2010年12月5日 星期日

[news]高達1/3的電腦病毒,在今年前10個月誕生!

0 意見


高達1/3的電腦病毒,在今年前10個月誕生!
  • Panda Security專利認證的集體人工智慧系統,現已自動偵測、分析並歸類了134百萬個檔案,而惡意軟體就佔了其中的6千萬個(包括病毒、蠕蟲、特洛伊木馬和其他威脅)。
  • 今年1月到10月間,駭客已創造了2千萬種新型變種病毒,此數量和2009全年的數量相同。
  • Panda實驗室每天接收到的威脅數量已增加至55,000筆~63,000筆左右。
雲端資安防護廠商-Panda防毒軟體公司的反惡意軟體實驗室(Panda實驗室),最近公佈一項統計資料,內容顯示,現存1/3的電腦病毒是在今年前10個月誕生並散佈出去的,這意味著高達34%的惡意軟體密集地出現在過去的10個月之內。Panda專利認證的集體人工智慧系統,可自動偵測、分析、歸類其所收集到的99.4%網路威脅,現已歸類有1億3千4百萬個相異檔案,而惡意軟體就佔了其中的6千萬個(包括病毒、蠕蟲、特洛伊木馬和其他威脅)
今年1月到10月間,網路罪犯已創造了2千萬種新型惡意軟體病毒株(包括全新威脅以及變種病毒),此數量和2009全年的數量相同。這表示新型威脅的日平均誕生數量已爆增至55,000筆~63,000筆左右

上述現象顯示網路犯罪市場正處於一個不健康的狀態之中。然而,這也可能是因為網路罪犯增加而犯罪手法新鮮度有限的緣故,所以網路罪犯才會統統都把毒手伸進「創造新型病毒」這個遊戲裡面。

上述現象還衍生出另外一個議題:儘管有越來越多的惡意軟體誕生,但它們的生命週期卻越來越短;54%的惡意軟體樣本僅僅存活了24小時之久,而過去幾年的病毒則能多享受幾個月的美好時光。除此之外,現在的病毒只能入侵少數系統,並且大多具備了「快閃」本事。有鑑於現在的防毒軟體都能有效偵測新型惡意軟體,因此「如何躲避偵測」就成了駭客們的首要功課。

這也就是「集體人工智慧」系統之所以這麼重要的緣故:它可以快速殲滅新型惡意軟體,並降低病毒誕生期間-關鍵24小時的被駭風險。

雖然惡意威脅的數量這麼嚇人,但自2009年以來,這些新型威脅的增加速度卻已逐漸減緩。Panda實驗室的技術經理Luis Corrons表示:「自2003年以來,新型威脅就以一倍以上的速度在快速成長,而今年卻減緩到了50%,但這並不表示新型威脅數量減少或是網路犯罪市場的規模正在逐漸萎縮當中,事實上正好相反,我們集體人工智慧系統所偵測到的新型威脅數量遠比2009年還多得多,這顯示網路犯罪市場的規模已經越來越大。現在的駭客為了達到快速攻擊、毒駭遍野的目的,不是把舊型惡意軟體病毒碼拿來重新散佈,就是改造已知威脅再重新散佈出去,畢竟創造新型威脅也是需要一些時間的。

2010年11月14日 星期日

[news]駭客狂駭政院 1天逾2萬起

0 意見


駭客狂駭政院 1天逾2萬起


可以想像每天遭兩萬多封惡意電子郵件攻擊下場?行政院近年遭不明駭客狂轟濫炸後,已全面強化網管系統並通過ISO 27001國際認證,官員私下坦言「擋掉八成(駭客攻擊)就偷笑了」。

行政院副秘書長兼資訊安全長陳慶財表示,政院是國家重大政策規劃策定機關,才會成為駭客攻擊標靶;根據資訊室統計,政院遭受疑似惡意電子郵件攻擊,平均每天兩萬兩千多起,簡直是防不勝防。
資訊室主任趙培因也說,惡意電子郵件並非都是駭客攻擊,經深入調查調查,政院每月駭客攻擊約五百件,平均一天廿起,駭客手法通常是入侵竊取密碼,或假冒政院首長發送電子郵件,已有多起移送檢調偵辦。
官員表示,駭客手法會配合時事,例如最近APEC會議期間,駭客就偽造政院會議紀錄發出公文給相關部會,藉此植入木馬病毒,「不是要盜取密碼就是要癱瘓政府網路」。
趙培因解釋,駭客使用電子郵件來源(IP)大都透過「跳板」,就是採多重連結方式,讓官方難以追查;不少攻擊政院的駭客來自大陸或南韓,但「兩地也可能只是跳板」。
不過,國民黨大台中市長候選人胡志強網站日前被駭,結果竟是曾任民進黨執政時期的資安顧問所為。被問到政院駭客是否可能為國內綠營網軍?趙培因說「沒有具體實證」。據轉述,政院追查駭客,曾追查出國內某家企業IP,結果實地調查發現是空頭地址,等於仍是「跳板」。
為防堵駭客攻擊,政院已經建置一套網路防護系統,每天透過模組資料庫過濾清查電子郵件,全面管控員工收發郵件,「一發現有問題,就馬上擋上。」 政院內部軟硬體也全面升級,從院長辦公室到駕駛司機,全面接受網路訓練並嚴防下載無版權軟體,以減少感染病毒機會。

