這個原因是 Avira 的 ProActiv 今天(5/15/2012) 異常.. 暫時的解決方法如下:

• 關閉 ProActiv, 設定畫面 PC protection 裡的 Realtime Protection -> ProActiv
• 將被攔截的檔案加到 ProActiv 的允許清單, 設定畫面 PC protection 裡的 Realtime Protection -> ProActiv -> Application filter -> Allowed

5/16/2012 更新: 已修正, 執行產品更新即可.

解決隨身碟病毒的 Patch – KB971029
Update to the AutoPlay functionality in Windows

上週 (2011/28) Microsoft 終於提供此程式用於 WSUS 的檔案. 換句話說, 有使用 WSUS 的客戶, 如果還未安裝此程式, 現在可以提供透過 WSUS 強迫所有電腦安裝, 避免電腦遭受採用 AutoRun 機制的病毒透過隨身碟身碟感染. WSUS 預設並沒有 KB971029, 要手動從 Microsoft Update Catalog 匯入, 並核淮安裝.

NOD32 病毒碼版本 5509 誤判 Windows XP SP3 中文版 (不確定還有沒有其他的版本受影響) 的 C:\Windows\system32\imm32.dll 這個檔案, 已經通知原廠處理. 在尚未修正之前, 請暫時採用下列方法處理:

單機版用戶:

開啟 NOD32 畫面, 按 F5 進入設定視窗. 選左邊的 “排除”, 然後按右邊下面的 “新增”, 然後在 排除(E): 下方的欄位輸入 c:\windows\system32\imm32.dll 然後按 “確定”

企業版用戶:

1. 開啟 RA Console, 隨便選一台 Client, 按右鍵, 選 New Task, 再選 Configuration Task. 然後按 “Create” 按鈕開啟 “ESET Configuration Editor”..

2. 選擇 ESET Smart Security, ESET NOD32 Antivirus -> ESET Kernel -> Setup -> Exclusions -> Exclusions

3. 按右邊的 Edit.. 在 New item 下方輸入 c:\windows\system32\imm32.dll 然後按 “OK”

4. 關掉 ESET Configuration Editor 這個視窗.. 會出現 “Do you want to save marked items before returning to the console?” 回答 “是(Y)”.. 然後按 “下一步”..

5. 將左邊的 All Clients 加到右邊.. 再按 “下一步”

6. 視窗下方二個小方框打勾, 按 “完成”.. 即可.

另外, 在此問題修正之前, 而且在明天還沒上班之前, 可以先將 ESET RA HTTP Server 這個服務手動停止, 並將啟動類型改為 “停用”.. 這樣尚未更新到的電腦就不受影響.

原本 Windows 對各式的磁碟機都有自動播放的功能 (根目錄建立 autorun.inf 檔案), 此修正程式改為自動播放功能只限 CD/DVD, 所以隨身碟病毒就無法透過 autorun.inf 提供的機制來啟動, 即隨身碟根目錄如果存在 autorun.inf, 無論是從我的電腦裡點開隨身碟的磁碟機, 或者按右鍵選開啟, 都不會觸發病毒的執行. 詳細的資訊及修正程式的下載網址請參閱 這裡.

原則上, 我們並不建議任何軟體新版本推出時, 立刻就更新. 但是如果已經推出一段時間, 就應該考慮升級了, 特別是防毒軟體.

我用的某某防毒軟體能不能偵測這個惡意程式?

在回答這個問題之前, 請先試著思考下列幾個問題?

• 惡意程式會不會有變種? 就算如新聞所說, 該防毒軟體能偵測到某某惡意程式, 但能保證改版之後的惡意程式, 一樣能偵測到嗎?
• 同樣的漏洞, 有沒有可能被不同的病毒作者利用? 如果答案是肯定的, 不同作者寫出的病毒, 會有相同的特徵嗎?
• 假設防毒軟體無法偵測新聞裡提到的惡意程式, 那您能做什麼? 以及您願意做什麼?

原則上, 本文一開始提到的問題, 我認為沒什麼意義. 我們必須認清一個事實, 沒有一個防毒軟體可以百分之百偵測到全世界各地已經出現的惡意程式, 更不用說未來會出現的惡意程式. 所以除非有明確的樣本, 否則我們要如何確認防毒軟體可不可以偵測呢?

如果您真的關心惡意程式的問題, 看到這類的新聞之後, 不是要問您的防毒軟體能不能偵測, 而是要盡快檢查該更新的修補程式是否已經安裝, 甚至平時就應該做這些事. 不只是這次新聞所提到的 Excel, 很多軟體都有可能造成這類的問題, 前陣子的 Acrobat Reader, 甚至從我們的 AVLog 所收集到的資料來看, 更多是利用 Flash Player 的 Bug. 既然問題是某個軟體漏洞造成的, 將漏洞修補才是從根本解決的方法. 否則, 就算防毒軟體可以偵測到某個惡意程式, 您的電腦還是有可能受到惡意程式的影響, 舉例來說, 最近這幾個月, 也許有些人的電腦一直出現防毒軟體偵測到 C:\Windows\system32\x

最後, 也許就是有人看了這種新聞之後, 執意想知道防毒軟體能不能偵測到新聞所提到惡意程式, 那我簡單的回答是: 可以. (不管您用的是什麼防毒軟體, 反正這種問題的答案沒辨法驗證, 不是嗎?)

更新: Google 的說明

OK, 所以這是受到攻擊?

