Alvin Chen

Alvin@mincrosoft.com
The block message from Norton DNS

Recently Norton was announced beta DNS service - http://nortondns.com/

I was always curious the warning picture or block message of Norton DNS?

Finally, I have a chance to meet it on my computer – The block message from Norton DNS:  

 

Look like it’s really effectively, not only provide DNS query.

I like this weekend surprise. Awesome!

Posted: Sat, Jun 5 2010 1:26 by alvinchen | with no comments
Filed under:
Preview of Security Management Online Service - Intune

The beta edition of Windows Intune was announced in 2010/4/19. In usual, system administrators are managing enterprise computers via group policy and other security server – such as WSUS. And employees only can update latest policy when they connect to intranet network.

 

But currently, companies have more and more mobile users at their branch office or partner office. So how to keep computer to compliance enterprise security policy is a important issue. Windows Intune is a similar solution for security management. But the different is, the server is in the “Cloud”, not in the company’s server room.

 

Manage console of Windows Intune( Source: Windows Intune Overview )

 

Basically, Intune can:

1.      Manage the hotfix or service pack for Windows platform. Just like WSUS in enterprise network.

2.      Deploy and manage antivirus software and virus definition.

3.      Centralized security policy, such as enable or disable firewall.

4.      Help desktop from remote IT, I guess this may similar with Remote Desktop Service.

5.      The inventory management for software and hardware.

6.      Platform supported: Windows 7 Enterprise/Ultimate/ProfessionalWindows Vista Enterprise/Ultimate/ BusinessWindows XP Professional with SP2/SP3

 

Currently this service only provide via Microsoft online service. I’m still curious about the authentication about administration permission when patch deployed, or other similar issues. However I believe that one day the answer will be find out when production version is announced.

 

More information: http://www.microsoft.com/windows/windowsintune/default.aspx

MS10-015的檢測工具

Windows是否會因病毒導致更新MS10-015後當機,

可透過這篇文章來檢測。該文章提供兩支程式:

 

1. 並執行Fix It,若沒問題則出現如下畫面:

2. 若有問題,可透過MpSysChk.exe取得建議做法

Mpsyschk.exe:主要掃描程式,亦可單機掃瞄

Run_mpsyscheck.Sample.cmd.txt:多電腦掃描的script

 

 

有病醫病、無病強身,這樣的程式,

應該也可視為一種特定Rootkit的掃描工具吧!

 

原文網址:http://support.microsoft.com/kb/980966

 

Posted: Wed, Mar 3 2010 23:24 by alvinchen | with no comments
Filed under:
殺人鯨病毒事件回顧

最近有一則殺人鯨殺人的新聞
除了引發一些動物的心裡探討之外,
在病毒圈也造成話題,

該新聞最早於2/24發布於國外
中文版約2/25陸續出現在許多電子媒體上;
至於病毒的消息,則是2/26資安顧發表,
2/27中文病毒新聞也跟著發表。

2/25當天,我看到消息後,
搜尋了一下相關新聞;當時不是為了病毒,
純粹是興趣。但卻意外發現此病毒。

現在此病毒許多已都移除了,
不過我2/25當天有抓一些,有興趣的人可參考。

以下是2/25搜尋的結果,其中第三筆就是病毒網站!
請注意McAfee警示仍為綠燈,也就是認為它是安全的。
(以下是Google的結果,用Bing則無此病毒網站)

 
點了之後,就轉址到病毒網站了(下面是假裝掃毒的頁面)
 

要離開時還會貼心的提醒你。
 

該網站目前已移除了;至於後續狀況,
已有很多病毒的分析報告,在此不冷飯熱炒啦!


心得:

雖然假掃毒真入侵是老掉牙的手法了,
但讓人我訝異的是,新聞出來第二天、新病毒馬上現身,
SEO排名之高、用詞之貼心,讓人不點也難

難道新的機器人,可以自動產生新病毒後、
從新聞抓關建字、加到病毒網站、
然後一頁之間拉高搜尋排名、而不需任何人為操作?

 

Posted: Mon, Mar 1 2010 19:53 by alvinchen | with no comments
Filed under:
Microsoft Security Essentials in Traditional Chinese now available

Microsoft Security Essentials in Traditional Chinese language,

now available for download!

Click here:

http://www.microsoft.com/security_essentials/default.aspx?mkt=zh-tw

 

And just click “Save”

  

Ps. Thanks for Alex Chou’s sharing!

BSoD is because rootkit, not MS10-015 hotfix

The hotfix MS10-015, which announced on 2010/2/9, was leaded to many BSoD situations.

Many users and companies complained and pending the hotfix deploy temporary.

 

After the test by MSRC, they found that the BSoD is not because this hotfix.

The true reason is because the rootkit named “Alureon”.