新聞辭典/ISO 27001 資安認證
ISO就是「國際標準化組織」,成立於一九四七年,目前共一百六十三個會員,參加者主要是各國國家標準機構和公司企業,用以製作全世界工商業國際標準。ISO的國際標準通常以數字呈現,我國非會員國,但經濟部標準局(CNS)公布標準總號,常與ISO雷同。
ISO至今已公布超過一萬八千個標準組織,例如9001是品質管理系統標準系列、27001就是資訊安全認證系統。行政院本部日前通過ISO 27001認證,也是目前政府機關中,唯一全機關通過此一認證者。(李明賢)
【2010/11/14 聯合報】@ http://udn.com/

此篇文章出處網址

2010年11月12日 星期五

[news]網安/Stuxnet蠕蟲人人喊打 新木馬假除毒好意趁虛打劫

0 意見

記者蘇湘雲/台北報導

資安專家自今年6月發現了一個名為Stuxnet蠕蟲惡意程式怪客,主要攻擊目標是例如核能發電廠、煉油廠中的自動化生產與控制(SCADA)系統,發動全球通緝人人喊打中;沒想到,專家最新偵測到以W32.Stuxnet清除工具為名義,欲感染使用者電腦的木馬Trojan.Fadeluxnet,可說是趁虛打劫的偽君子。

最新的諾頓病毒週報8日公佈Trojan.Fadeluxnet木馬病毒,指出受影響的作業系統包括Windows 95/98/Me/NT/2000/ XP/Vista,以及Windows Server 2003。賽門鐵克描述,W32.Stuxnet於2010年7月出現,是利用零日漏洞進行傳播並感染工業控制系統的惡意病毒,近期偵測到以W32.Stuxnet清除工具為名義,欲感染使用者電腦的木馬Trojan.Fadeluxnet。

追蹤調查發現,Trojan.Fadeluxnet通常會自行命名為Microsoft Stuxnet Cleaner,令使用者以為這是微軟發佈的合法程式。執行後,會自行釋放一個名為Stuxnet Cleaner的bat檔,假冒成清除W32.Stuxnet病毒的程式,實際上該檔將執行惡意操作,分別是
一、修改系統檔案關聯,讓系統無法正常開啟exe、mp3、jpg、bmp以及gif等檔案格式;
二、關閉IE、Firefox等流覽器;
三、刪除磁碟C的所有檔案和資料夾

專家建議,使用者不要輕易造訪可疑網站、或下載來歷不明的應用程式。同時在瀏覽網頁前,可以使用網頁安全工具分析將要造訪網頁的安全性。

此篇文章出處網址

2010年10月28日 星期四

[必看]狼又來了,Microsoft Security Essentials 山寨版再起

0 意見

微軟自家的Microsoft Security Essentials防毒產品相當知名。先前曾經有駭客刻意做了一款Security Essentials來揶揄微軟,內容卻是恐嚇用戶要付費購買其他防毒軟體。微軟強調,這是木馬程式,透過欺騙手段讓用戶下載惡意程式,不可不慎。

