更是受到孩子们的追捧,在实体店和网店都很热销。北京晨报记者调查发现,虽然“网红”商品价格不菲销量惊人,却存在安全上的风险,一些商品还属于“三无”。专业人士对此提醒,食品类商品需要认清食品饮品的原料等成分,更要考虑食用时的安全,玩具则务必要注意是否经过质监部门的检测。

网红“商品藏隐患”发光饮料冒烟冰淇淋或有食品安全问题

“网红”商品1

发光饮料冰块内含led灯

北京晨报记者来到了后海酒吧一条街,在酒吧中,有顾客拿着会发光的饮料坐在昏暗的屋内,十分显眼。记者看到,饮料有发蓝光、红光、彩色光的多种。不仅如此,一些饮料中的光还每隔三四秒闪一下。此外,记者看到,这种发光的饮料,被装在各种形状的杯子里面,商家给饮料也取了很多独特的名字如“清凉一夏”、“凉凉”、“蓝色妖姬”等等。记者看到,这种饮料一般售价在25元到45元不等,一些高端酒吧还能卖到五六十元的高价。

记者看到,饮料在一个方形的透明马克杯里,而其中在杯内发光的,则是饮料里漂浮着的冰块。冰块在饮料中闪着不同的色彩,不少追求潮流的年轻人都想一试。游客吴女士告诉记者,她和朋友各花了30元购买了这个饮料:“我买的这个叫做清凉一夏,饮料里面闪的是蓝色和黄色的灯光。说实话,我觉得味道很一般,就是汽水和一些糖浆,没什么特别。”她说,她们就是冲着好看买的。“网上很红的,我们看到很多人买,也就买了。而且这个饮料晚上拿在手里照相,感觉特别好看。”但是吴女士也表示,喝了一半才感到担心,“不知道饮料里的电池冰块安全不安全。”

记者在网上搜索发现,这块立方体类似于正方体的样子,长宽高大约都在二、三厘米左右,价格都在一两元钱,灯的外壳看起来很像是硬塑料。整个立方体都是半透明的,周边也没有明显的缝隙。不过在“冰块”的最底端,则有两个圆形的金属触头。那么,小灯泡放在饮料里安全吗?一名店主解释道:“你放心吧,我们这个一天卖出去那么多都没问题。”他说,“这个发光的小立方体其实就是一个led灯,都是密封的,放在饮料中不会漏,而且成分也都是无毒无害,可以泡在饮料中。现在饮料就是网红款,今年火起来的,卖的就是噱头,我也是今年夏天才开始卖不久。”

“网红”商品2

闪光气球商户自称填充氦气

说起网红气球,很多孩子家长并不陌生,透明气球外带一圈LED灯带,灯带末尾还连着一块小小电池盒,可以随时控制灯带,很受孩子们的喜欢。日前,北京晨报记者来到三里屯南区的广场上,晚上七八点,已经有三四位摊主在售卖网红气球,摆放在地面上的气球也有十几只。一名母亲带着一个小女孩来问价,最后以15元一个成交。母亲问摊主:“气球可以坚持多久?电池可以用几天?”摊主回答:“气球一般可以保持三四天不漏气,电池应该可以用十多天。小孩子玩的勤,可能电池也就能坚持一周吧。”就在半小时内,有四五名孩子家长为孩子买了网红气球。

记者看到,该气球上没有产品合格的标识,气球里是否属于氦气也不好辨别。“这些都是我从网上买来的,里面的氦气我也不知道是不是工业氦气,我卖了一百多个,没事的。”随后,记者在网上搜索“发光气球”,发现销售量比较多的几家店铺累计卖出了五六千件。一套发光气球包括了气球、灯泡、电线、开关等配件,其中一家标价“50元10个;300元50个”,平均下来一个气球的价格只要五六元。虽然销量很好,但是也有买家“吐槽”,“老是漏气,特别不禁玩”,还有人评价“电灯差点电着我”。

“网红”商品3

冒烟冰淇淋食用液氦搅拌奶油

“前天,我和孩子在南锣鼓巷逛街的时候,发现有个摊位上围满了人,摊位上方的招牌写着‘冒烟冰淇淋,你不能不吃’的招牌,摊位前很多人手里拿着一个冒着烟的小碗在吃。”市民苏女士反映,孩子看到后说这个冰淇淋在网上很火,一定要吃。“我挤上去买了一份,20元。只见卖家先把奶油倒入锅中,随即拿出一瓶液体,缓缓把液体倒入搅拌好的奶油中,只见锅中不断冒出白色烟雾,然后很快奶油就凝固了,整个过程非常快,还没等我反应过来,会冒烟的冰淇淋已经完成了。”苏女士说,后来她问了商家才知道,原来他倒进去的是食用液氦。“也不知道安全不安全,但是这东西到底能不能放在食物里啊?”

