原本 Windows 對各式的磁碟機都有自動播放的功能 (根目錄建立 autorun.inf 檔案), 此修正程式改為自動播放功能只限 CD/DVD, 所以隨身碟病毒就無法透過 autorun.inf 提供的機制來啟動, 即隨身碟根目錄如果存在 autorun.inf, 無論是從我的電腦裡點開隨身碟的磁碟機, 或者按右鍵選開啟, 都不會觸發病毒的執行. 詳細的資訊及修正程式的下載網址請參閱 這裡.

原則上, 我們並不建議任何軟體新版本推出時, 立刻就更新. 但是如果已經推出一段時間, 就應該考慮升級了, 特別是防毒軟體.

我用的某某防毒軟體能不能偵測這個惡意程式?

在回答這個問題之前, 請先試著思考下列幾個問題?

• 惡意程式會不會有變種? 就算如新聞所說, 該防毒軟體能偵測到某某惡意程式, 但能保證改版之後的惡意程式, 一樣能偵測到嗎?
• 同樣的漏洞, 有沒有可能被不同的病毒作者利用? 如果答案是肯定的, 不同作者寫出的病毒, 會有相同的特徵嗎?
• 假設防毒軟體無法偵測新聞裡提到的惡意程式, 那您能做什麼? 以及您願意做什麼?

原則上, 本文一開始提到的問題, 我認為沒什麼意義. 我們必須認清一個事實, 沒有一個防毒軟體可以百分之百偵測到全世界各地已經出現的惡意程式, 更不用說未來會出現的惡意程式. 所以除非有明確的樣本, 否則我們要如何確認防毒軟體可不可以偵測呢?

如果您真的關心惡意程式的問題, 看到這類的新聞之後, 不是要問您的防毒軟體能不能偵測, 而是要盡快檢查該更新的修補程式是否已經安裝, 甚至平時就應該做這些事. 不只是這次新聞所提到的 Excel, 很多軟體都有可能造成這類的問題, 前陣子的 Acrobat Reader, 甚至從我們的 AVLog 所收集到的資料來看, 更多是利用 Flash Player 的 Bug. 既然問題是某個軟體漏洞造成的, 將漏洞修補才是從根本解決的方法. 否則, 就算防毒軟體可以偵測到某個惡意程式, 您的電腦還是有可能受到惡意程式的影響, 舉例來說, 最近這幾個月, 也許有些人的電腦一直出現防毒軟體偵測到 C:\Windows\system32\x

最後, 也許就是有人看了這種新聞之後, 執意想知道防毒軟體能不能偵測到新聞所提到惡意程式, 那我簡單的回答是: 可以. (不管您用的是什麼防毒軟體, 反正這種問題的答案沒辨法驗證, 不是嗎?)

更新: Google 的說明

OK, 所以這是受到攻擊?

我直覺認定並不是, 又不是拍電影, 哪能隨隨便便就受到攻擊. 不過, 大膽假設, 還是得小心求證, 才能找到真正的問題. 許多人遇到問題的習慣是, 腦海裡先浮現某個答案, 然後便陷在這個框框裡, 而完全忽略了其他的可能性. 如果一開始方向就錯了, 那就要花更多時間才能找到答案. 甚至不管方向是否正確, 仍堅持只要自己想要的答案, 那更是解決不了問題.

回到問題, 首先我觀察這部 Server 的運作情形, 執行的處理程序, 網路的連線狀況, 並未發現任何的異常. 持續觀察 SMTP 連線的狀況一段時間, 也沒有異常. 既然是 SMTP Server 所以隨時有來自世界各地的 SMTP 連線, 也是很合理的. 但客戶提到, 並不是整天都會發生異常大量的連線, 而或造成無法收、發信件, 因此也可以假設, 在我監看這部電腦的時候, 剛好沒有客戶所稱的 “攻擊” 行為.

另外客戶有提到, 這個問題一天之內, 有可能發生二、三次. 那是否有可能剛好是有大量的信件寄進來? 看起來不是, 因為這部電腦的 SMTP Server 本身有統計每天進出的信件數量, 從數字來看, 信件並不算多. 既然信件量不是非常大, 那為什麼 SMTP 的連線數會到數百, 而且發生問題時, 並不只有短暫的幾分鐘. 或許這就是問題的徵結.