根據微軟自家Windows Security Blog的報導,先前已經被微軟官方列為黑名單的假Security Essentials,最近又有死灰復燃的現象。他們會透過偷渡下載(drive-by download)的安裝方式,誘使用戶下載惡意程式到系統中,造成損失。而這隻木馬程式,被命名為win32/FakePAV
微軟表示,假的Security Essentials運作的時候乍看跟真的沒兩樣,甚至還會正經八百的幫你掃描是否遭到感染。但跟真的不一樣的是,假的Security Essentials會提示請你安裝更強的防毒軟體來保護你的系統,甚至還列出了許多防毒廠商的商標跟下載連結。只是這些連結當然也是假的,只會帶使用者下載更危險的病毒下來而已。
Windows Security Blog據說弄到了表面上仍是Security Essentials,實際上卻是win32/FakePAV的檔案,安裝之後,軟體會竄改開機啟動資料,讓木馬能夠在開機後自動啟動。當然,連掃描都做的跟真的一樣,如果後面沒有漏出狐狸尾巴的話。
▲掃描下去,沒多久會看到有可疑的物件(圖片來源:Windows Security Blog
▲還可以拉開細節來看,這可不妙,被感染的是iexplorer.exe(圖片來源:Windows Security Blog
▲而且假防毒會說清不掉,要用線上掃描(圖片來源:Windows Security Blog
▲點下去會看到琳琅滿目許多防毒大廠,但都是假象(圖片來源:Windows Security Blog
▲當然,這時候下載的「清毒工具」都是有問題的(圖片來源:Windows Security Blog
微軟表示,就算被假的Security Essentials綁標,用真的Security Essentials還是能解,而且是免費的。早在今年年初時,微軟就已經注意到這個木馬,並加入惡意程式清單中,但最近卻又有開始蠢動的趨勢,而微軟也強調,若需要乾淨的Security Essentials,從官方網站http://www.microsoft.com/security_essentials/下載會是最理想的方案。

消息來源:Windows Security Blog

2010年10月13日 星期三

[news]Facebook 提供一次性密碼

0 意見

Facebook 提供一次性密碼
Facebook日前增加若干新安全措施,包括提供會員一次性密碼,以免他們在使用公共電腦後,被其他人冒用身分。

如果你不想在目前使用的電腦上,輸入平常慣用的密碼,你可以用手機發送 "otp"簡訊至32665,要求Facebook提供一個一次性密碼。使用本功能前,你必須先到Facebook確認你的手機號碼。一次性密碼的效用只有20分鐘。

Facebook將漸進推出這項服務,但應可在未來幾週內全部到位。民眾應避免在公共電腦上使用慣用的密碼,或存取敏感資料,因為這些主機很可能感染了鍵盤側錄程式,或其他竊取資料的惡意軟體。

該公司也表示,將定期要求會員更新其基本帳號資料,如聯絡電話、額外的電郵帳號和安全問題,以便在必要時,協助確認帳號使用者確為本人。

在此同時,Facebook的遠端帳號監看與登出功能,也完成全面上線。這是防止使用者忘記在另一台電腦登出時,造成安全漏洞。該功能上月即在部分地區推出。(陳智文/譯)

新聞出處網址

2010年10月4日 星期一

[news]MSN帳號被盜 朋友好心遭詐財

0 意見

MSN帳號被盜 朋友好心遭詐財

記者王聖藜/台北報導

被騙 法警損失1萬多元


常用MSN和暱友談心,要特別小心。請確認對方真的是「他」。檢察機關最近接獲多起利用人頭申請MSN、E-mail的網路詐財案,人頭要求購買遊戲點數,被害人不察,依指示照辦,結果失金慘重,提告又抓不著真兇,台北地檢署一名法警因此損失1萬1000元


台北地檢署一名法警日前和同事玩MSN時,對方要求幫忙買線上遊戲點數,並指名是某公司產品,法警心裡想「應該是他,沒錯!」,於是自掏腰包,分三次跑到「7─11」便利超商各買了5000元、3000元、3000元的點數,還依照指示,將總值1萬1000元的點數輸入指定帳號儲值。


第二天,這名法警開口向同事索回買點數先墊的錢,他的同事卻說,發誓並沒有在MSN中要求他去買遊戲點數,兩個人一陣雞同鴨講,這才驚覺被騙。


而帳戶被人盜用的法警,為了向同事證明沒有騙人的錢,也提告訴自清,控告盜用人違反電腦個人資料保護法,兩案都由檢警單位偵處中。


事實上,同類案件板橋地檢署有結案的案例,並作成不起訴處分。不起訴書指出,陳姓男子控告32歲的汪姓男子登入他友人張姓女子的帳戶,今年3月31日、4月1日用E-mail和他聯絡,請他買橘子公司遊戲點數2997元、買智冠公司遊戲點數3000元,他買了後,向張女詢問,發現受騙。


別盡信網路 打通電話確認



利用MSN、E-mail當介面的犯罪態樣,是繼電話詐騙後的新型態犯罪,有偵辦電腦犯罪案件經驗的檢察官奉勸網路愛用者,用網路和朋友聊天時,不必太當真,答應對方事情或想付出錢財前,最好「先打電話向你好友查證一下」。

