首先, 必須要知道所有的病毒記錄都是過去式, 而且防毒軟體不可能百分之百偵測到這個世界上所有的惡意程式. 常有人問, 某一筆記錄是表示什麼意思? 記錄註明的動作是刪除、隔離或者未處理… 那到底病毒是否還存在? 其實很簡單, 防毒是動態的, 不必在乎過去防毒軟體看到什麼, 或者做了什麼動作, 只有一個關鍵, 同樣的事件是否重覆發生. 試想, 如果防毒軟體持續重覆偵測到某個檔案, 那即使記錄上註明該檔案已經被刪除, 又有什麼義意?! 所以從時間軸來看, 而不要侷限在某個點上面.

舉一個例子來說, 下面這張表, 這是我們公司的 AVLog 從客戶匯整並經過整理的資料. 這是其中一部電腦的資料, 裡面記錄發生的日期、物件及當天的次數.

試問, 您看到這部電腦, 反覆不斷出現偵測到同樣的檔案, 您會認為這部電腦沒有問題嗎?

有些人花了很多時間在防毒的議題上面, 想或做了很多事, 但是真正最根本的問題卻忽略了, 放任電腦中毒不管. 就像上面這個例子, 這部電腦的問題已經數個月了 (為了節省空間, 我們的 AVLog 資料庫只保留 30 天內的資料), 但並沒有被處理.

另外, 有些人總認為防毒軟體天生就會做好防毒的工作, 但從這個例子來看, 已經數個月過去了, 問題持續存在.

• 直接提供 EXE 檔案, 可直接執行, 不必先行解壓縮. 而且會在桌面上建立 Saber 的捷徑, 方便下次可以使用. 在一般的情況下, 我們希望這個 EXE 的版本, 可以讓一般的 User 自己就可以執行, 而不必要 MIS 人員幫忙.
• 從版本號碼 66 開始, 程式可以自動升級. 換句話說, 如果下次執行時, 已經有新版本, 程式會自動更新, 並執行新版本. (當然必須是網路連線正常的情況下) 但是, 如果您是使用 66 之前的版本, 而且程式無法更新到最新的版本, 請從我們的網站重新下載 Saber.

另外, 持續有客戶反應, 公司內某些電腦無法連上 Internet, 因此無法使用 Saber. 目前我們的技術支援部門, 已經討論及著手規劃下一版本, 屆時將可解決此問題.

附帶說明, Saber 最早雖然是為了解決 kavo 病毒而寫的, 但是透過持續的更新, Saber 絕不是單是 kavo 的解毒程式. 原則上, 當我們重覆發現客戶感染某個惡意程式時, 我們就有可能更新程式. 因此, 我們的客戶感染到某個惡意程式時, 如果您懷疑防毒軟體並未發揮作用, 請先執行過 Saber. 如果 Saber 沒辨法解決您的問題, 再由我們的技術支援人員協助處理.

請注意, Saber 執行的結果若出現 DEMO 版的字眼, 請聯絡我們取得正式的版本.

過去常看到偽造其他公司的網頁, 通常是 PayPal 或網路銀行的網站, 其目的不外乎騙取帳號, 這種大概多數人會比較有警覺心. 可是像這個仿 YouTube 的網站, 就很容易達成其目的. 因為平常常收到朋友寄來好看的 YouTube 影片, 往往不加思索就點進去看, 如果有人寄這類的網站過來, 應該就很容易上當. 惡意程式的散播者和詐騙集團是一樣的, 總是日益精進其詐術, 千萬要小心, 別受騙上當. 不僅現實世界要小心無處不在的詐騙集團, 在電腦的世界, 也應該保持警覺, 這樣就可以少掉很多受惡意程式感染的機會.

經過檢查之後, 發現看起來是很平常的惡意程式, 在登錄檔 Run 新增一筆 Virus 的機碼 (有點納悶, 取這麼明顯的名稱, 是刻意想讓人看出來嗎?), 另外也改了 Userinit 的值.. 開機後會執行一個名為 Mixa 的處理程序. 另外, 也具有現在最流行的隨身碟病毒的特徵.