既然問題可能出在 SMTP Server 本身, 因此我嚐試從別的電腦發出 SMTP 連線的請求, 從 SMTP Server 的反應來看, 開啟 SMTP 連線到結束, 都如預期般的反應, 也不會讓連線數持續大量增加, 所以也印證前面的假設, 不是大量的信件同時進來造成的. 那如果是不正常的 SMTP 連線呢? 例如: port scan 之類的動作, 針對這部 Server 的 25 port 發出探測的封包, 結果會如何? 結果發現, 這套 SMTP 軟體, 在收到非正常 SMTP 的 port scan 這種掃描時, 該連線就會持續很長的時間, 因此, 如果有來自世界各地的電腦對這部 Server 的 25 port 送出類似 port scan 的封包時, 它的連線數就會持續增加, 而且增加到大約二、三百以上時, Client 就開始發生連不上的情形. 整個狀況完全和客戶所描述的相同, 我想這就是答案了.

當一台電腦放到 Internet 上之後, 免不了就會有無聊人士過來敲敲門, 如果這樣就影響到正常的運作, 這樣的系統似乎太脆弱了. 但這是被攻擊嗎? 算得上是不當的行為, 但還談不上是攻擊吧.

其實我想說的是, 常常某個狀況發生時, 我們就認定是病毒的傑作, 或者是被入侵了, 被攻擊了… 答案還未知前, 當然可以假設任何的可能性, 但真正還是要用開放的態度來找答案, 這樣才能解決問題.

在 關於 Avira 台灣代理商之真相 - 1 一文中, 我們已經解釋了代理和經銷的不同. 接下來, 我們來檢視祺荃企業有限公司在 關於 Avira 台灣代理商之真相 - 0 這篇文章中留言提到的三項他們認為足以證明其為 Avira 台灣總代理的證據.

第一項證明, 在 Avira 原廠網站的 Partner Locator 網頁中, 選擇 Taiwan 之後, 可以看到該公司的資料. 第二項證明, 該公司網站提供原廠發的一份文件. 這二項證據是相同的, 表示該公司為原廠認可的 Security Solution Partner. 但這能證明該公司就是 Avira 台灣代理商嗎? 當然不行, Security Solution Partner 並不是代理商的意思. 那有沒有可能 Avira 並沒有 Distributor 這種稱呼? 沒錯, 是有可能 Avira 不採用 Distributor 來表示代理商. 但很不幸地, 這個假設並不成立, Avira 原廠的 Partner Locator 就可以證明 Avira 有 Distributor 的名稱, 舉例: 在 Partner Locator 網頁選擇 Australia, 就可以看到旁邊的 Logo 出現 Distributor, 證據在此, 證明 Avira 原廠確實有 Distributor. 由此可知, 祺荃企業有限公司自稱其為 Avira 台灣總代理根本是欺騙消費者.

接下來, 我們還是用祺荃企業有限公司所謂的證據 Partner Locator 來說明, 試問所有列在 Partner Locator 都是代理商嗎? 有興趣的人不妨在 Partner Locator 選 Germany, 看一下這裡有多少公司列在上面. Avira 自己不算, 大約有 90 家. 因為 Avira 總公司在德國, 所以我們可以合理想像, Avira 在德國的市佔率很高, 但市場有大到需要 90 家代理商嗎? 想也知道不可能. 所以奉勸祺荃企業有限公司別再用錯誤的資訊來誤導消費者了, 這種欺騙的行為實在是很差勁的.

祺荃企業有限公司提供的第三點資料是要我們去向原廠查證, 不好意思, 我們真的問過 Avira 原廠. 部分信件內容如下: Avira 回信的內容.

我們不必妄自菲薄, 但也別太自以為是. 原廠給個 Reseller 或 Security Solution Partner 的授權, 並不是什麼大不了的事, 別過度自我膨脹, 甚至幻想自己的身分特殊. 沒見過外面的世界, 才會以為世界就是眼中所見的這麼一點大.