新聞出處網址

2010年9月28日 星期二

[news]開簡訊就中毒 專攻擊Android手機

0 意見

開簡訊就中毒 專攻擊Android手機


2010-09-28、中國時報、陳大任/台北報導


     智慧型手機日益普及,現在也成為駭客入侵的對象。趨勢科技最近發現第一個專門攻擊Android手機的惡意程式「TROJ_DROIDSMS.A.」,與上個月發現的Symbian惡意程式有類似的偽造行為,都會盜用個人資料。業者認為,未來手機遭到病毒攻擊的情況只會越來越多。

     科技業者表示,第一個衝著Android手機而來的TROJ_DROIDSMS.A.惡意程式,是利用簡訊的途徑散布,使用者只要打開程式就會中毒,雖然目前沒有造成很大的災情,但駭客很快又散布另一個叫做Tap Snake的應用程式,只要是按下同意該服務的「終端使用者授權合約」,駭客就會藉此取得個人所在的位置資料

     以往駭客散布病毒,多半是毀滅式的攻擊,被感染的電腦、手機經常因此掛點,無法繼續操作,不過,這種癱瘓主機「損人不利己」的手法已不流行,駭客轉為盜取個人資料還比較有賺頭。但是,這種手法更可怕,無論是電腦或手機,一旦受到病毒攻擊,使用者也不會感覺到有異常,等到個人資料被盜用,手機大量發送簡訊,使用者收到帳單才發現損失慘重

     趨勢科技技術總監戴燊表示,駭客的行為向來是往最熱門的地方鑽,現在使用手機上網的人多了,目標也變得明顯,iPhone上市這麼久,但很少傳出「疫情」是因為它還是較封閉的系統,而Android手機開放式平台的特性,使用者下載應用程式時就要更為小心。

     趨勢科技公關經理江婷說,手機的傳播力高,惡意程式散布的速度比電腦更快,資訊防護的觀念也應該注意到使用手機可能遇到的風險,目前電信業者都有提供類似防毒的服務,如中華電信即與趨勢科技合作,提供手機防護精靈的服務。使用智慧型手機的用戶可電詢客服人員,查看手機是否有受到防毒軟體的保護

新聞出處網址

[必看]你的 PC 安全嗎?零時弱點網站告訴你

0 意見

你的 PC 安全嗎?零時弱點網站告訴你
你認為自己的電腦有多安全?你可能只依賴微軟和蘋果等軟體商,不定時地通知你安裝更新。但在修補程式發佈前,已知漏洞(或稱零時差弱點)已讓你的電腦坐待攻擊。透過電郵和不經意瀏覽的網站,惡意程式即可潛入你的電腦。


EEye Digital Security日前成立一個列出已知零時差弱點,並提供既有修補程式資料庫的網站。 Zero Day Tracker集結了已公開之安全漏洞訊息,包括受影響的軟體、嚴重程度、潛在衝擊、替代方案和其他防護方法的建議

eEye共同創辦人兼技術長Marc Maiffret表示,這個免費網站提供零時差資訊的「一站式服務」。他說:「長期以來,唯一提供零時差訊息的公司就是微軟,Adobe則是最近才加入。但還有許多公司的零時差弱點都沒有被通報。」

目前使用最廣泛的軟體弱點資料庫,是美國國土安全部轄下國家網路安全部/US-CERT贊助、美國國家標準與科技協會負責管理的國家弱點資料庫(National Vulnerability Database)。但你必須自己搜尋資料,查看哪些弱點尚未修補。

Zero Day Tracker以時間順序,列出尚未修補的漏洞。目前有21個零時差漏洞,除了兩個分別出自2006年和2005年,其餘全是2010年才曝光的弱點。2005年11月曝光的漏洞,影響Windows 2000系統。Maiffret說:「一如預期,微軟是2010年未修補零時差弱點最多的公司。」前一年也是,但Adobe有急起直追之勢。

針對蘋果系統被列出的弱點稀少,Maiffret表示,那反映出蘋果的市場比Windows小很多,不代表Mac軟體較安全。他說:「與微軟和微軟相關的軟體相比,蘋果的零時差弱點少很多,但那絕不代表Mac沒有弱點。」攻擊者寧願把時間和精力花在90%的使用者身上。

Adobe最近剛修補一個Flash Player的零時差弱點,微軟也用緊急更新,防堵一個散播Stuxnet蠕蟲的漏洞。Stuxnet可利用三個Windows弱點散播,微軟上週解決了一個,還有兩個弱點未補。

Zero Day Tracker也將納入行動軟體的弱點資訊。Maiffret表示:「其中一種iPhone越獄技巧,就是利用一個PDF弱點。那只是行動平台零時差弱點的一個例子。」

除了提供資訊和好用的資源,Maiffret希望公開這些弱點,能促使軟體商儘速修補。他說:「我們要對軟體商施壓。」該公司的資料來源包括軟體商、安全公司,和自行監看地下與海外論壇。Maiffret表示:「我們的消息根據之一,是某個中文討論區的對話。」