随后,记者来到南锣鼓巷,发现确有商家在出售液氦冰淇淋。很多摊位前还有人扮成小丑吸引路人,吃下这种冒烟冰淇淋,嘴巴和鼻子都能冒出烟雾,很吸引眼球。“味道一般,就是比较有趣。”一名初中生告诉记者,买来就是为了拍照炫耀,“我感觉凉烟从鼻子嘴里出来,很奇怪的一种感觉。”但记者发现,这种冰淇淋所用的液氦网上售价十分低廉,才几元一瓶。有卖家特意写出“并非工业液氦,安全可靠。”但是大部分产品仍没有生产厂家等基本信息。

医生说法

对“网红”产品千万多个心眼

发光饮料电池塑料外壳没保证

北京市急救中心刘医生表示,近来因为“网红产品”对孩子造成危害的案例屡见不鲜,希望家长们在给孩子购买“吃喝玩”的时候能够多个心眼。他表示:“饮料中的冰块灯,一般情况下,这种发光‘冰块’所采用的都是纽扣电池,所以一般电量都很低,只有1.5伏左右,人体触电所需电量是36伏,所以也不会造成触电等情况。不过因为这种灯的价格比较低廉,很有可能外壳塑料材料质量欠佳,被腐蚀性液体长期浸泡可能会产生一些有毒物质。”

闪光气球遇明火高温容易爆炸

对于网红气球,刘医生表示,气球的构造很简单:一个透明气球、一串LED灯带与三节电池,电池放在塑料盒子里,将电源直接与灯带相连,打开开关便可发出亮光。他说,不论是氦气球还是氢气球,遇到明火或高温都会发生爆炸。一旦引燃,气球塑胶熔化滴下的液体,如果粘在人体皮肤上会造成烫伤。“这些网红气球的透明材质为聚氯乙烯,一旦遇到打火机、烟头、暖炉、燃气灶等物品产生的高温或明火便会熔化,滴下的液体若不慎粘在人体皮肤上,会造成烫伤。此前,南京就发生过发光气球炸伤四人的事故,最严重的面部和四肢达到二级烧伤。伤者正是用烟头碰到了气球,引起了爆炸。孩子最好不要玩,家长也不要购买。”他说,“不管是什么玩具,在购买前,家长一定要查看质监部门的合格标志,没经过检查的玩具不要购买。”

冒烟冰淇淋曾导致过口腔受伤

最后,刘医生介绍,最近流行起来的“冒烟冰淇淋”也存在一定的安全隐患。冒烟冰淇淋的制作,是找一个金属容器,倒入牛奶、奶油、糖及调味料,然后一点一点加入液氮并不停搅拌,“其原理就是利用食品级液氮制冷,冰淇淋用液氮浸泡,与口腔发生接触时冒出烟气,这是很简单的物理现象。”液氮有将近零下两百摄氏度的温度,但是雾化非常快,雾化的液氮会在皮肤周围形成保护层,不至于受伤。但刘医生提醒,一些商家用冒烟作为噱头,忽悠孩子频繁购买食用,即便无毒副作用,但是大量吃冰淇淋对肠胃也是种刺激,而且“这种液氦冰淇淋,曾经发现有孩子食用后出现口腔受伤的情况,“总之,家长在购买时,最好看清楚食品饮品的原料等成分,要考虑食用时的安全系数。

欧盟新隐私法规GDPR,域名WHOIS将不在显示个人信息

易破解阅读(320)

2018年为加强如今信息大数据时代下的个人隐私保护,欧盟在近日正式实现了GDPR(General Data Protection Regulation,通用数据保护条例)欧盟新隐私法规GDPR域名WHOIS将不显示个人信息,域名信息查询默认会显示域名持有者的详细信息, 例如域名持有者注册域名时提供的姓名以及联系电话等等会给一些用户群体带来不需要的骚扰及麻烦,《通用数据保护条例》澄清并加强了现有的个人隐私权利,例如用户有权删除数据等等有效保护个人信息隐私安全。

欧盟新隐私法规GDPR,域名WHOIS将不在显示个人信息

违反GDPR隐私法

对于违反隐私法的企业,欧盟监管机构将可以获取该企业全年收入的4%作为罚金,或是直接处以2000万欧元(约2348万美元)的罚款。具体罚金数额取决于这两个数字哪个更高,这远超之前几十万欧元的罚金。