以上, 祺荃企業有限公司提供的三項證據都無法證明其為 Avira 台灣總代理, 那真相是什麼? 真相是祺荃企業有限公司根本不是 Avira 台灣代理商, 如此大膽敢公然欺騙消費者. 連代理商都不是, 那就更不用提他自稱的 Avira 台灣總代理了.

首先, 祺荃企業有限公司根本不是 Avira 台灣總代理, 該公司長久以來誤導消費者, 這是很明顯的欺騙. 我明確地說, 無論是該公司的角色是 Reseller, 或者今年(西元 2008 年) 十 or 十一月之後是 Security Solution Partner, 都不表示該公司就是 Avira 授權的代理商.

我們知道有些人無法分辨代理商和經銷商的不同. 但是如果您是公司行號, 特別是要宣稱自己為代理商的話, 不能不懂代理和經銷是不一樣的. 當然, 人非聖賢, 孰能無過. 我們難免會有不懂, 或者誤解某件事的時候, 只要肯改正, 並不是什麼嚴重的事情. 但是, 如果有人提醒錯誤之所在, 當事人不但不承認, 還試圖狡辯來混淆視聽, 那這就不是無心之過, 而是蓄意的欺騙. 更不用說, 自己不知檢討, 還反過來對別人做莫須有的指控, 這是非常惡劣的行為.

既然代理商和經銷商的角色令人混淆, 我們先來解釋二者的不同. 以英文來說, 經銷商是 Reseller. 從字面上來看, 概略可以看出來是 再(Re) 銷售(Sell) 的人(er) 的意思. 換句話說, 將貨物買進之後, 再銷售給別人的人, 就稱之為 Reseller. 所以前一篇留言說, Reseller 是轉售商, 我們認為也是可以接受的. 但轉售商和代理商是不同的, 不能將轉售商硬說成是代理商. 代理商是 Distributor, 這裡 是奇摩字典的翻譯 (註1), 可以看出來 Distributor 有分配者、批發商的意思. 從字面上即可看出, Distributor 並不像 Reseller 只是單純的貨物買進來, 賣出來, 而是有分配市場銷售或貨物批發的意思. 正常來說, Distributor 會比 Reseller 擁有更多的權限. 所以, 將 Reseller 硬說成是代理商, 這是明顯的錯誤. 至於祺荃企業有限公司說的 Security Solution Partner 也是 Reseller 一種, 沒有證據可以證明 Security Solution Partner 等同代理商的意思. Partner 比較是一個統稱, 只要雙方有合作關係, 稱彼此為 Partner 並無不妥. Reseller、Distributor 和 Partner 三者之間很難證明彼此的關係. 簡單來說, 如果祺荃企業有限公司宣稱是 Avira 授權的 Distributor (而且是真的), 那就確定其為 Avira 台灣代理商. 否則, 恐怕無法令人信服.

上面這樣解釋, 如果還是無法理解, 那用白話一點來說, 代理商就類似大盤商, 經銷商類似小盤商. 可能不是很貼切, 但概略是類似的意思.

其實我們不太理解的是, 有必要謊稱是代理商嗎? 不能老實承認自己是經銷商的角色嗎? 還是說偽稱自己是代理商, 可以比較容易唬過消費者? 我想這也只有那些公然說謊的人自己知道了.

對照以上的內容及祺荃企業有限公司自己提供的證據來看, 我實在無法得到祺荃企業有限公司就是 Avira 台灣總代理的結論.

這個系列的文章還沒完, 不過本文在此先告一個段落. 結束前我幫祺荃企業有限公司提出一個疑問, 有沒有可能 Avira 這家公司比較特殊, 他們根本沒有 Distributor 這種稱呼, 而就是以 Security Solution Partner 來表示代理商的意思呢? 下一篇再討論. (但祺荃企業有限公司宣稱 Reseller 也是代理商, 所以這裡就矛盾了. 難道隨便一個名稱都是代理商的意思?! 照祺荃企業有限公司的說法, 那原廠到底是怎樣稱呼經銷商?)