軟體商在公布安全漏洞時,通常會宣稱尚未發生大規模攻擊,藉此安撫顧客。但針對Windows、Adobe Reader或IE這類廣泛使用的軟體,攻擊程式的出現和散佈,通常就在弱點曝光的一天之內。

例如上週五,微軟警告其用來製作網站的ASP.NET架構有一嚴重漏洞,但尚未有任何相關攻擊。到週一(20日),微軟便更新其安全公告,表示已發生「有限、主動的攻擊」。

這類攻擊也可能隱藏甚久不被發現。例如透過某個IE漏洞,鎖定Google和數十家公司的Operation Aurora攻擊。Google在2010年1月公佈時,宣稱前一個月才發現,但另一個分析顯示,該攻擊行動在5個月前被初次偵測到,但當時可能鎖定不同的公司。Maiffret說:「這項弱點在業者發現之前就被利用。有大量的攻擊是我們不知道的,而我們通常是意外發現它們的存在。」(陳智文/譯)

eEye Digital Security(零時弱點網站)
新聞出處網址

2010年9月23日 星期四

[知識]釣魚網站測驗

0 意見

釣魚網站:

通常是指偽裝成銀行及電子商務等網站,主要危害是竊取用戶提交的銀行帳號、密碼等私密信息。

你自認為可以完全認出哪個是釣魚網站?哪個不是嗎?那麼就來做個測驗:「網釣或非網釣?」
前面五題是真正的測驗,後面則是告知一個辨別方式

而這個辨別方式必須是IE7以上的版本,所以還在用XP的人要多多注意,如果你沒有在更新瀏覽器版本的話(內建為IE 6),很有可能你就辨別不出來釣魚網站,進而掉入陷阱。

這網站主要還是告訴我們,釣魚網站防不慎防,除了安裝防毒軟體,將瀏覽器升級至新版本方便協助我們判斷是否為惡意網站...還要隨時注意自己所瀏覽的網站,尤其是要輸入帳密的網站..

[news]資安漏洞大開,Twitter又遭駭

0 意見

《國際產業》資安漏洞大開,Twitter又遭駭

  • 時報資訊
微網誌Twitter日前遭到病毒攻擊,駭客利用安全漏洞對Twitter大搞破壞,Twitter周二向數以百萬計的使用者致歉。
 
Twitter的資安團隊表示,用戶的帳號資訊並沒有因為這起攻擊事件而外流。使用者只要將滑鼠移動至受感染的連結,病毒即在使用者間流傳。

病毒會在網路瀏覽器開啟彈跳式視窗,將使用者連結至色情網站,或是從使用者的Twitter帳號自動發出訊息,大約有數千名使用者受到影響


受到病毒攻擊的使用者包括白宮新聞秘書吉布斯(Robert Gibbs),以及英國前首相布朗的妻子莎拉,他們在Twitter的追隨者分別達9.7萬名和110萬名。莎拉表示,「我不知道別人收到什麼訊息,但我收到一份減重計畫!」

公司總部設於舊金山的Twitter表示,這起病毒攻擊事件發生於加州時間周二上午2點30分,公司大約在4個半小時後將情況穩住。 (新聞來源:工商時報─記者顏嘉南/綜合外電報導)

新聞出處網址

[news]HDCP主密鑰外洩,DVD、藍光防盜拷機制全面瓦解

0 意見

HDCP主密鑰外洩,DVD、藍光防盜拷機制全面瓦解

撰文者:戴佳慧發表日期:2010/09/20

用以防止非法拷貝DVD、藍光數位內容的HDCP規格,上周傳出已遭駭客破解。制定HDCP的Intel也向媒體承認,網路上流傳的破解屬實。換言之,市面上所有高畫質DVD、藍光光碟在技術上都已能夠被解碼、拷貝,高畫質數位內容的保護機制全面瓦解

HDCP(High Bandwidth Digital Content Protection)是Intel開發用來防止高畫質影音資料遭到非法拷貝的機制。生產DVD或藍光播放設備的廠商,必須獲得HDCP委員會許可,支付權利金,並且生產符合HDCP的規定的商品。

HDCP會將通過DVI和HDMI介面的影音資料加密,加密過程是以串流的方式進行,因此每個畫面都會產生不同的金鑰。影音播放器(或電腦顯示卡)和顯示器雙方都必須內建HDCP晶片才能夠解密,以高畫質正常播放影音內容,否則只會出現雜訊或480p以下的低解析度畫面

