【資安通報】Backdoor.Sogu木馬 病毒概述:Backdoor.Sogu屬特洛伊木馬,於受感染電腦中開啟後門,通常藏於e-mail附件中 病毒型態:木馬 風險等級:等級1 影響平台:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 說明: 該木馬一旦被執行,將建立下列檔案: %UserProfile%Application Datawinsvcfs.DLL 且將建立下列登錄檔子機碼:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinsvcfs HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinsvcfsParameters HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinsvcfsSecurity 同時建立名為winsvcfs的服務 接著嘗試連接下列主機: [http://]nateon.duamlive.com [http://]bbs.afbjz.com [http://]newhose.ntimobile.com [http://]www.adv138mail.com 並嘗試於以下位置發布資訊: http://[HOSTNAME]/update 該木馬為了獲得遠端連接資訊,於受感染電腦隨機通訊埠中開啟raw socket 解決方案: 關閉系統還原功能( Windows Me/XP ) (1) 若執行的作業系統為Windows Me/XP,建議暫時關閉系統還原功能,此功能在Windows Me/XP預設為啟用狀態,假如電腦的資料有毀損,則可使用此功能來復原檔案。假如電腦感染了病毒、蠕蟲或是木馬,則系統還原功能也會備份下系統所感染的病毒、蠕蟲或是木馬。 (2) Windows防止任何外部程式來修改系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了受感染的檔案,還是有可能經由系統還原回復受感染的檔案。所以病毒掃描時,即使威脅已經移除了,還是有可能在系統還原資料夾中偵測到威脅。 (3) 關閉系統還原功能的方法可參閱Windows的文件或是參考下列其中一篇文章: 如何關閉及開啟Windows XP還原功能 如何關閉及開啟Windows Me還原功能 當您完成全部病毒移除程序並確定威脅已解除,請參照上述文件說明重新啟用系統還原功能。 Window Me關閉系統還原功能另可參考下列微軟網頁資料: 防毒工具無法清除 _Restore 資料夾中受感染的檔案, Article ID: Q263455 更新病毒定義檔 請連結至所使用防毒軟體之公司網站下載最新的病毒定義檔,進行相關更新作業。 賽門鐵克 趨勢科技 卡巴斯基 McAfee ESET NOD32 執行全面系統掃描 (1) 啟動防毒軟體,並確認設定為執行掃描所有檔案。 (2) 開始執行全系統掃描。 (3) 如果偵測到受感染檔案,則採取防毒軟體所顯示建議的步驟執行。 (註1) 如果防毒軟體無法啟動或無法刪除所偵測到之病毒檔案,請停止執行這些有風險之檔案以便進行移除。偵測移除作業請在安全模式進行,如何啟動至安全模式請參考註2連結說明。重新啟動系統至安全模式後,重新執行一次掃毒程序。 (註2) 如何開啟安全模式請參考網址。 http://service1.symantec.com/SUPPORT/INTER/traditionalchinesekb.nsf/0/ e990b18af378332588256c560078954a?OpenDocument&seg=hm&lg=zh&ct=tw (註3) 如有掃描出任何病毒,請依指示刪除病毒,移除受感染的檔案後再重新開啟系統至正常模式。 參考資料: http://www.symantec.com/security_response/writeup.jsp?docid=2011-073003-5345-99 資料來源:Symantec (資料來源:icst技服中心)
目前分類:資訊網路 (230)
- Nov 25 Fri 2011 10:18
【資安通報】Backdoor.Sogu木馬
- Nov 22 Tue 2011 09:52
2011 年被盜帳號最多次的 25 組密碼
2011 年被盜帳號最多次的 25 組密碼
-
密碼是保護網路個人資料的最基本的一道防線,但似乎還是有許多人沒有設定一組好密碼的觀念,以致於成為駭客下手的目標。有不少的人懶得去想密碼,就直覺的以鍵盤上相鄰的按鍵組合當作密碼,像是 qwerty 或是 123456;不然就是用一些很常用的名字或詞彙做為密碼,如 ashley、michael 和 monkey 之類的。
雖然現在有些網站會要求使用者的密碼必須是數字與字母混合,可是還是會出現如 abc123 或 trustno1 這類很容易破解的密碼,這無疑就是在向駭客大喊:「快來破解我,盜我的帳號吧!」的行為。
- Nov 21 Mon 2011 17:21
Google釋出Andorid 4.0.1原始碼
Android 4.0.1開放源碼的問世代表未直接與Google合作的製造商可自行打造Android 4.0裝置,而設計裝置韌體/軟體的ROM開發人員也能為自己的裝置新增功能,其他人也可自由下載於電腦上編譯Android。 |
