日前安裝Visual Studio 2008時,就在快完成的時候,防毒軟體忽然跳出紅色視窗,說攔截到病毒 Trojan.generic.Riskware。 原本以為是有人攻擊我的電腦,但仔細一看,發現攔截到的是光碟中”setup.exe”檔案。 
但這是正版光碟,且其他人裝都沒事ㄟ……所以,當下初步判斷是場誤判,接著按下允許,直到安裝結束。 事後我查了一下,發生此問題似乎不多,但為了謹慎起見,今早我仍詢問防毒公司, 並請他們釐清真相,看究竟是我電腦問題、還是防毒軟體問題。 當天下午,對方某資深工程師回覆,說這個警告是錯的,並將於新版本修正。 
<結語> 最後,果然防毒軟體誤判。 不過話說回來,一般人應該會認為, 想也知道是個誤判啊。 看來,我有點太緊張了。
收到某防毒公司寄的信,說有個新產品幫人免費掃毒;內容如下: 
既然是防毒大廠,我就不假思索的連上去,之後,該網站立刻自動幫我掃毒… 
掃描結果奇慘,報告都是紅叉叉,更慘的是,還說我中毒了!看起來不妙… 
就在這個時候,網站很貼心的帶出一支程式要我下載;從檔名看起來,似乎可以解決所有的問題… 
就在我準備去按執行的時候,忽然間,我的防毒軟體醒了!告訴我說、這一切都是假象… 
聰明的讀者,如果是你,會按允許還是拒絕呢? 這是封假防毒公司之名、行病毒散布之實的email,要你下載的檔案,看似防毒軟體,其實卻是之惡意程式。而這隻程式,仍有50%的防毒軟體掃不出來… 話說回來,這類網站真的是越做越像,然而,在我們嘖嘖稱奇的同時,也應該要擔心如何進行防護之道。
最近常與病毒打交道,回報多了,就產生一些心得;以下就是是站在非用戶的角色、所做的報告。但畢竟小弟只是業餘人員,如有同好也歡迎交流!
|
Name |
Method |
Limit |
Reply |
Link |
Speed |
Note |
| Avast! |
Email |
may no limit |
N/A |
click here |
N/A |
回報後仍掃不到,是回報方式錯誤? |
| Avira |
Email,Web |
<8MB |
Yes |
click here |
Medium |
處理速度極佳!就免費軟體來說,相當不錯! |
| BitDefender |
Email,Forum |
<2MB |
N/A |
click here |
Medium |
有時會回覆,有時不會 |
| Eset |
Email |
may no limit |
N/A |
click here |
N/A |
回報後仍掃不到,是我回報方式錯誤嗎? |
| F-Secure |
Web |
may no limit |
Yes |
click here |
Fast |
處理速度極佳!需注意的是上傳時會有檔名限制 |
| Kaspersky |
Email |
may no limit |
Yes |
click here |
Fast |
處理速度極佳!一般來說會在2hr內回覆 |
| Kingsoft |
Web |
<5MB
<10files |
Yes |
click here |
Fast |
處理速度不錯,不過有檔案上傳數量限制 |
| McAfee |
Email,Web |
<3MB |
Yes |
click here |
Fast |
回報限制較多,有時無法讀取對中文檔名 |
| Microsoft |
Email,Web |
<10MB |
Yes |
click here |
Fast |
處理速度極佳!但回報時若網路不穩常會失敗 |
| Rising |
Web |
<5MB |
Yes |
click here |
Fast |
處理速度不錯,但檔案限制有點太小 |
| Sophos |
Web |
<50MB |
Yes |
click here |
Fast |
處理速度極佳!不過上傳時要填寫許多資料 |
| Symantec |
Web |
<10MB
<8files |
N/A |
click here |
N/A |
大公司有大公司的規模,回報流程嚴謹,但限制頗多 |
| Twister |
Email |
may no limit |
N/A |
click here |
N/A |
偶爾會收到處理結果,感覺是間還算用心的公司 |
此病毒2008/1/18至今,我做一個小測驗,
看看各防毒廠商掃描狀況如何。
(沒想到S家大廠居然尚無法偵測... 還跟我說結案了... )
值得注意的是,32家名單只有46.88%可偵測出來,
這樣的比例和病毒已發佈超過10天的速度相比,
有的似乎較慢了些!