由於HDCP使用的是線性密鑰,密碼學家早在2001年就對HDCP的安全性提出質疑,但HDCP還是在2004年通過美國聯邦通訊委員會FCC的審查正式上路,成為數位內容保護的標準。直到上星期Pastebin網站出現一篇不具名的文章,內容包含HDCP完整主密鑰和破解方法,引起媒體和大眾熱烈討論,Intel才正式承認HDCP已遭到破解。

HDCP的主密鑰外洩,對數位影音版權將產生莫大衝擊。Intel一方面展開調查,一方面提醒大眾,拷貝高畫質DVD和藍光屬非法行為,且HDCP仍受專利權法保護,Intel將會對非法使用HDCP密鑰的廠商採取法律行動。

新聞出處網址

2010年9月22日 星期三

[news]兩段式密碼 Google提昇帳戶安全性

0 意見

兩段式密碼 Google提昇帳戶安全性
ZDNet新聞專區:Elinor Mills


Google推出新兩階段認證新功能,除了原有的密碼保護之外,新增一項把安全登入密碼傳至智慧手機的功能,讓駭客更難侵入Gmail和其他Google Apps帳戶。

Google產品經理表示,新功能自周一起對Google Apps加值版(premier)、教育版(education)和政府版(government)用戶提供,未來數月也將陸續對數千萬名個別的Google用戶提供,作為Google免費服務的內建功能選項。

之前,Google帳戶只以密碼保護,容易遭到網路釣魚(phishing)和其他社交工程攻擊( social-engineering attacks)。

採用兩階段式認證功能,可增加網路歹徒入侵帳戶的難度。系統將產生一個一次性的六位數安全碼(security code),並傳給帳戶所有人,以便成功登入。這個安全碼將在用戶輸入密碼後傳出

這種兩階段式認證類似智慧卡(smart cards)和電子代幣(tokens),不同點在於安全碼是透過可攜帶的硬體來存取。

Google用戶可透過Settings網頁設定加入這項服務,並指明希望讓安全碼透過簡訊或自動語音信箱傳送,或是透過Google Authenticator應用程式下載到自己的Android手機、 黑莓機(BlackBerry)或iPhone。安全碼是隨機產生,每隔幾分鐘就會改變。

每次要收Gmail郵件,必須查閱手機並輸入額外的安全碼,可能令許多人覺得不便。Google為解決這個問題,已讓使用同一台電腦存取帳戶者,可勾選「記住這台電腦的認證」方塊,一個月內使用這台電腦登入帳戶就不必再輸入安全碼。

使用者若是覺得自己的帳戶有密碼保護已經夠安全了,就不必選擇加入這項新功能。
(唐慧文譯)

新聞出處網址

2010年9月8日 星期三

[news]封鎖PC要求贖金 勒索軟體技術升級又來了

0 意見

封鎖PC要求贖金 勒索軟體技術升級又來了

記者蘇湘雲/台北報導 

防毒軟體已無法確保電腦系統不被惡意軟體感染,最新型態的駭客攻擊出現一種勒索軟體,可藉由封鎖個人電腦程式與資料,接著再要求贖金,網路安全專家提醒,在今年3月出現一波攻擊後,8月再度出現,而且採用伺服端變形技術,來達到擴大散佈目的。

網路安全商Fortinet最新網路威脅概況月報顯示,勒索軟體TotalSecurity載入程式W32/FakeAlert.LU為今年8月份偵測活動量第一的惡意軟體。

專案經理Derek Manky說,勒索軟體已經走向伺服端多形態,也就是載入程式雖然連結一個伺服器來取得檔案,但程式碼卻是每個小時都在變化,藉此逃避偵測;這項技術常見於殭屍網路病毒例如Waledac,但現在被TotalSecurity開發者採用,再次說明了僅依賴防毒軟體,已無法確保系統不被惡意軟體感染。

Fortinet報告也指出,除了勒索軟體外,8月另一個高偵測量的惡意軟體為Zeus/ZBot,是一個自助式的殭屍網路病毒開發工具,能提供惡意軟體製造者所有開發與管理殭屍網路所需的工具。

報告說,雖然目前Zeus主要設計用來竊取銀行資訊,但它們依然可以輕易地竊取其它種類的資料;它具備一個控制程式能維護與更新殭屍網路,並取回和管理已盜取的資訊;此外它擁有一個組態式開發工具,能讓製造者建立執行檔來感染使用者的電腦。