WHOIS不再显示持有人信息

ICANN在本月已经宣布《通用顶级域名注册数据临时政策细则》,该细则要求调整 WHOIS 公开显示的信息。

即注册商提供WHOIS查询服务时不再显示域名持有者提供的注册人、管理联系人以及技术联系人的个人数据。

新的临时政策细则为适应《通用数据保护条例》规定, 在查询域名注册信息时只会显示注册商及到期日期等。

域名隐私保护功能将被废止

对于域名持有人来说新的通用数据保护条例还会带来新福利, 即域名以后可能不再需付费购买隐私保护功能。

隐私保护功能原本就是为了隐藏域名持有人的公开信息的, 而现在域名行业也不得不遵守通用数据保护条例。

基于此原本公开显示的WHOIS信息隐藏后自然不再需要隐私保护功能,也不需要担心自己信息会被泄露出去。

域名隐私保护服务暂停通知

尊敬的客户:您好!

根据ICANN(互联网名称与数字地址分配机构)《通用顶级域名注册数据临时政策细则(Temporary Specification for gTLD Registration Data)》和欧盟通用数据保护条例(GDPR)合规要求,自2018年5月25日起,阿里云的域名WHOIS信息公开查询结果中将不再显示域名注册人/注册机构的名称,以及域名注册人/注册机构、管理联系人和技术联系人的联系信息。

鉴于以上调整措施生效后,域名注册信息将默认得到保护,阿里云域名隐私保护服务将自2018年5月25日起暂停服务。

多个国家超过50万台路由器和存储设备感染VPNFilter病毒

易破解阅读(280)

大约在咋晚这个时间左右思科公司发布安全预警称,俄罗斯黑客利用恶意软件VPNFilter病毒感染路由器和存储设备。

思科称已感染几十个国家的至少50万台路由器和存储设备,攻击中使用了高级模块化恶意软件系统病毒 VPNFilter  。

思科与多个部门及执法机构追踪研究,目前尚未完成但思科决定公布结果以便受害者及潜在受害者及时防御与响应。

多个国家超50万台路由器和存储设备感染VPNFilter病毒

思科结合该恶意软件近期的活动,Talos 团队认为俄罗斯是此次攻击的幕后主谋,因为 VPNFilter  恶意软件的代码。

与 BlackEnergy 恶意软件的代码相同,而 BlackEnergy 曾多次对乌克兰发起大规模攻击。思科发布的分析报告表明。

VPNFilter 利用各国的命令和控制(C2)基础设施,惊人的速度主动感染乌克兰境内及多个国家主机受到感染病毒。

预估至少有 54 个国家遭入侵,受感染设备的数量至少为 50 万台,受影响的设备主要有小型和家庭办公室(SOHO)

使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以 及 QNAP 网络附加存储(NAS)设备,受到病毒感染。

此攻击目标设备大多位于网络周界,无法利用入侵保护系统  IPS  或 AV 软件包等有效基于主机的防护系统进行保护。

目前还不清楚恶意软件利用哪些漏洞,不过可以确定的是被入侵设备大多都比较旧,因此攻击者容易利用漏洞入侵。

易破解提醒广大的各位网友

1. 如果已经感染恶意软件将路由器恢复出厂默认设置,以便删除可能具有破坏性的恶意软件,尽快更新设备的固件;

2. 对智能物联网设备的安全性保持警惕。为防止遭受这种恶意软件攻击,最好更改设备的默认凭证;

3. 如果路由器易受攻击且无法更新,最好直接丢弃并购买新的路由器,因为个人安全和隐私不比路由器贵重得多;

4. 注意为路由器设置防火墙,关闭远程管理功能。

关于HWIDGen 存在门罗币挖矿病毒Adylkuzz的一些看法

易破解阅读(1502)

HWIDGen 是一款超级强大的Windows 10 数字权利激活工具,什么是数字权利激活大家想必都知道就是微软的永久激活计划,易破解在某知名的论坛上面看见了有人说这个HWIDGen里面有门罗币的挖矿病毒Adylkuzz,Adylkuzz一款恶意软件,Adylkuzz软件并不会为受感染电脑的文件加密,然后要求用户支付赎金,而是利用受感染的电脑来“挖掘”虚拟门罗币。