註1: 因為在 Avira 台灣代理商之真相 - 0 這篇文章中, 我們採用 Google 翻譯的結果來說明 Reseller 的意思, 結果引來祺荃企業有限公司吃 x x (x x 是不雅的文字, 這裡用馬賽克處理, 原始文字請見該篇文章的第 5 則留言)的留言, 所以這篇文章我們改採用奇摩翻譯, 希望祺荃企業有限公司不要再說出那種不雅的文字來污染讀者的眼睛.

不過, 如果您真的在電腦裡看到這個軟體, 別真的被它的掃描結果嚇到, 那是假的, 因為這是假的防毒軟體, 只是想騙您的錢而已.

這類的軟體很多, 不外乎有幾種特徵:

• 偵測率超強, 隨便任何一台電腦, 都能掃描出一堆問題. (當然結果是假的)
• 視窗的介面還不錯, 應該算得上美觀吧.
• 英文版. (目前沒見過中文版, 不知未來會不會推出中文版. XD)
• 通常會有 Windows 的資訊安全中心的警示, 不過是英文版, 如後面的畫面截圖. (這也是很明顯的特徵, 明明是中文版 Windows, 資訊安全中心的訊息卻變成英文.)

以下是這個惡意程式部分防毒軟體目前的偵測結果:

• AntiVir: TR/Fake.Antivirus.2009.BJ
• Avast: Win32:Trojan-gen {Other}
• AVG:
• BitDefender: Trojan.Downloader.FakeAV.L
• ClamAV:
• Dr.Web: Trojan.Fakealert.1318
• eTrust:
• Fortinet: Adware/Antiv2009
• F-Prot:
• Kaspersky: not-a-virus:FraudTool.Win32.Antivirus2009.bj
• McAfee:
• Microsoft:
• NOD32: a variant of Win32/TrojanDownloader.FakeAlert.QM
• Panda:
• Rising:
• Sophos: Troj/FakeAV-GO
• Symantec:
• TrendMicro:

正常來說, 公司內的每一分子(IT 或非 IT部門)的目標是一致的, 大多數人都致力於讓公司賺錢, 理論上公司賺愈多錢, 員工的工作不僅獲得保障, 甚至還能獲得加薪或額外的獎金. 但是將防毒軟體移除, 有助於這件事嗎? 我想不出有什麼助益. 那為什麼有人要將防毒軟體移除? 或者根本沒有 User 想把防毒軟體移除, 一切都只是 IT 人的憑空想像? 因為 IT 人認定安裝防毒軟體這件事很重要, 所以自然就產生心理投射效應, 認定 User 就是想把防毒軟體移掉? 甚至沒裝防毒的電腦, 會不會根本就是漏掉了, 自始自終就沒裝到或沒裝成功, 結果還以為是被移掉了?

我們先往前看, 電腦應該裝防毒軟體嗎? 也許有人自認為不會中毒, 所以不必要裝防毒軟體. 如果這是個人家庭裡的電腦, 自己高興就好, 但如果把場景移到公司內, 我想大多數公司的環境就不太可能冒這個風險. 所以要不要裝, 應該是站在公司的考量, 而不是個人的喜好. 那要裝什麼防毒軟體? 每個人的喜好不同, 所以不同的人會喜好不同的產品. 可能 User 喜好的產品, 和公司的選擇不同. 但公司既然有職務上的區分, 那就應該尊重專業, 讓負責的人做專業的考量. 私人的喜好, 絕不應該凌駕於公司的利益之上. 而且如果公司內不能彼此尊重對方的專業, 互相質疑對方, 這樣能共同為公司創造最大的利益? 如果不存在要不要安裝或者安裝哪一種防毒軟體的岐見, 是否就不存在私自移除軟體的議題?