2010年8月26日 星期四

[轉貼]世上沒有不會中毒的電腦

0 意見

世上沒有不會中毒的電腦。

   蘋果的廣告之一,就是不會中毒。老人一生只中過一兩次毒,是很早期使用Mac IICx或是Mac Plus時。真正日期已記不起來。因此後來也使用抓毒軟體(Symantec Norton AntiVirus),花了一小筆錢。一下子之間病毒在蘋果電腦似乎消失了。大慨那一段時間蘋果市佔率大幅跌落,駭客興趣不大了。但進入OS X以後,駭客較不容易侵入,病毒似乎也稀少,就沒再用過抓毒軟體。

   病毒有時候讓電腦一下子出問題。但病毒的恐怖似乎沒有後來居上的黑心軟體(malware)或是偵探軟體(spyware),來的嚇人。廣義而言,病毒也算是黑心軟體的一種。其他如worms蟲 、Trojan horses木馬、rootkit、等。

  黑心軟體潛伏在電腦中,如 rootkit (root 是"根",在Unix系統中就是一般所謂的系統管理員)藏在電腦的中心根部。2005年Sony為了防範CD盜烤,就放了一個rootkit (kernel extension)在root中,引起當時電腦界的大新聞。

  防毒軟體不一定偵測出黑心軟體來。黑心軟體或是偵探軟體,可偷隱私電腦資料,如密碼等,或是偵測上網情況或是私人資料。黑心軟體有時嚴重危害安全,有時傷害性很低。PC界黑心軟體似乎蠻多的,所以抓黑心軟體的軟體也多。

  黑心軟體因為網路愈來愈廣泛,也因跨平台技術的發展,如 Adobe Flash或是PDF,在蘋果電腦將越來愈多。PC上的病毒不會真正感染蘋果,微軟的Office上的Macro virus是例外。蘋果電腦Boot Camp上的PC同樣有危險。PC上的病毒倒是會透過蘋果傳染(email文件時)。

  根據TechEye net蘋果在最近一次的OS X 10.6.4系統更新和安全更新軟體中,"偷偷"加入了抗黑心軟體(anti-malware)保護程式,主要是對付一個今年四月被發現的Trojan horses木馬程式。這個Trojan horses木馬程式經iPhoto傳佈。蘋果在文獻中並沒有說明加入保護程式。

  所以蘋果在大眾漸漸使用後,駭客似乎也轉移目標了。如蘋果有新的Secuity Update,大家一定要快速更新。

原始文章出處網址

2010年8月19日 星期四

[news]美國網路司令部網站標章密碼遭破解

0 意見

美國網路司令部網站標章密碼遭破解
文/陳曉莉 (編譯) 2010-07-09
美國網路司令部的標誌除了有地球、老鷹、盾牌外,Wired雜誌率先發現該標誌的環狀內緣刻有由32個數字與字母組成的密碼─9ec4c12949a4f31474f299058ce2b22a。
美國國防部於今年5月正式設立網路司令部(U.S. Cyber Command),由美國國家安全局局長Keith B. Alexander兼任該部門總司令,近來有關該部門最熱烈的議題就是Wired雜誌徵求讀者破解該部門標誌上的密碼。

網路司令部的標誌除了有地球、老鷹、盾牌外,Wired雜誌率先發現該標誌的環狀內緣刻有由32個數字與字母組成的密碼─9ec4c12949a4f31474f299058ce2b22a,並在本周徵求讀者破解,獎品為Wired的T恤或國際間諜博物館的入場券,並吸引不少媒體加入號召的行列。

該密碼很快就被破解,它採用的是1991年發明的的訊息摘要算法(message-digest algorithm,MD5),內容為網路司令部的任務聲明:美國網路司令部計畫、協調、整合、同步並處理有關指揮與捍衛國防部資訊網路的行動,而且執行所有軍事網路操作以採取全面行動,確保美國及盟軍在網路上的行動自由並防禦對手。

美國媒體引述網路司令部高層證實了該密碼的確是任務聲明,只是簡單地作為該部門標誌的一部份,並不是什麼秘密,也不是什麼惡作劇或競賽。

該密碼的內容並沒有太大創意,而以密碼表達部門任務聲明則相對有趣許多。使用者也可自網路上搜尋MD5密碼產生器,將所要表達的語言轉譯成密碼,對方則可透過反向查詢工具破解。(編譯/陳曉莉)

2010年8月18日 星期三

[news]Facebook 的「dislike」新鍵是詐騙

0 意見

Facebook 的「dislike」新鍵是詐騙
ZDNet新聞專區:Caroline McCarthy



資安廠商Sophos發出警示,Facebook出現另一個化身第三方應用程式的詐騙作法,這一次是假借朋友之名,鼓勵會員安裝一個「dislike」(不喜歡)按鍵。
Sophos在16日的公司部落格上揭露這種騙局。下載安裝的連結,看似來自使用者的某個朋友,但其實是已經中毒的友人系統自動發出的訊息。這種詐騙的目的,是讓使用者完成含在該程式中的一項調查,以取得其個人資料。