Adylkuzz

苦逼易破解已经使用了并且激活为数字权利授权了,怎么办会不会电脑偷偷的挖矿吧,对此易破解在各大杀毒工具下面进行了查杀,包括各大知名的在线杀毒网站也进行了查杀尚未发现该病毒及变种,部分报毒为对脚本程序的误报,至少易破解使用的ES ET NOD32 查杀了无数次未发现病毒,怎么办易破解还是不放心。

据了解Adylkuzz病毒在2017年5月左右就已经被各大杀毒熟知,各大杀毒软件厂家也加入了该病毒的样本,易破解使用多个杀毒软件未杀出什么情况,也没有可疑情况可疑文件,不可能杀不出来吧。

对此易破解查找了相关资料,发现HWIDGen是一款在github开源的数字权利激活工具,这工具是AutoHotkey脚本,嵌入了微软的gatherosstate.exe和github开源的slshim32.dll然后生成的.exe文件。

最后贴上几个知名在线杀毒的杀毒报告

virustotal是一个提供免费的可疑文件分析服务的网站,它与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。

哈勃分析系统是 “腾讯反病毒实验室”自主研发的安全辅助平台。用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。

VirSCAN不能替代安装在您个人电脑中的杀毒软件,我们并不能实时的保护您的系统安全。我们只能帮助您判断您认为可疑的文件或程序,但我们不对所有杀毒引擎所报结果负责。就算所有的杀毒软件全部没有报告您上传的文件可疑时,也并不代表这不是一个新生的病毒、木马或者恶意软件。就算部分杀毒软件报告您上传的文件感染某某病毒、木马或者恶意软件,也并不代表您上传的文件一定有问题,因为这可能是某一款杀毒引擎的错误报警。

腾讯哈勃分析:https://habo.qq.com/HWIDGen v9.18_CN.zip

国外virustotal:https://www.virustotal.com/HWIDGen v9.18_CN.zip

VirSCAN杀毒报告:virscan.org/language/zh-cn/HWIDGen v9.18_CN.zip

推荐阅读:Win10 数字权利激活工具 HWIDGen 简体中文版

黑客利用 Drupal 漏洞来挖矿及传播远控,发送诈骗邮件!

易破解阅读(99)

Drupal CMS 是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框(Framework)共同构成,连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序,由于之前曝光的已知漏洞未及时修补,近期大批黑客利用Drupal CMS中的已知漏洞进行入侵,如Drupalgeddon2和Drupalgeddon3来传播挖矿软件、远程管理工具(RAT)和以技术支持为名的诈骗邮件。

Drupal,黑客利用Drupal CM漏洞来挖矿及传播远控,发送诈骗邮件

两个漏洞编号为CVE-2018-7600和CVE-2018-7602的远程代码执行漏洞之前已经被Drupal开发人员修复。

3月底,Drupal安全团队确认,CVE-2018-7600的“非常关键”漏洞(被称为Drupalgeddon2)会影响Drupal 7和8版本,团队宣布在3月28日发布安全更新。

这个漏洞的发现者是Drupal开发人员Jasper Mattsson发现。

Drupal 8.3.x和8.4.x版本都已经没有了官方支持,但由于漏洞非常严重,Drupal安全团队决定发布更新,专家把它称为Drupalgeddon2。

黑客利用该漏洞进行大肆攻击

安全专家们为了教育目的在GitHub上发布了Drupalgeddon2的PoC,黑客们于是就开始了他们的攻击。

安全公司发现,黑客们已经开始利用这个漏洞在网站上安装恶意软件,主要是挖矿软件。

SANS专家报告了几次攻击,他们发现了一个挖矿软件,一个PHP后门和一个用Perl编写的IRC机器人。

4月底,Drupal团队修复了一个新的非常关键的远程代码执行漏洞(名为Drupalgeddon 3),适应的版本号为7.59,8.4.8和8.5.3。

同样,黑客也在利用CVE-2018-7602劫持服务器并安装挖矿软件。

Drupal CM,黑客利用Drupal CM漏洞来挖矿及传播远控,发送诈骗邮件

Malwarebytes的专家对涉及Drupalgeddon2和Drupalgeddon3的攻击进行了分析,发现大多数被攻击的Drupal网站运行的是7.5.x版本,大约30%的用户运行7.3.x版本,这个版本最近一次的更新是在2015年8月。

“几乎有一半被我们标记为沦陷的网站运行的是Drupal 7.5.x版本,而7.3.x版本仍然约占30%,考虑到它的最终更新是在2015年8月,这个比例相当高。在那之后已经出现了大量的安全漏洞。