試了一下, 很簡單就可以刪除幾個相關的檔案, 完成之後重開機一次.. 結果, 悲慘的狀況發生了, Windows 無法登入! 一按登入之後, 很快就會再回到登入的畫面. 後來仔細檢查才發現, 原來這個惡意程式覆寫了 Userinit 的值, 而不是附加在原來值的後面. 所以一旦檔案被刪除之後, Windows 找不到該檔案, 就無法正常登入了.

所以, 可以想像到一個結果, 假設防毒軟體無法偵測此惡意程式, 造成電腦受到感染. 然而一旦防毒軟體更新此惡意程式的特徵碼資料庫, 下場恐怕是 Windows 沒辨法登入了.

如果已經感染此惡意程式, 而且 Windows 還能正常登入, 執行 Saber 可以解決. 如果不幸已經發生無法登入的情形, 只好用 Windows 光碟開機, 進入修復主控台來修正此問題.

惡意程式檔案的樣本在 這裡。

大多數的 IT 人員都很重視病毒的問題, 但在我們協助客戶處理病毒的過程發現, 某些受到病毒感染的電腦, 並未被發現, 也未被處理。可能原因很多, 例如: IT 人員工作繁忙, 無法抽空仔細檢查病毒的記錄或者木馬的潛伏性極佳, 使用者並未察覺某些跡象是惡意程式造成的…

為了進一步協助客戶找出已經受到惡意程式感染的電腦, 席克資訊提供一項新的服務, 我們提供 AVLog 程式, 來收集病毒系統的中毒記錄, 執行 AVLog 會將相關記錄回傳至席克資訊的伺服器, 再由我們協助分析這些記錄, 若發現電腦受到病毒感染, 我們會將相關訊息通知客戶, 並提供解決的方法。

AVLog 下載的網址及說明, 請參閱 這裡。

主旨: Your ecard greeting is available.
主旨: Check out your ecard.
主旨: Ecard greeting inside!
主旨: You have an ecard
主旨: Your ecard greeting is available.

信件內容是簡短的一句英文, 最後面是 http://xxx.xxx.xxx.xxx/ (xxx.xxx.xxx.xxx 是 IP)

連上這個網站之後, 會看到如下的畫面, 並自動下載 ecard.exe。或點網頁中的連結, 可下載 postcard.exe 和 e-card.exe。

這個蠕蟲手法和前陣子的情人節病毒完全相同, 所幸目前大多數防毒軟體都可以偵測。其中一個網址取得的樣本在 這裡、 這裡。

目前 (2008-3-5 10:30AM) 的偵測結果:

• I Like You
• Lovetrain
• World Love
• Val-ANT-ines
• You Stay In My Heart
• Poem About Us

信件內容是一句簡短的英文, 後面接著 http://aaa.bbb.ccc.ddd/ (IP 不固定), 連上後會出現下面其中一個圖, 然後自動下載 valentine.exe

因為信件是英文的內容, 而且連網站之後又會自動下載 EXE 檔案, 很明顯不太正常, 所以應該不會真的有人去執行吧!

隨機收集到的樣本在 這裡 這裡 這裡 這裡 這裡

更新: 有些人總認為防毒軟體天生就該偵測到所有的惡意程式, 事實上並非如此, 從收到的第一個 valentine.exe 到現在已經超過 8 個小時, 重新上傳到 VirusTotal 再檢測一次, 結果 32 套防毒仍只有 6 套可以辨識這個檔案。

Hey,Did you hear? Osama bin laden is alive! :S
Hey, Have u seen this? Osama Bin laden is alive:S
Oh my good, see this dude!
Hi, can i use theese on myspace?
Hey, see this!!

不小心執行的話, 請執行 Saber。或者重新開機一次, 就可以了。(看起來似乎是程式設計上的 Bug, 或者是故意的?! 不得而知…)

這個惡意程式的樣本在: 這裡 和 這裡

2008/1/4 14:40 VirusTotal 檢測的結果: 這裡 和 這裡

Hey, Can i put theese on facebook?
Hi, have u seen my New Year pics yet? if not, this you gotta see!
Hi, this you gotta see!
Hey, Some pics from New Year at my place
Hey, happy New year, heres some pics from New Year!

千萬別執行… 萬一不小心執行了, 請執行 Saber

這個惡意程式的樣本在: 這裡 和 這裡

這個惡意程式的樣本在: 這裡 和 這裡