“IE7 CSS 0day”漏洞攻击页面系金山造假

uiejgds

11月23日，金山公司宣称第一时间拦截了“IE7 CSS 0day”漏洞攻击，并公布一张拦截挂马网页的截图。360安全专家指出，金山所公布的拦截挂马截图是由金山公司模拟黑客攻击而造假虚构出来的。
360安全专家分析说，“IE7 CSS 0day”是IE解析特殊的CSS样式表造成的内存异常，其运行后崩溃的内存地址过高，并且不能任意控制EIP寄存器顺利执行Shellcode，目前网上流传的攻击代码也根本不能成功执行Shellcode造成攻击，并不会真正对网民造成危害。
微软在其安全公告（977981）中也指出，目前网上并未出现利用“IE7 CSS 0day”挂马的网页，也尚未发现该漏洞被成功利用的案例。而国内漏洞研究最权威的flashsky也撰文称，在中文XP SP3操作系统IE7下这个漏洞很难被利用。
而对于金山在其新闻稿中贴出的截图，360安全专家认为，这只是金山假设黑客会解决内存地址过高的问题，并利用部分静态特征实现了截图中对0day漏洞挂马的拦截效果，从该截图中挂马网页的网址来看，挂马攻击是在内网测试环境下虚构的，而非金山公司发现了真正的网马样本。也就是说，现实中没有这种挂马网页，是金山的员工模拟黑客制作挂马攻击页面，这是一种对网民极度不负责任的做假行为。

图片说明：请注意域名 http://xxx xx xx xx/exp/ie7.html 这分明不是黑客习惯使用的挂马网页，而是金山公司的测试机（注 exp代表漏洞利用代码）

金山是靠下面这段静态特征拦截的这个漏洞，只是抽取了http://www.yxlink.com/txt/2009/11/yxlink_sec_ie7_poc.txt
中的几个字符串进行拦截。
<SCRIPT>
shellcode
unescape("%u9090%u9090");
while
0x40000
</script>

将上面的代码写入记事本，保存为HTML文件，可以实现金山帖子里的那个拦截效果。在新闻中，金山软件拦截的网页木马，原来是自己制造的。

11月23日，金山安全专家、金山毒霸新闻发言人李铁军在其新浪微博上也发布了这张所谓的金山拦截IE新漏洞攻击的图片（其中文字为李铁军所加）。而这张图片，也再次证明了金山官方发布的所谓IE漏洞挂马攻击的截图，完全是金山公司自己制造的木马攻击的虚假页面。由此我们可以想象一下，金山公司每天发布的挂马播报有几篇是真实的呢？



说明：李铁军新浪微博地址：http://t.sina.com.cn/litiejun

chenlaosan

这个讲不清楚   狗咬狗 一嘴毛的