| 檔案 10_________10_________.zip 接收於 2008.01.30 18:02:40 (CET) |
| 反病毒引擎 |
版本 |
最後更新 |
掃瞄結果
|
| AhnLab-V3 |
2008.1.31.10 |
2008.01.30 |
-
|
| AntiVir |
7.6.0.59 |
2008.01.30 |
DR/Maran.A
|
| Authentium |
4.93.8 |
2008.01.30 |
-
|
| Avast |
4.7.1098.0 |
2008.01.30 |
-
|
| AVG |
7.5.0.516 |
2008.01.30 |
-
|
| BitDefender |
7.2 |
2008.01.30 |
-
|
| CAT-QuickHeal |
9.00 |
2008.01.29 |
-
|
| ClamAV |
0.91.2 |
2008.01.30 |
Worm.Mytob.IS
|
| DrWeb |
4.44.0.09170 |
2008.01.30 |
Trojan.PWS.Gamania.origin
|
| eSafe |
7.0.15.0 |
2008.01.28 |
-
|
| eTrust-Vet |
31.3.5497 |
2008.01.30 |
-
|
| Ewido |
4.0 |
2008.01.30 |
-
|
| FileAdvisor |
1 |
2008.01.30 |
-
|
| Fortinet |
3.14.0.0 |
2008.01.30 |
W32/OnLineGames.PAB!tr.pws
|
| F-Prot |
4.4.2.54 |
2008.01.29 |
-
|
| F-Secure |
6.70.13260.0 |
2008.01.30 |
Trojan-PSW.Win32.OnLineGames.pab
|
| Ikarus |
T3.1.1.20 |
2008.01.30 |
-
|
| Kaspersky |
7.0.0.125 |
2008.01.30 |
Trojan-PSW.Win32.OnLineGames.pab
|
| McAfee |
5218 |
2008.01.29 |
-
|
| Microsoft |
1.3109 |
2008.01.28 |
PWS:Win32/Wowsteal.gen!A
|
| NOD32v2 |
2836 |
2008.01.30 |
a variant of Win32/PSW.OnLineGames.PLR
|
| Norman |
5.80.02 |
2008.01.29 |
W32/Malware
|
| Panda |
9.0.0.4 |
2008.01.29 |
Suspicious file
|
| Prevx1 |
V2 |
2008.01.30 |
-
|
| Rising |
20.29.22.00 |
2008.01.30 |
-
|
| Sophos |
4.25.0 |
2008.01.30 |
Mal/EncPk-AP
|
| Sunbelt |
2.2.907.0 |
2008.01.30 |
-
|
| Symantec |
10 |
2008.01.30 |
-
|
| TheHacker |
6.2.9.202 |
2008.01.30 |
Trojan/Agent.adv
|
| VBA32 |
3.12.2.6 |
2008.01.29 |
suspected of Embedded.MalwareScope.Trojan-PSW.Game.14
|
| VirusBuster |
4.3.26:9 |
2008.01.30 |
Packed/NSPack
|
| Webwasher-Gateway |
6.6.2 |
2008.01.30 |
Trojan.Dropper.PSW.OnLineGa.pab
|
| |
| 附加訊息 |
| File size: 177787 bytes |
| MD5: 2de2725d001455399793f63f7e31d782 |
| SHA1: 2f5b3dc20d32e949ff48f94713b811335b44998b |
| PEiD: - |
| packers: RAR, NSPack |
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Creating several executable files on hard-drive.
* Accesses executable file from resource section.