 

On MSRC they listed the debug processes. Basically,

If the user infected Alureon virus and then install MS10-015 hotfix, the BSoD occurred.

But if user install MS10-015 hotfix first then infected Alureon virus, then BSod won’t happen.

I think it’s really hard working to find out the real problem about BSoD,

especially it’s a rootkit virus. And after this report announce,

I think it’s about time to deploy this hotfix in company or enterprise environment.

However it’s also need to test more carefully in pre-deploy phase.

 

about Vulnerability in IE

一下子百度,一下子Google,年前資安新聞層出不窮;

Google遭攻擊,有人說Adobe,有人說IE,眾說紛紜。

 

目前看來,IE是最大的;下面這篇文章很好,

很清楚的列出此風險在IE及各Windows版本的影響:

 

 

 

此外,文章中亦建議:

1.      關閉JavaScript,但可能較難

2.      啟用DEP

 

看來,過年前網管們警覺性都要繃緊一點!

 

 

Fake Facebook

這幾天最紅的關鍵字,應該非百度莫屬吧!雲端雖然方便,但一旦變烏雲,

那麼所有服務都停擺,反而更讓人手忙腳亂;此外,隨著雲端興起,

隱私也是爭論不休的議題,日前Facebook創辦人直言隱私已

引起許多爭議。看來此議題還有得吵。

 

當然病毒也趕搭雲端的潮流。大約在11月初,陸續發現偽臉書的email

要求使用者update資料;雖然防毒可偵測,但不知會有多少人受騙。

12月時,此病毒能被攔截並不多,網站也還未被列入黑名單;

後來我就沒再測了,只是在台灣臉書迷這麼多,

希望大家都能避開這類風險!

Posted: Thu, Jan 14 2010 0:05 by alvinchen | with no comments
Filed under:
Windows 7 BitLocker USB 加密初體驗

其實這是在Vista就已經有支援的功能了,不過當時只限定硬碟可加密;

終於Windows 7BitLocker已支援隨身碟加密,底下是設定及使用心得分享。

 

1.      到控制台中,依下圖順序執行 [開啟 Bitlocker]

 

2.      選擇解鎖方式,在此選擇 [使用密碼解除鎖定磁碟機]

 

 

3.      選擇修復金鑰保存的方式,在此選擇 [將修復金鑰儲存到檔案]

 

 

4.      接著按下 [開始加密]

 

5.      等待是值得的

 

6.      完成後按 [關閉

 

7.      加密後的USB隨身碟圖示,多了一個鎖頭

 

8.      如需使用,在插入隨身碟後,直接點擊圖示,並輸入步驟2的密碼

 

9.      解開密碼之後,就可以和一般磁碟一樣的存取了!

 

其他相關資訊

l   BitLocker and BitLocker to Go

l   BitLocker Drive Encryption Step-by-Step Guide for Windows 7

l   BitLocker Drive Encryption Deployment Guide for Windows 7

 

 

本文同步發表於Microsoft TechNet

http://support.microsoft.com/kb/976672/zh-tw

Posted: Sun, Oct 25 2009 17:22 by alvinchen | with no comments
Filed under:
Windows 7 的多國語系安裝與設定

Normal 0 false 0 2 false false false EN-US ZH-TW X-NONE

情境描述
當在各國語系中切換時;可善用Windows 7的多國語言、輕鬆切換使用介面。如此也可省下多台環境的安裝與設定。.

 

輕鬆上手

1.       [Control Panel]中,選取[Change Display Language]


2.       [Keyboards and Languages]標籤中,選取[Install/uninstall languages…]


3.       程式開啟後,選取[Install display languages]


4.       選取[Browse computer or network]


5.       之後,瀏覽到您要安裝的語言包,並選取您要的語言後,按下[Next]


6.       出現使用授權聲明,選取[I accept the license terms]後,按下[Next]


7.       等候安裝。


8.       接著選擇您之後要顯示的語言畫面,在此我們選擇中文[中文(繁體) (台灣)],並選取 [Apply display language to welcome screen and system accounts],此選項在於登入時的歡迎畫面,是否要套用新語系;完成後按下[Change display language]


9.       出現重開機訊息;請關閉您其他所有程式後,再按下[Restart now]


10.   重開機後,登入畫面已轉換成繁體中文。


其他相關資訊

l   Understanding MUI

l   Step-by-Step: Multilingual Image Creation

l   Understanding Multilingual Deployments

 

這篇文章中的資訊適用於

Windows 7 旗艦版

Windows 7 旗艦 64 位元版

Windows 7 商用進階版

Windows 7 商用進階 64 位元版

 

同步發表於

http://support.microsoft.com/kb/975156/zh-tw

 

 

