前一陣子, 在公司內部的會議上, 業務部門有一位同事提到一個案例, 某間公司的 MIS 提到, 為什麼 NOD32 3.0 移除不用密碼? 結果他原本已經將全公司的 NOD32 2.7 升級到 3.0. 後來因為移除沒有密碼管制, 所以又將 3.0 移除, 再裝回 2.7. 而且這位 MIS 表示, 因為 3.0 的移除沒有密碼管制, 所以未來考慮改用其他的產品.
在開始切入正題之前, 我們先來看一下, 這位 MIS 所依賴的 NOD32 2.7 移除密碼是完全有效的管制嗎? 其實有心人真的想移除, 照樣可以移除, 例如: 我們公司額外提供給客戶的輕鬆部署程式, 就可以直接略過某些防毒軟體 (包括 NOD32) 的密碼管制. NOD32 2.7 的移除密碼真的可以略過嗎? 有影片有真相, (more…)
所有的防毒軟體在偵測到惡意程式時, 都會留下記錄. 如果是企業的版本, 更是會將所有的記錄集中到中央主控台. 但是這些記錄有什麼作用? 或者常常有人問, 如何知道哪些電腦是有中毒的?
首先, 必須要知道所有的病毒記錄都是過去式, 而且防毒軟體不可能百分之百偵測到這個世界上所有的惡意程式. 常有人問, 某一筆記錄是表示什麼意思? 記錄註明的動作是刪除、隔離或者未處理… 那到底病毒是否還存在? 其實很簡單, 防毒是動態的, 不必在乎過去防毒軟體看到什麼, 或者做了什麼動作, 只有一個關鍵, 同樣的事件是否重覆發生. 試想, 如果防毒軟體持續重覆偵測到某個檔案, 那即使記錄上註明該檔案已經被刪除, 又有什麼義意?! 所以從時間軸來看, 而不要侷限在某個點上面. (more…)
為了讓我們的客戶更容易使用 Saber, 新版 Saber 做了以下調整:
無意中, 在某個網站看到一個連結, 點進去之後, 看到如下的網頁 (部分內容經馬賽克處理), 心想又是什麼好看的影片… 不過這個 YouTube 影片的位置, 怎麼和平常不太一樣, 看起來是要下載一個 ActiveX 元件… 基於直覺反應, 該不會是惡意程式吧. 果不其然, 下載回來測試之後, 確實是惡意程式. 難道 YouTube 被入侵了嗎? 當然不是, 仔細一看, 這個網頁的網址是 hxxp://xxxxx-tube.com/xxxxxx (x 為實際網址經過馬賽克處理), 原來是一個仿 YouTube 的網站.
(more…)
今天接到一位客戶的反應, 某部電腦開啟工作管理員、regedit 或某些特定的程式, Windows 會立刻登出, 回到登入的畫面.
經過檢查之後, 發現看起來是很平常的惡意程式, 在登錄檔 Run 新增一筆 Virus 的機碼 (有點納悶, 取這麼明顯的名稱, 是刻意想讓人看出來嗎?), 另外也改了 Userinit 的值.. 開機後會執行一個名為 Mixa 的處理程序. 另外, 也具有現在最流行的隨身碟病毒的特徵.
(more…)
現今的企業環境, 幾乎都部署了防毒系統。但是防毒系統並不完美, 因此電腦即便已經安裝了防毒軟體, 也不表示電腦是安全的, 所以究竟企業內是否有電腦受到病毒的感染, 而防毒系統並未加以排除呢?
大多數的 IT 人員都很重視病毒的問題, 但在我們協助客戶處理病毒的過程發現, 某些受到病毒感染的電腦, 並未被發現, 也未被處理。可能原因很多, 例如: IT 人員工作繁忙, 無法抽空仔細檢查病毒的記錄或者木馬的潛伏性極佳, 使用者並未察覺某些跡象是惡意程式造成的…
(more…)
最近幾天 E-mail 收到不少蠕蟲寄來的信件, 部份信件主旨如下:
主旨: Your ecard greeting is available.
主旨: Check out your ecard.
主旨: Ecard greeting inside!
主旨: You have an ecard
主旨: Your ecard greeting is available.
信件內容是簡短的一句英文, 最後面是 http://xxx.xxx.xxx.xxx/ (xxx.xxx.xxx.xxx 是 IP) (more…)
情人節病毒又來囉.. 今天陸續收到一些有問題的信件, 某些信件的主旨如下:
信件內容是一句簡短的英文, 後面接著 http://aaa.bbb.ccc.ddd/ (IP 不固定), 連上後會出現下面其中一個圖, 然後自動下載 valentine.exe
(more…)
MSN 收到有人傳來 PrivatePhoto2008.zip (裡面是 Image78145-2008.jpg_www.MsnMessenger.scr) 別開啟, 這是 MSN 木馬 Happy2008 的變種。另外也可能收到部分下列的訊息:
Hey,Did you hear? Osama bin laden is alive! :S
Hey, Have u seen this? Osama Bin laden is alive:S
Oh my good, see this dude!
Hi, can i use theese on myspace?
Hey, see this!!
不小心執行的話, 請執行 Saber。或者重新開機一次, 就可以了。(看起來似乎是程式設計上的 Bug, 或者是故意的?! 不得而知…)
新的一年又來了, MSN 木馬也送來了它的祝福, 如果您收到 Photos1-2008.zip (裡面是 photo151.JPEG_www.HappyNewYear.com), 或伴隨部分下列的訊息:
Hey, Can i put theese on facebook?
Hi, have u seen my New Year pics yet? if not, this you gotta see!
Hi, this you gotta see!
Hey, Some pics from New Year at my place 
Hey, happy New year, heres some pics from New Year!
千萬別執行… 萬一不小心執行了, 請執行 Saber