Google本周透過Android開放源碼專案釋出代號為「冰淇淋三明治」(Ice Cream Sandwich)的Android 4.0.1原始碼,該版本以同時支援手機與平板電腦等裝置聞名,而且Google並未釋出代號為「蜂窩」(Honeycomb)的前一代Android版本原始碼。 Android 4.0.1擁有桌面等級的瀏覽器,可同步Google Chrome書籤,支援離線搜尋郵件訊息,並新增社交、NFC分享、人臉辨識,及資料用量控制等功能。 |
- Nov 21 Mon 2011 14:30
免費、簡單、實用的防毒程式(Microsoft Security Essentials)
- Nov 11 Fri 2011 22:17
Unicode字串反轉攻擊與防範
Unicode (ISO/IEC 10646)是國際通用的文字符號編碼標準,廣泛使用於電腦系統以表示世界各國文字,包括微軟視窗(Windows -NT、-2000、-XP、-Vista、-7等)、Apple-OS、Linux等作業系統,C++、Java、PHP等語言,以及Oracle、Informix、Mysql等資料庫管理系統。
Windows作業系統顯示Unicode字元所組成的檔案名稱時,只要遇到Unicode的特殊“\0x202E”就進行字串反轉。例如:駭客將含有惡意程式的檔案命名為「提醒\0x202ETXT.SCR」,但使用者看到的檔案名稱卻是字元反轉之後的「提醒RCS.TXT」。藉由這種方法,駭客可以讓將副檔名原為".SCR”、".EXE”或".COM”的惡意程式偽裝成副檔名為“.TXT”的純文字檔,因而誤導使用者點選執行惡意程式。
為防堵Unicode字串反轉攻擊,建議使用Windows作業系統的同仁下載設定檔(網址:https://www.ncert.nat.gov.tw/a1_main_doc_downloadServlet?file=ICST-ANA-2010-0006.rar),並依下列方式關閉Unicode字串反轉功能後,再重新開機。
- 若作業系統為Windows XP/Vista、Server 2003,執行block_rtlo_winxp,vista.reg
- 若作業系統為Windows 7,執行block_rtlo_win7.reg。
- Nov 11 Fri 2011 21:45
Adobe Flash Player 存在繞過安全性限制的弱點
【資安通報】Adobe Flash Player 存在繞過安全性限制的弱點,請使用者儘速更新!
- 詳細描述:
Adobe Flash Player 存在繞過安全性限制的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為Adobe Flash Player 10.3.183.7(含)之前版本(Windows /Macintosh /Linux /Solaris), Adobe Flash Player 10.3.186.6(含)之前版本(Android),中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 - 受影響系統:
Adobe Flash Player 10.3.183.7(含)之前版本(Windows /Macintosh /Linux /Solaris)
- Nov 11 Fri 2011 14:17
Unicode字串反轉攻擊與防範
Unicode (ISO/IEC 10646)是國際通用的文字符號編碼標準,廣泛使用於電腦系統以表示世界各國文字,包括微軟視窗(Windows -NT、-2000、-XP、-Vista、-7等)、Apple-OS、Linux等作業系統,C++、Java、PHP等語言,以及Oracle、Informix、Mysql等資料庫管理系統。
Windows作業系統顯示Unicode字元所組成的檔案名稱時,只要遇到Unicode的特殊“\0x202E”就進行字串反轉。例如:駭客將含有惡意程式的檔案命名為「提醒\0x202ETXT.SCR」,但使用者看到的檔案名稱卻是字元反轉之後的「提醒RCS.TXT」。藉由這種方法,駭客可以讓將副檔名原為".SCR”、".EXE”或".COM”的惡意程式偽裝成副檔名為“.TXT”的純文字檔,因而誤導使用者點選執行惡意程式。
為防堵Unicode字串反轉攻擊,建議使用Windows作業系統的同仁下載設定檔(網址:https://www.ncert.nat.gov.tw/a1_main_doc_downloadServlet?file=ICST-ANA-2010-0006.rar),並依下列方式關閉Unicode字串反轉功能後,再重新開機。
- 若作業系統為Windows XP/Vista、Server 2003,執行block_rtlo_winxp,vista.reg
- 若作業系統為Windows 7,執行block_rtlo_win7.reg。
- Nov 11 Fri 2011 13:45
Adobe Flash Player 存在繞過安全性限制的弱點
【資安通報】Adobe Flash Player 存在繞過安全性限制的弱點,請使用者儘速更新!