Microsoft Office Visualization Tool 惡意Office檔分析工具

微軟於日前發佈Microsoft Office Visualization Tool (簡稱OffVis)

這是一個判斷Office檔是否含惡意程式碼的工具。

 

目前,可以支援WordExcelPowerPoint檔案。掃描的依據,

主要是針對CVE國際安全組織所發佈的Office弱點,

來判斷檔案是否存在可疑或危險的程式碼。

 

 

(1)執行方式很簡單,解壓縮並執行”OffVis.exe”即可。

 

 

 

 

(2)載入您要分析的Office檔案

 

 

 

(3)選擇檔案類型(例如Excel)然後按下”Parse”

 

 

 

(4)Parse後若出現” DefinitelyMalicious”,那幾乎很肯定是利用Office漏洞攻擊的檔案。

 

 

 

(5)若有興趣進一步研究,可針對該記錄Double-Click看更多。

 

 

 

[結語]

這是純視窗介面、由微軟官方所釋出的工具,

簡單的幾個步驟,就可判斷檔案的安全性。

 

該工具還有一個目的,就是提供軟體商及開發人員,

在製做Office檔的測試參考,以免遭到防毒軟體勿攔。

 

 

[相關聯結]

 

The Microsoft Office Visualization Tool (OffVis) Fact Sheet

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=19a1a252-c3af-4474-b33c-158c6e85115e

 

Download Microsoft Office Visualization Tool (OffVis).

http://go.microsoft.com/fwlink/?LinkId=158791

 

父親節的防毒優惠

糾甘心,CA推出父親節防毒優惠方案。

保護電腦就是保護家人,這句話說得真好。

Microsoft Security Essentials

日前測試Microsoft Security Essentials

基本上畫面簡潔,沒有嚇人的設定。

 

安裝速度很快,Windows合法檢查共不到10秒;

下面是安裝後的設定畫面。

 

上面的”Excluded locations”

對許多喜歡蒐集特殊軟體的人而言,

可讓防毒軟體安靜許多;

此外還有”Excluded processes”,可排除檔名。

 

與其他防毒並存,不會有排斥現象,

至少AviraNOD32ok的,

且已支援Windows 7

 

解開來看,裡面還有.msi檔,

管理上應該會比較方便些。

 

看來,不久的將來,免費防毒又多一種選擇囉!

Panda USB Vaccine 開始支援 NTFS

記得Panda剛推出USB護程式時,並不支援NTFS

不過新版本已有支援囉!

 

 

也是應該要支援啦,為了用這支程式而使用FAT32,感覺有點美中不足。

 

部落格第一句就是” First off many thanks to the hundreds of thousands of users who have downloaded, used and given us feedback on Panda USB Vaccine.”是的沒錯!這年頭多聽使用者(包含我)的心聲、才是王道啦!

 

下載網址:

http://research.pandasecurity.com/archive/Panda-USB-Vaccine-with-NTFS-Support.aspx

淺談點閱綁架 - Clickjacking

要了解此手法,看文章不易了解,用試的比較有feel
下面網站是很好的測試(無危險,並感謝作者同意引用):



簡單的說,就是點下去的網址、可任意的被竄改目的地;
例如改到釣魚網站、惡意程式、色情網站等。

去年底,Clickjacking已有被批露;但半年過去了,似乎仍無法有效避免此攻擊:
新攻擊:綁架Click惡意程式 (iThome2008/10/28)
Clickjacking:綁架你的網頁點閱 (ZDNet2009/5/25)

不過,在原Blog及作者後續的文章,已提供暫時的解決之道:
原始文章:模擬實戰點閱綁架手 (Challenge to Clickjacking)
解決之道:破解閱綁架手 (Crack Clickjacking)

半年過去了,但此風險仍然存在;而各種應變之道,又有點麻煩。
所謂所見及所得(WYSIWYG),但在此問題有更方便的解決方案之前,
對於網址的正確與否,應更需要小心謹慎。

Posted: Sun, Jun 7 2009 17:19 by alvinchen | with no comments
Filed under:
Panda 推出免費雲端防毒 - Panda Cloud Antivirus FREE

本來要睡了,但一篇文章吸引了我。

Panda推出雲端防毒軟體 – Panda Cloud Antivirus

 


程式執行畫面如下:

 


何為雲端掃毒?就
Panda的說法是、將掃毒的功能,搬到Panda的伺服器上執行;
也因此可減少本機資源的使用。就我電腦而言,該程式所佔的記憶體,
是目前所有程式中最低的:

 


但試用過程中發現,因必須仰賴雲端伺服器的掃毒處理,因此在掃瞄過程,
會較一般防毒軟體緩慢;此外可更改的設定較少
(如例外目錄)
或許是因為還在測試版
(Beta)的關係吧!