超过80%被攻击的网站被运行了挖矿软件,其中Coinhive仍然是最受欢迎的软件,其次是公共或私人的Monero池。

值得注意的是,大约12%的攻击会把远控软件或者密码窃取器伪装成网页浏览器更新,而技术支持的欺诈邮件占到客户端攻击的近7%。

CNNVD通报手机程序第三方解压缩库输入验证安全漏洞

易破解阅读(89)

近日,国家信息安全漏洞库(CNNVD)收到关于手机程序第三方解压缩库输入验证安全漏洞(CNNVD-201805-440)情况的报送。成功利用该漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。目前,相关厂商暂未发布解决方案,但可通过临时解决措施缓解漏洞造成的危害。

CNNVD通报手机程序第三方解压缩库输入验证安全漏洞

一、漏洞介绍

手机程序第三方解压缩库输入验证安全漏洞存在于使用了第三方解压缩库的应用中。漏洞源于手机程序中的第三方解压缩库,在解压zip压缩包时并未对“../”进行过滤。手机程序在调用第三方解压缩库解压zip压缩包时未对解压路径进行检查,当从不安全的来源获得zip格式压缩包文件并解压缩时,如果该zip压缩文件被劫持插入恶意代码,可能导致任意代码执行。

二、危害影响

成功利用漏洞的攻击者,可以远程读取应用数据、甚至执行任意代码,具体危害与受影响应用的功能和权限相关。iOS平台内置第三方解压缩库(经验证,包括但不限于SSZipArchive和ZipArchive两种库)的应用均可能受漏洞影响,安卓平台中使用第三方解压缩库进行解压缩的应用,如果没有对解压缩路径进行检查的可能也会受到漏洞影响。

三、修复建议

目前,相关厂商暂未发布解决方案,但可通过临时解决方案缓解漏洞造成的危害,具体措施如下:

1.在解压缩时对最终路径做“../”文件名和符号链接的过滤。 2.使用 https 下载资源,或者对下载的文件进行校验防止被恶意修改。

CNNVD简介

国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。经过几年的建设与运营。

CNNVD在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持。通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,经过多年的收录工作。

CNNVD已收录信息技术产品漏洞信息九万余条,信息系统相关漏洞信息十万多条,漏洞信息覆盖国内外主流的应用软件、操作系统和网络设备等,涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业。

随着CNNVD漏洞库漏洞数量不断扩大、影响力逐步提升,目前成为收录漏洞数目最多、漏洞属性最全、内容质量最高的国家级信息安全漏洞库。

FileTour 恶意病毒木马伪装成 Cloudflare 页面偷偷挖矿

易破解阅读(133)

FileTour是一种广告软件,通常作为游戏和其他软件的破解或欺骗手段传播。这个软件包是界定于广告软件和PUP以及更危险的计算机感染类型(如密码窃取木马和矿工)之间,也因此而臭名昭著。

此广告软件包可以创建Windows自动运行,当用户登录到Windows时,它会自动启动Chrome并连接到浏览器内的挖掘页面。更糟糕的是,用户并不能直接发现这些操作。

FileTour 恶意病毒木马伪装成 Cloudflare 页面偷偷挖矿

FileTour恶意病毒使用chrome以不可见的状态打开,无需GPU硬件加速,可以在端口9222上启用远程调试,偷偷在后台以70-80%的CPU利用率进行疯狂挖矿。

浏览器挖矿页面页面假装为Cloudflare验证页面

虽然大多数人不会在正常浏览器窗口中实际查看正在打开的网站,但我当然会看一看。有趣的是,这个页面假装是一个Cloudflare反DDoS验证页面,要求访问者确认他们是人类。

FileTour 恶意病毒木马伪装成 Cloudflare 页面偷偷挖矿

即使此页面看起来像合法的Cloudflare验证页面,单击此复选框也不会执行任何操作。此外,源代码清楚地显示CoinCube脚本正在加载,这不是Cloudflare正在做的事情。

挖矿软件正在成为一种流行病,而浏览器内置矿工的行为也会越来越猖獗。因此,用户通过安装防病毒软件来保护自己是非常重要的,这些防病毒软件可以检测浏览器何时连接到CoinCube等已知的挖掘服务。

不幸的是,新浏览器挖矿行为不断涌现,它已成为安全行业的重头戏。因此,您安装的软件可能无法检测与新的浏览器内矿工关联的网址或脚本。

要增加进一步的保护,您可以在Chrome中使用NoCoin,这会阻止浏览器内挖掘脚本。

NoCoin程序:Google Chrome版Mozilla Firefox版Opera 版 (以上链接均指向对应浏览器商店)