席克資訊

所有的防毒軟體在偵測到惡意程式時, 都會留下記錄. 如果是企業的版本, 更是會將所有的記錄集中到中央主控台. 但是這些記錄有什麼作用? 或者常常有人問, 如何知道哪些電腦是有中毒的?

首先, 必須要知道所有的病毒記錄都是過去式, 而且防毒軟體不可能百分之百偵測到這個世界上所有的惡意程式. 常有人問, 某一筆記錄是表示什麼意思? 記錄註明的動作是刪除、隔離或者未處理… 那到底病毒是否還存在? 其實很簡單, 防毒是動態的, 不必在乎過去防毒軟體看到什麼, 或者做了什麼動作, 只有一個關鍵, 同樣的事件是否重覆發生. 試想, 如果防毒軟體持續重覆偵測到某個檔案, 那即使記錄上註明該檔案已經被刪除, 又有什麼義意?! 所以從時間軸來看, 而不要侷限在某個點上面. (more…)

為了讓我們的客戶更容易使用 Saber, 新版 Saber 做了以下調整:

• 直接提供 EXE 檔案, 可直接執行, 不必先行解壓縮. 而且會在桌面上建立 Saber 的捷徑, 方便下次可以使用. 在一般的情況下, 我們希望這個 EXE 的版本, 可以讓一般的 User 自己就可以執行, 而不必要 MIS 人員幫忙.
• 從版本號碼 66 開始, 程式可以自動升級. 換句話說, 如果下次執行時, 已經有新版本, 程式會自動更新, 並執行新版本. (當然必須是網路連線正常的情況下) 但是, 如果您是使用 66 之前的版本, 而且程式無法更新到最新的版本, 請從我們的網站重新下載 Saber.

(more…)

無意中, 在某個網站看到一個連結, 點進去之後, 看到如下的網頁 (部分內容經馬賽克處理), 心想又是什麼好看的影片… 不過這個 YouTube 影片的位置, 怎麼和平常不太一樣, 看起來是要下載一個 ActiveX 元件… 基於直覺反應, 該不會是惡意程式吧. 果不其然, 下載回來測試之後, 確實是惡意程式. 難道 YouTube 被入侵了嗎? 當然不是, 仔細一看, 這個網頁的網址是 hxxp://xxxxx-tube.com/xxxxxx (x 為實際網址經過馬賽克處理), 原來是一個仿 YouTube 的網站.
(more…)

今天接到一位客戶的反應, 某部電腦開啟工作管理員、regedit 或某些特定的程式, Windows 會立刻登出, 回到登入的畫面.

經過檢查之後, 發現看起來是很平常的惡意程式, 在登錄檔 Run 新增一筆 Virus 的機碼 (有點納悶, 取這麼明顯的名稱, 是刻意想讓人看出來嗎?), 另外也改了 Userinit 的值.. 開機後會執行一個名為 Mixa 的處理程序. 另外, 也具有現在最流行的隨身碟病毒的特徵.
(more…)

現今的企業環境, 幾乎都部署了防毒系統。但是防毒系統並不完美, 因此電腦即便已經安裝了防毒軟體, 也不表示電腦是安全的, 所以究竟企業內是否有電腦受到病毒的感染, 而防毒系統並未加以排除呢?

大多數的 IT 人員都很重視病毒的問題, 但在我們協助客戶處理病毒的過程發現, 某些受到病毒感染的電腦, 並未被發現, 也未被處理。可能原因很多, 例如: IT 人員工作繁忙, 無法抽空仔細檢查病毒的記錄或者木馬的潛伏性極佳, 使用者並未察覺某些跡象是惡意程式造成的…
(more…)

最近幾天 E-mail 收到不少蠕蟲寄來的信件, 部份信件主旨如下:

主旨: Your ecard greeting is available.
主旨: Check out your ecard.
主旨: Ecard greeting inside!
主旨: You have an ecard
主旨: Your ecard greeting is available.

信件內容是簡短的一句英文, 最後面是 http://xxx.xxx.xxx.xxx/ (xxx.xxx.xxx.xxx 是 IP) (more…)

情人節病毒又來囉.. 今天陸續收到一些有問題的信件, 某些信件的主旨如下:

• I Like You
• Lovetrain
• World Love
• Val-ANT-ines
• You Stay In My Heart
• Poem About Us

信件內容是一句簡短的英文, 後面接著 http://aaa.bbb.ccc.ddd/ (IP 不固定), 連上後會出現下面其中一個圖, 然後自動下載 valentine.exe
(more…)

MSN 收到有人傳來 PrivatePhoto2008.zip (裡面是 Image78145-2008.jpg_www.MsnMessenger.scr) 別開啟, 這是 MSN 木馬 Happy2008 的變種。另外也可能收到部分下列的訊息:

Hey,Did you hear? Osama bin laden is alive! :S
Hey, Have u seen this? Osama Bin laden is alive:S
Oh my good, see this dude!
Hi, can i use theese on myspace?
Hey, see this!!

不小心執行的話, 請執行 Saber。或者重新開機一次, 就可以了。(看起來似乎是程式設計上的 Bug, 或者是故意的?! 不得而知…)

這個惡意程式的樣本在: 這裡 和 這裡

2008/1/4 14:40 VirusTotal 檢測的結果: 這裡 和 這裡

新的一年又來了, MSN 木馬也送來了它的祝福, 如果您收到 Photos1-2008.zip (裡面是 photo151.JPEG_www.HappyNewYear.com), 或伴隨部分下列的訊息:

Hey, Can i put theese on facebook?
Hi, have u seen my New Year pics yet? if not, this you gotta see!
Hi, this you gotta see!
Hey, Some pics from New Year at my place
Hey, happy New year, heres some pics from New Year!

千萬別執行… 萬一不小心執行了, 請執行 Saber

這個惡意程式的樣本在: 這裡 和 這裡

聖誕節來了, MSN 上面的親朋好友免不了傳來一些祝福, 惡意程式當然也不會在這個重要的節日缺席. 如果您從 MSN 收到有人寄來 Christmag-2007.zip 的檔案, 千萬別打開執行, 以免中 MSN 木馬. 萬一不小心執行了, 請執行 Saber

這個惡意程式的樣本在: 這裡 和 這裡