2009 年 8 月, Microsoft 提供一個修正程式 (KB971029), 可以關閉預設開啟的 AutoRun 功能, 詳細請參閱下列網址:
解決隨身碟病毒的 Patch – KB971029
Update to the AutoPlay functionality in Windows
上週 (2011/28) Microsoft 終於提供此程式用於 WSUS 的檔案. 換句話說, 有使用 WSUS 的客戶, 如果還未安裝此程式, 現在可以提供透過 WSUS 強迫所有電腦安裝, 避免電腦遭受採用 AutoRun 機制的病毒透過隨身碟身碟感染. WSUS 預設並沒有 KB971029, 要手動從 Microsoft Update Catalog 匯入, 並核淮安裝.
10/6/2010 23:30 更新: 病毒碼版本 5510 已經修正此問題
NOD32 病毒碼版本 5509 誤判 Windows XP SP3 中文版 (不確定還有沒有其他的版本受影響) 的 C:\Windows\system32\imm32.dll 這個檔案, 已經通知原廠處理. 在尚未修正之前, 請暫時採用下列方法處理:
單機版用戶:
開啟 NOD32 畫面, 按 F5 進入設定視窗. 選左邊的 “排除”, 然後按右邊下面的 “新增”, 然後在 排除(E): 下方的欄位輸入 c:\windows\system32\imm32.dll 然後按 “確定”
企業版用戶:
1. 開啟 RA Console, 隨便選一台 Client, 按右鍵, 選 New Task, 再選 Configuration Task. 然後按 “Create” 按鈕開啟 “ESET Configuration Editor”..
2. 選擇 ESET Smart Security, ESET NOD32 Antivirus -> ESET Kernel -> Setup -> Exclusions -> Exclusions
3. 按右邊的 Edit.. 在 New item 下方輸入 c:\windows\system32\imm32.dll 然後按 “OK”
4. 關掉 ESET Configuration Editor 這個視窗.. 會出現 “Do you want to save marked items before returning to the console?” 回答 “是(Y)”.. 然後按 “下一步”..
5. 將左邊的 All Clients 加到右邊.. 再按 “下一步”
6. 視窗下方二個小方框打勾, 按 “完成”.. 即可.
另外, 在此問題修正之前, 而且在明天還沒上班之前, 可以先將 ESET RA HTTP Server 這個服務手動停止, 並將啟動類型改為 “停用”.. 這樣尚未更新到的電腦就不受影響.
前天(2009/8/25)微軟發佈一個新的修正程式 – KB971029, 此程式可以修正 Windows 的自動播放功能, 對付隨身碟病毒是很有用的方法.
原本 Windows 對各式的磁碟機都有自動播放的功能 (根目錄建立 autorun.inf 檔案), 此修正程式改為自動播放功能只限 CD/DVD, 所以隨身碟病毒就無法透過 autorun.inf 提供的機制來啟動, 即隨身碟根目錄如果存在 autorun.inf, 無論是從我的電腦裡點開隨身碟的磁碟機, 或者按右鍵選開啟, 都不會觸發病毒的執行. 詳細的資訊及修正程式的下載網址請參閱 這裡.
在 ESET NOD32 Antivirus 4.0 英文版推出數個月之後, 而且歷經幾次改版, 中文版終於正式發佈. 以下節錄 4.0 異動的功能:
Avira 已於上個月推出 Avira AntiVir v9, SMC 2.4. 新增下列功能:
Avira AntiVir Profession v9:
自從 NOD32 3.0 推出之後, 常聽到的一個問題是: v2.7 和 v3.0 在惡意程式的偵測能力上是否有不同? 已知的條件是 v3.0 之後, 病毒碼及掃描引擎更新的檔案和舊的 2.7 是不一樣的. 但真的要證明二者的差異, 並不是很容易. 剛好昨天遇到一個例子, NOD32 2.7 偵測不到, 但 3.0 可以偵測, 如後面的畫面截圖. 當然無法僅憑一個例子證明什麼 (也不是本文的目的), 但我相信時間愈久, 類似的情形應該愈多.
原則上, 我們並不建議任何軟體新版本推出時, 立刻就更新. 但是如果已經推出一段時間, 就應該考慮升級了, 特別是防毒軟體. (more…)
使用 Google 搜尋到的結果, 如果該網頁含有惡意程式連結, Google 會提示 “這個網站可能會損害您的電腦。” 但是如果使用 google 這個關鍵字去查詢, 結果查到的眾多的 Google 相關網站, 都出現了此提示訊息, 如文末的圖所示, 難道 Google 被駭客攻陷了嗎?! 另外隨便用其他關鍵字來搜尋, 結果都相同, 想必是 StopBadware 這個系統出錯了, 這個問題蠻嚴重的, 應該很快就會修復. 但這難得的畫面, 特別擷取下來留做紀念. (果然很快就修復了, 寫完這篇再去試一次, 就已經正常了. 可能直接暫時關掉這個功能了吧!)
更新: Google 的說明
(more…)
昨天有一個客戶, 詢問某一部 Server 受到攻擊, 該如何處理? 聽起來是很嚴重. 不過, 這樣的訊息並沒有太大的意義, 所以進一步詢問更詳細的狀況, 原來情形是這樣, 有一部 SMTP/POP3/Webmail Server…, 某些時候會發生使用者無法收、發信件的情形. 當狀況發生時, Server 上可以看到 SMTP 有數百個連線, 通常是三、四百個以上. 據客戶表示, 從 SMTP Server 上確實可以看到許多來路不明的 SMTP 連線.
OK, 所以這是受到攻擊? (more…)
科南說: 真相只有一個, 本文將繼續揭開祺荃企業有限公司謊稱其為 Avira 台灣總代理的真相.
在 關於 Avira 台灣代理商之真相 – 1 一文中, 我們已經解釋了代理和經銷的不同. 接下來, 我們來檢視祺荃企業有限公司在 關於 Avira 台灣代理商之真相 – 0 這篇文章中留言提到的三項他們認為足以證明其為 Avira 台灣總代理的證據.
第一項證明, 在 Avira 原廠網站的 Partner Locator 網頁中, 選擇 Taiwan 之後, 可以看到該公司的資料. 第二項證明, 該公司網站提供原廠發的一份文件. 這二項證據是相同的, 表示該公司為原廠認可的 Security Solution Partner. 但這能證明該公司就是 Avira 台灣代理商嗎? (more…)
不久前, 我們發了一篇後來標題改為 關於 Avira 台灣代理商之真相 – 0 的文章, 文中善意提醒消費者目前 Avira 在台灣並無代理商. 結果引起祺荃企業有限公司這家公司的嚴詞否認, 該公司留言一再強調其為 Avira 在台灣之總代理, 並提供某些證據試圖證明其 Avira 代理商的角色為真. 當然, 祺荃企業有限公司除了不承認欺騙消費者之外, 更在留言中一再對席克資訊做出不實指控. 為了避免消費者被誤導, 因此, 我們有必要再針對這個議題進一步說明, 並對其不實指控嚴正予以駁斥, 並且希望祺荃企業有限公司不要再散播有關席克資訊的不實謠言.
首先, 祺荃企業有限公司根本不是 Avira 台灣總代理, 該公司長久以來誤導消費者, 這是很明顯的欺騙. 我明確地說, 無論是該公司的角色是 Reseller, 或者今年(西元 2008 年) 十 or 十一月之後是 Security Solution Partner, 都不表示該公司就是 Avira 授權的代理商. (more…)