- 詳細描述:
Adobe Flash Player 存在繞過安全性限制的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為Adobe Flash Player 10.3.183.7(含)之前版本(Windows /Macintosh /Linux /Solaris), Adobe Flash Player 10.3.186.6(含)之前版本(Android),中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 - 受影響系統:
Adobe Flash Player 10.3.183.7(含)之前版本(Windows /Macintosh /Linux /Solaris)
- Aug 14 Sun 2011 04:43
Windows Media Player 外掛程式
- Aug 13 Sat 2011 20:43
Windows Media Player 外掛程式
- Jun 28 Tue 2011 17:07
WiFi無線上網(FREE)
10月開始全面無線上網 免費 !!
- Jun 28 Tue 2011 09:07
WiFi無線上網(FREE)
10月開始全面無線上網 免費 !!
- Jun 09 Thu 2011 22:25
如何在 Windows 7 建置開機 VHD
如何在 Windows 7 建置開機 VHD
簡介
VHD(Virtual Hard Disk)檔案是微軟虛擬機器軟體模擬硬碟的檔案格式,包括 Hyper-V、Virtual Server、Virtual PC 的虛擬機器,都以 VHD 模擬硬碟。而因為 Windows 7 及 Windows Server 2008 R2 開始支援 VHD,因此 VHD 檔案能以硬碟的形式在這兩種作業系統使用,甚至還能以 VHD 開機—將 Windows 7 或 Windows Server 2008 R2 部署在 VHD 所建立的虛擬硬碟,Windows 7 或 Windows Server 2008 R2 的 Loader 就能以虛擬硬碟開機。
VHD 已納入微軟新一代部署方案,除了讓 Windows 7 和 Windows Server 2008 R2 支援 VHD(而且最多可同時連接 512 個 VHD 檔案),整個部署方案也有一系列相關工具互相整合支援。不過 VHD 仍有若干限制,包括:
- 目前僅 Windows 7 企業版、Windows 7 旗艦版、Windows Server 2008 R2 支援 VHD 開機。
- VHD 開機的系統支援睡眠但不支援休眠。
- VHD 檔案不可為巢狀結構。
- 不支援伺服器訊息區(SMB)共用的 VHD 開機。
- 主機磁碟區若包含用於開機的 VHD 檔案,即無法以 BitLocker 加密,且 BitLocker 無法用在內含 VHD 的磁碟區。
- VHD 檔的父磁碟分割不可是磁碟區快照。
- 不可將連結的 VHD 設為動態磁碟。
事前的準備
我們將使用命令列工具來完成所有的操作,包括 DiskPart、ImageX、BCDEdit 等 3 支工具程式,其中 ImageX 包含在 Windows 自動化安裝套件(AIK),請下載並安裝 Windows 7的Windows AIK 即可獲得;其他兩支工具已內建於 Windows 7。
- Jun 09 Thu 2011 14:25
如何在 Windows 7 建置開機 VHD
如何在 Windows 7 建置開機 VHD
簡介
VHD(Virtual Hard Disk)檔案是微軟虛擬機器軟體模擬硬碟的檔案格式,包括 Hyper-V、Virtual Server、Virtual PC 的虛擬機器,都以 VHD 模擬硬碟。而因為 Windows 7 及 Windows Server 2008 R2 開始支援 VHD,因此 VHD 檔案能以硬碟的形式在這兩種作業系統使用,甚至還能以 VHD 開機—將 Windows 7 或 Windows Server 2008 R2 部署在 VHD 所建立的虛擬硬碟,Windows 7 或 Windows Server 2008 R2 的 Loader 就能以虛擬硬碟開機。