* File length: 222901 bytes.
[ Changes to filesystem ]
* Creates directory C:.
* Creates directory C:\WINDOWS.
* Creates directory C:\WINDOWS\TEMP.
* Creates directory C:\WINDOWS\TEMP\RarSFX0.
* Creates file C:\WINDOWS\TEMP\RarSFX0\10_ _10_ h.exe.
* Creates file C:\WINDOWS\TEMP\RarSFX0\d.exe.
* Creates file C:\WINDOWS\TEMP\RarSFX0\10_ _10_ h.txt.
* Creates file C:\WINDOWS\TEMP\RarSFX0\2.bat.
* Creates file C:\WINDOWS\HELP\F3C74E3FA248.dll.
[ Changes to registry ]
* Creates key \"HKCU\Software\WinRAR SFX\".
* Sets value \"C%%PROGRA~1%WindowsUp\"=\"C:\WINDOWS\TEMP\RarSFX0\" in key \"HKCU\Software\WinRAR SFX\".
* Creates key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\".
* Sets value \"\"=\"SSUUDL\" in key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\".
* Creates key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\".
* Sets value \"\"=\"C:\WINDOWS\HELP\F3C74E3FA248.dll\" in key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\".
* Sets value \"ThreadingModel\"=\"Apartment\" in key \"HKCR\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32\".
[ Network ]
* Hooks into Shell explorer.
[ Process/window information ]
* Attemps to NULL C:\WINDOWS\TEMP\RarSFX0\10_ _10_ h.exe NULL.
* Attemps to NULL C:\WINDOWS\TEMP\RarSFX0\d.exe NULL.
* Attemps to NULL C:\WINDOWS\TEMP\RarSFX0\10_ _10_ h.txt NULL.
* Creates a mutex WSXIHUDS.
|
陸續發現其他病毒檔名:
你的照片.zip
剋星.zip
媽祖喜歡你.zip
我的相冊.zip
新年賀卡.zip
歌詞.zip
照片.zip
猴.zip
隱私.zip
謎底.zip
這兩天已有出現變種,檔名如下:
question.rar
韓國與日本13歲漂亮MM照片.zip
主星運勢.zip
小雯照片.zip
我乖乖.zip
我女兒相片.zip
接吻越多壽命越長.zip
笑話集笑死你不償命全.zip
網路姊妹.zip
請問都是甚麼人.zip
這運動會否太累.zip
最近攔截到許多尚無法被任何防毒所偵測的壓縮檔(RAR, ZIP)病毒。都是由Yahoo信箱寄出。目前已知的附件檔名如下:
10人看完10人瘋全.zip
card.zip
主星運勢.rar
台灣與香港校園漂亮mm照片.rar
寫真.rar
小時候ㄌ照片.zip
帳號.zip
我的相冊.rar
放屁不要太用力.zip
新信箱.zip
新版電梯鬼故事.rar
是人必看.zip
照片.rar
特搞笑.rar
男人天堂.rar
秘密.rar
這是封紅衣少女ㄉ信_...._誰刪ㄌ....就..必須陪紅.zip
韓國美女金泰熙.rar
小時候ㄌ照片.zip
初步測試,上述病毒主要目的都是為了竊取個人資訊、
或線上遊戲帳號密碼,
目前已回報Kaspersky、Avira、
Microsoft、Avast、Symantec、Ponda六家病毒公司處理。Kaspersky幾乎1小時內就回覆,Microsoft和Avira也在2小時內回覆,
其他則尚未有消息。 附帶一提的是,各家回應的時間,
都在我預期之內;但其中Microsoft這幾次回報速度,
都與Avira不相上下,頗有迎頭趕上的趨勢。