公司賦予 IT 執行防毒政策的權利, 是否 IT 也有應盡的義務? 權利與義務的平衡, 才能達到和諧的狀況. 試問在防毒的議題上 IT 所扮演的角色是什麼, 是單純當個採購者? 或者執行者? 或者是解決問題者? 雖然安裝了防毒軟體, 但是並無法保證完全不會中毒. 當 User 不幸中毒時, IT 如何面對這個問題? 是不是先把 User 臭罵一頓, 然後把系統重裝? 換個方式來問, 如果是 MIS 自己的電腦, 或公司高層的電腦中毒了, 又會是什麼方式來處理? 一樣不用遲疑就把 Windows 重裝嗎? 又或者某些徵狀顯示, User 的電腦可能中毒了, MIS 又如何面對? 是根本避免去了解哪些電腦有問題, 或者即使看到了, 但是 User 沒有反應, 所以裝作不知道. 反正事情這麼多, 忙都忙不完, 哪還能管這麼多. 想想看, IT 的工作只是買一套防毒軟體進來, 然後裝上去, 接下來就不管或不太想處理? 當 User 的電腦被感染了病毒、木馬…, 也不在意這套防毒是不是漏掉了某些惡意程式, 更不用提明天、後天或者更長遠的未來, 是不是會有其他電腦感染到同一支病毒或木馬. 試問這種情況下, User 心裡會有什麼想法? 相反地, 如果 User 的病毒問題都能適當被處理, 根本不必煩惱這方面的問題, 反正就是放心交給 IT 就對了. 那 User 還要費心思來移除 IT 部署的防毒軟體嗎? 動機何在? 別忽略了重點, 裝防毒軟體根本不是重點, 不要讓病毒問題來危害到公司的營運或影響到人員的生產力才是真正的目標, 防毒軟體不過是達成目標的工具之一而已.

好吧, 也許有人會說, User 千百種, 就是有人把個人放在公司的利益之上. 或者不管 IT 做得多好, 就是有人自認為比 IT 人更懂這個議題, 仍執意做自己想做的事. 如果公司有共識, 防毒政策的其中一部分是每一部電腦要安裝某個防毒軟體, 那我認為還是應該嚴格遵守這個規定. User 有可能以自我為考量, 但我相信公司的經營者必然能夠清楚分辨個人與公司之間, 孰輕孰重, 而不致於讓 User 為所欲為. 如果 IT 真的為此扮黑臉, 也是應該的, 別忘了追求公司的利益才是符合自己的利益.

• 軟體本身就提供了某個隱藏的設定, 可以在移除時, 直接略過密碼檢查.
• 密碼管制的設定太簡單或者有 Bug, 只要刻意刪除或更改某個設定, 密碼即會失效.
• 密碼保護較為嚴謹, 不存在前二者的狀況, 所以沒有辨法簡單的移除密碼.

前二者的方法是很簡單的, 這種密碼形同虛設, 有心人士照樣可以任意將防毒軟體移除. 在此, 我就不說明哪些防毒軟體是屬於哪些密碼保護的機制.

但如果是前面說的第三種狀況怎麼辨? 有二種方法, 照樣可以移除. 一是, 軟體公司本身就提供了直接移除的工具, 不管有沒有密碼, 只要執行這種工具, 直接就移除. 仔細想想, 這是不是很詭異, 軟體一方面提供密碼保護的功能, 另一方面又提供”破解”密碼的工具? 另一種是, 手動將刪除 Registry 及檔案, 同樣可以移除. 但這種方法較複雜, 而且通常要參照特定的文件才能移除乾淨. 可是, 如果只是 User 不想用這套軟體軟體, 他大概也不管能不能移除乾淨, 只要能破壞掉程式, 讓程式無法運作就好了.

另外, 不管是以上哪種狀況, 其實不少防毒軟體都自己提供了特殊的移除工具, 可以強制移除自己的防毒軟體. 這種工具有其必要性, 在某些狀況, 例如: 密碼忘了, 或者正常的移除功能壞掉了, 如果沒有這種工具, 遇到移除有問題的狀況, 就要花不少時間來處理. 總不能因為防毒軟體無法移除就將 Windows 重裝吧!

結論是, 單憑軟體本身要管制不被移除, 理論上是做不到的, 唯一的差別只在於要花的時間有多少. 除非限制 User 登入帳號的權限, 否則真正有效的方法, 還是要從公司治理的管理面著手, 而非依賴防毒軟體本身的這項功能.