VHD 已納入微軟新一代部署方案,除了讓 Windows 7 和 Windows Server 2008 R2 支援 VHD(而且最多可同時連接 512 個 VHD 檔案),整個部署方案也有一系列相關工具互相整合支援。不過 VHD 仍有若干限制,包括:
- 目前僅 Windows 7 企業版、Windows 7 旗艦版、Windows Server 2008 R2 支援 VHD 開機。
- VHD 開機的系統支援睡眠但不支援休眠。
- VHD 檔案不可為巢狀結構。
- 不支援伺服器訊息區(SMB)共用的 VHD 開機。
- 主機磁碟區若包含用於開機的 VHD 檔案,即無法以 BitLocker 加密,且 BitLocker 無法用在內含 VHD 的磁碟區。
- VHD 檔的父磁碟分割不可是磁碟區快照。
- 不可將連結的 VHD 設為動態磁碟。
事前的準備
我們將使用命令列工具來完成所有的操作,包括 DiskPart、ImageX、BCDEdit 等 3 支工具程式,其中 ImageX 包含在 Windows 自動化安裝套件(AIK),請下載並安裝 Windows 7的Windows AIK 即可獲得;其他兩支工具已內建於 Windows 7。
- May 09 Mon 2011 18:00
什麼是 P.M.P.O.?
PMPO(Peak Music Power Output)最高音樂輸出功率,單位為瓦特(W-Watt)。
因為 PMPO 只是量度音響組合(HiFi)的一段短時間內可輸出的功率,所以 PMPO 的數值通常都很大,如 1000 W 至 3000 W。生產商往往都喜歡使用這個數字來表達他們的音響組合有幾強勁輸出。但每間生產商量度音響組合的時間和環境有異,所以不能用作比較不同牌子的音響組合的輸出功率。而且 PMPO 的量度的時間都是很短,如 0.5 秒、1 秒左右,亦不代表那部音響組可以長時間輸出同樣大的功率。
其他的補充資料
- May 09 Mon 2011 10:00
什麼是 P.M.P.O.?
PMPO(Peak Music Power Output)最高音樂輸出功率,單位為瓦特(W-Watt)。
因為 PMPO 只是量度音響組合(HiFi)的一段短時間內可輸出的功率,所以 PMPO 的數值通常都很大,如 1000 W 至 3000 W。生產商往往都喜歡使用這個數字來表達他們的音響組合有幾強勁輸出。但每間生產商量度音響組合的時間和環境有異,所以不能用作比較不同牌子的音響組合的輸出功率。而且 PMPO 的量度的時間都是很短,如 0.5 秒、1 秒左右,亦不代表那部音響組可以長時間輸出同樣大的功率。
其他的補充資料
- Apr 21 Thu 2011 22:19
windows update 網頁無法開啟?????
windows update 網頁無法開啟?????
window官網無法開啟,怎麼辦ㄋ??????
ans:到另外可上網的電腦下載Microsoft® Windows® 惡意軟體移除工具
到問題電腦執行後,重新開機就OK了。
================================================
- Apr 21 Thu 2011 14:19
windows update 網頁無法開啟?????
windows update 網頁無法開啟?????
window官網無法開啟,怎麼辦ㄋ??????
ans:到另外可上網的電腦下載Microsoft® Windows® 惡意軟體移除工具
到問題電腦執行後,重新開機就OK了。
================================================
- Mar 26 Sat 2011 00:20
IE9正式下載! 別人說的不一定準,用過才知道好不好
|
|||
|
|||
|
|||
|
- Mar 25 Fri 2011 23:12
微軟開放下載Windows 7 SP1,各位趕緊更新喔!
|
|||
|
|||
|