前幾天身體不適,咳嗽咳得很厲害,最後受不了了,就決定去看醫生。
或許是職業病吧,每到一個地方,我都會打量一下資訊系統。這間診所,基本上雖不大,但該有的都有,有雷射印表機、事務機、LCD螢幕、甚至每台主機都有接UPS,這樣的小診所一定沒有資訊人員,不過該考慮的都考慮到了,當然也可能是比較肯花吧。
快到我的時候,我和幾個病人一起坐在醫師旁邊,等著看診,這時候職業病又來了,忍不住又盯著醫生的電腦螢幕看;不看還好,一看居然看到醫生電腦螢幕的右下角,閃爍著紅色的病毒攔截訊息,但醫生卻一直不去理會,繼續看病。
可能是覺得太礙眼了,醫生開始打電話,從對會內容猜想,應該是外包的電腦公司;醫生就對著話筒說『電腦說有發現病毒,問我怎麼處理,我要按甚麼? 喔… 刪除… 好像不行… 略過… 好了,我知道了』,然後,醫生又隨便點了點滑鼠,就繼續看診…
看到這一幕,其他病患卻都沒有反應,不曉得是他們沒有sense,還是想說認了;不過我心裡是很震驚,很想奪門而出,但怕被認為這個人瘋了;所以,最後,我還是乖乖看了診,然後眼睜睜看得我的個人資訊在這台電腦被修改、存檔…
曾聽一位朋友說,許多門市的個人電腦都是大毒窟,但外包的電腦廠商不會去care,因為資訊安全通常不會在SLA中訂得很清楚,所以既然是這樣,何必做白工?
資訊安全是點點滴滴累積起來的,雖然台灣貴為資訊島國,但民眾的個人隱私,常常在不顯眼的地方就被犧牲掉了。資訊系統,事前的規劃和事後的維護都很重要,只不過沒有出事,往往就被認為是理所當然的,因此不可能會被認為是績效,自然而然也無法吸引注意了。
至於我的感冒,好很多了,但咳嗽還是很嚴重;只不過每次一咳嗽,我就會想到醫生電腦螢幕上的病毒警訊,同時也會猜測,我的個人資料,現在會在哪個國家的駭客手中?
今早(11/7)一口氣發現六隻新病毒;都是RAR格式的執行檔,透過EMail散布。
稍微分析之後,我大約在11:00回報給5家防毒廠商: Kaspersky、NOD32、AVAST、Antivir和Symantec。 附夾檔檔名:
MM.com
夢中ㄌ對話.com
小人照片.com
小姐笑話下.com
我換信箱了囉....com
歐美寫真.com
自拍.com
討厭鬼.com
謎底.com
香港三級.com Kaspersky約在下午16:00首先回覆,並說明將
新增以下6隻到新病毒碼:
Trojan-PSW.Win32.Magania.bdh
Trojan-PSW.Win32.Magania.bdi
Trojan-PSW.Win32.Magania.bdj
Trojan-PSW.Win32.Magania.bdk
Trojan-PSW.Win32.Magania.bdl
Trojan-PSW.Win32.Magania.bdm 另外,Avira(俗稱小紅帽)也回覆將加入病毒定義檔中,新病毒名稱為DROPPER。 下班前更新並測試一下Kaspersky,發現2007/11/7 17:37的病毒碼,已可成功刪除病毒,真是太有效率了。
Yes! The day of system administrator is coming -
System Administrator Appreciation Day!
All IT guys should do what they want to do on that day, and no one can challenge or argue with them.
What is SAAD? Check it out!
http://en.wikipedia.org/wiki/System_Administrator_Appreciation_Day
Want award? You can suggest more!
http://www.sysadminday.com/
So have a good day, all IT experts, you deserve it!
Its not enough that only look at the shop assistance.
Looks like we also have to look at our credit card!
Check it out.
http://www.youtube.com/watch?v=sexUus0igWs
The download website:
http://www.cib.gov.tw/news/news02_2.aspx?no=343
It can detect the spyware or virus which founded by Taiwan police.
This program only manual scan, so if want scan like a background service, Windows Defender is a good choice.
More Posts
Next page »