 

不過或說回來,對Netbook這類資源珍貴的電腦來說,這是不錯的防毒方案;
至少我的
EeePC401,終於有防毒軟體可以用了!

 

下載路徑:http://www.cloudantivirus.com/

利用PDF弱點的病毒檔現身

3月的第一個禮拜開始,台灣地區已陸續發現PDF的病毒檔。
但防毒軟體都是
3/13之後才可偵測到,
也就是說,大約有
5天左右的空窗期(0-Day)

若使用個人電腦開啟,
打開之後可能會出現錯誤訊息,然後就是一片空白;
此外也無法透過線上
PDF程式來開啟。

截至目前為止,共只有1/4的防毒廠商可掃出,
因此使用
Adobe PDF Reader v9.0()之前的版本,
都需提高警覺。


針對某樣本在Virustotal的掃描結果:
http://www.virustotal.com/analisis/fb1d420643e629a1e53ed274919310bb

Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.16 -
AhnLab-V3 5.0.0.2 2009.03.15 -
AntiVir 7.9.0.114 2009.03.15 -
Authentium 5.1.0.4 2009.03.15 -
Avast 4.8.1335.0 2009.03.16 JS:Pdfka-BX
AVG 8.0.0.237 2009.03.15 Exploit.PDF
BitDefender 7.2 2009.03.16 Exploit.HTML.Agent.AQ
CAT-QuickHeal 10.00 2009.03.14 -
ClamAV 0.94.1 2009.03.15 Exploit.PDF-29
Comodo 1057 2009.03.15 -
DrWeb 4.44.0.09170 2009.03.16 -
eSafe 7.0.17.0 2009.03.15 -
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.15 -
F-Secure 8.0.14470.0 2009.03.15 -
Fortinet 3.117.0.0 2009.03.16 -
GData 19 2009.03.16 JS:Pdfka-BX
Ikarus T3.1.1.45.0 2009.03.16 -
K7AntiVirus 7.10.671 2009.03.14 -
Kaspersky 7.0.0.125 2009.03.16 -
McAfee 5554 2009.03.15 Exploit-PDF.i
McAfee+Artemis 5554 2009.03.15 Exploit-PDF.i
McAfee-GW-Edition 6.7.6 2009.03.16 Heuristic.Exploit.PDF.CodeExec.NKOG
Microsoft 1.4405 2009.03.15 -
NOD32 3937 2009.03.15 -
Norman 6.00.06 2009.03.13 -
nProtect 2009.1.8.0 2009.03.16 -
Panda 10.0.0.10 2009.03.15 -
PCTools 4.4.2.0 2009.03.15 -
Prevx1 V2 2009.03.16 -
Rising 21.20.62.00 2009.03.15 -
Sophos 4.39.0 2009.03.16 Mal/JSShell-B
Sunbelt 3.2.1858.2 2009.03.15 -
Symantec 1.4.4.12 2009.03.16 Bloodhound.PDF.6
TheHacker 6.3.3.0.282 2009.03.16 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.15 -
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.15 -
Posted: Mon, Mar 16 2009 0:22 by alvinchen | with no comments
Filed under: , ,
Panda推出USB防護程式 - USB Vaccine

當初,我一度以為是類似Wow! USB Protector等軟體,試用之後發現不太一樣。

它的名字 ”USB Vaccine”,中文直譯是“USB疫苗,就是避免遭到USB病毒感染。也就是直接中斷USB病毒的動作,非靠病毒碼判斷。

而它中斷的方式有兩種:

1.      Computer Vaccination
禁用系統的autorun功能,並監控USB或光碟機等是否有autorun的行為。

2.      USB drive Vaccination
USB中寫入空白的autorun.inf,且無法修改內容/權限、也無法刪除

最後那個建立空白autorun.inf,目前唯一的刪除方式,只有先備份再格式化一途。至於建立此檔的技術,Panda基於安全考量,尚不公布細節;而官方聲明目前只支援FAT/FAT32,不過有網友說NTFS沒問題就是了。 

官方Blog及下載網址:
http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx

 

 

Posted: Sat, Mar 14 2009 10:53 by alvinchen | with no comments
Filed under: , ,
Project 2009 行事曆

 

適用於Project 2007

http://www.microsoft.com/downloads/details.aspx?familyid=6049AF25-9668-4B7B-A95F-D28204E9FD10&displaylang=zh-tw

 

Outlook 2009 行事曆

無意間看到的, FYI.

適用於: Outlook 2002, 2003, 2007

http://www.microsoft.com/downloads/details.aspx?familyid=BD5DD6CF-F601-4FD1-8250-FE0A2E8097EE&displaylang=zh-tw

Posted: Wed, Mar 4 2009 5:19 by alvinchen | with no comments
Filed under: , ,
More Posts Next page »