我直覺認定並不是, 又不是拍電影, 哪能隨隨便便就受到攻擊. 不過, 大膽假設, 還是得小心求證, 才能找到真正的問題. 許多人遇到問題的習慣是, 腦海裡先浮現某個答案, 然後便陷在這個框框裡, 而完全忽略了其他的可能性. 如果一開始方向就錯了, 那就要花更多時間才能找到答案. 甚至不管方向是否正確, 仍堅持只要自己想要的答案, 那更是解決不了問題.

回到問題, 首先我觀察這部 Server 的運作情形, 執行的處理程序, 網路的連線狀況, 並未發現任何的異常. 持續觀察 SMTP 連線的狀況一段時間, 也沒有異常. 既然是 SMTP Server 所以隨時有來自世界各地的 SMTP 連線, 也是很合理的. 但客戶提到, 並不是整天都會發生異常大量的連線, 而或造成無法收、發信件, 因此也可以假設, 在我監看這部電腦的時候, 剛好沒有客戶所稱的 “攻擊” 行為.

另外客戶有提到, 這個問題一天之內, 有可能發生二、三次. 那是否有可能剛好是有大量的信件寄進來? 看起來不是, 因為這部電腦的 SMTP Server 本身有統計每天進出的信件數量, 從數字來看, 信件並不算多. 既然信件量不是非常大, 那為什麼 SMTP 的連線數會到數百, 而且發生問題時, 並不只有短暫的幾分鐘. 或許這就是問題的徵結.

既然問題可能出在 SMTP Server 本身, 因此我嚐試從別的電腦發出 SMTP 連線的請求, 從 SMTP Server 的反應來看, 開啟 SMTP 連線到結束, 都如預期般的反應, 也不會讓連線數持續大量增加, 所以也印證前面的假設, 不是大量的信件同時進來造成的. 那如果是不正常的 SMTP 連線呢? 例如: port scan 之類的動作, 針對這部 Server 的 25 port 發出探測的封包, 結果會如何? 結果發現, 這套 SMTP 軟體, 在收到非正常 SMTP 的 port scan 這種掃描時, 該連線就會持續很長的時間, 因此, 如果有來自世界各地的電腦對這部 Server 的 25 port 送出類似 port scan 的封包時, 它的連線數就會持續增加, 而且增加到大約二、三百以上時, Client 就開始發生連不上的情形. 整個狀況完全和客戶所描述的相同, 我想這就是答案了.

當一台電腦放到 Internet 上之後, 免不了就會有無聊人士過來敲敲門, 如果這樣就影響到正常的運作, 這樣的系統似乎太脆弱了. 但這是被攻擊嗎? 算得上是不當的行為, 但還談不上是攻擊吧.

其實我想說的是, 常常某個狀況發生時, 我們就認定是病毒的傑作, 或者是被入侵了, 被攻擊了… 答案還未知前, 當然可以假設任何的可能性, 但真正還是要用開放的態度來找答案, 這樣才能解決問題.

在 關於 Avira 台灣代理商之真相 – 1 一文中, 我們已經解釋了代理和經銷的不同. 接下來, 我們來檢視祺荃企業有限公司在 關於 Avira 台灣代理商之真相 – 0 這篇文章中留言提到的三項他們認為足以證明其為 Avira 台灣總代理的證據.

第一項證明, 在 Avira 原廠網站的 Partner Locator 網頁中, 選擇 Taiwan 之後, 可以看到該公司的資料. 第二項證明, 該公司網站提供原廠發的一份文件. 這二項證據是相同的, 表示該公司為原廠認可的 Security Solution Partner. 但這能證明該公司就是 Avira 台灣代理商嗎? 當然不行, Security Solution Partner 並不是代理商的意思. 那有沒有可能 Avira 並沒有 Distributor 這種稱呼? 沒錯, 是有可能 Avira 不採用 Distributor 來表示代理商. 但很不幸地, 這個假設並不成立, Avira 原廠的 Partner Locator 就可以證明 Avira 有 Distributor 的名稱, 舉例: 在 Partner Locator 網頁選擇 Australia, 就可以看到旁邊的 Logo 出現 Distributor, 證據在此, 證明 Avira 原廠確實有 Distributor. 由此可知, 祺荃企業有限公司自稱其為 Avira 台灣總代理根本是欺騙消費者.

接下來, 我們還是用祺荃企業有限公司所謂的證據 Partner Locator 來說明, 試問所有列在 Partner Locator 都是代理商嗎? 有興趣的人不妨在 Partner Locator 選 Germany, 看一下這裡有多少公司列在上面. Avira 自己不算, 大約有 90 家. 因為 Avira 總公司在德國, 所以我們可以合理想像, Avira 在德國的市佔率很高, 但市場有大到需要 90 家代理商嗎? 想也知道不可能. 所以奉勸祺荃企業有限公司別再用錯誤的資訊來誤導消費者了, 這種欺騙的行為實在是很差勁的.

祺荃企業有限公司提供的第三點資料是要我們去向原廠查證, 不好意思, 我們真的問過 Avira 原廠. 部分信件內容如下: Avira 回信的內容.

我們不必妄自菲薄, 但也別太自以為是. 原廠給個 Reseller 或 Security Solution Partner 的授權, 並不是什麼大不了的事, 別過度自我膨脹, 甚至幻想自己的身分特殊. 沒見過外面的世界, 才會以為世界就是眼中所見的這麼一點大.

以上, 祺荃企業有限公司提供的三項證據都無法證明其為 Avira 台灣總代理, 那真相是什麼? 真相是祺荃企業有限公司根本不是 Avira 台灣代理商, 如此大膽敢公然欺騙消費者. 連代理商都不是, 那就更不用提他自稱的 Avira 台灣總代理了.