Facebook現在是全球超過5億人的社交聯繫和通訊管道,自然成為詐騙者和病毒散播的主要目標。這次的騙局特別狡猾,因其特別針對Facebook自己的「like」按鍵,提供反向的「dislike」,會員通常會輕易上當。

除了引誘使用者完成一項調查,並得以進入會員的個人檔案,再繼續詐騙其他友人,這個騙局似乎沒有造成其他危險。最後,當使用者完成調查後,該程式會將頁面導至合法的Facebook「不喜歡」鍵開發者,FaceMod公司的頁面。這個合法程式是採Firefox瀏覽器外掛的形式,但FaceMod公司與這個詐騙行動沒有任何直接關連。


Sophos分析師Graham Cluley寫道:「如果你想試用FaceMod的附加程式,(註-我們沒有推薦這個程式,也尚未確認其功效。)可直接到Firefox附加程式網頁下載,不要因此讓某個惡意程式存取你的Facebook檔案。」(陳智文/譯)


新聞出處網址
Sophos部落格原文出處網址

其他新聞網址連結
新詐騙技倆! Facebook新增的"不喜歡"功能 立刻被駭

2010年8月13日 星期五

[知識] 認識網路釣魚,永保個人資料安全

0 意見


認識網路釣魚,永保個人資料安全

對於不清楚這裡的網路釣魚所指何事,以及這種行為跟垃圾郵件有何關聯的網友們,我們在此作個簡單的解釋。網路釣魚指的就是為了取得一些重要個人資料(例如使用者名稱、密碼及信用卡資料等),在電子郵件或網站中假冒成你所熟悉的人物或機構,所進行的惡意詐欺行為。一旦對方得到這些資料後,就會用於冒用身份、商業交易或是其他犯罪行為。「垃圾郵件」泛指那些你根本就不想看的廣告信件(像是那種賣藥、賣大補帖的廣告),至於網路釣魚的行為則牽涉到竊取你的帳戶憑證及身份等詐欺動作。上述的手法其實都行之有年了,要感謝這些科技企業的通力合作,以及那些反制網路釣魚的組織長年來的努力,一般應用程式對於假連結、電話網路釣魚及假網站這些技倆的辨識能力都已經提高了。這些網路罪犯因而轉移目標,改向比較容易得手的使用者下手。也正因為人們常常疏忽自身在網路上的身份保護,因此宵小們不需要用到太複雜的方法就能讓保護個人資料的大門敞開。通常人們最容易上當的情況,都是因為收到一封看似來自認識的人所寄來的信件,好比說提供信箱服務的客服部門,甚至是你認識的朋友。信中會要你提供你的帳戶憑證或是要求你按下某個連結。像這類的信件相信你我多少都曾經收到過吧!
幾種最常見的網路釣魚手法

1. 以假冒的身份進行詐騙最常見的攻擊手段之一,就是對方會在電子郵件中以一個大家都熟知的機構作為寄件人名稱,像是「Windows Live 客服部」或是「XX 銀行」之類的,但信箱地址看起來卻不是這麼一回事。要是稍不注意,很可能就會被誤認為真是由這些機構、部門所寄發的信件。

2. 利用竊取的帳戶進行詐騙詐騙者會利用受害帳戶,然後將連結傳送改該帳戶所有聯絡人。只要有警覺性稍低的人點進了連結,就會進入精心設計的詐騙下載網站。一般人總覺得朋友寄來的信可信度比較高,正因此而中了詐騙者的詭計。所以即便是朋友寄來的信件,只要發覺稍有不對勁還是小心為妙。

3. 詐騙者利用電話要求你提供憑證在這種例子中,詐騙者會以你的帳號將會被關閉等理由,要求你打電話至客服中心。一旦按照他的指示撥電話,你個人的密碼及其他重要資料就會落入對方手中了。

4. 假網站許多詐騙者會設計一個與其他知名網站極為相似的官方網站,讓使用者失去戒心。最常見的就是與知名網站相近的網址,好比說原本應該是「www.microsoft.com」的網址,詐騙者就會以「www.micosoft.com」或「www.verify-microsoft.com」這類的網址來進行詐騙,

5. 假裝跟你套交情有時候詐騙者會先收集你在一般社交網路上留的資料,然後在信中提起,讓你以為是哪位多年不見的好友突然出現而不小心把你的資料洩漏給對方
這些詐騙者只要得到了你的帳戶憑證後,通常都會拿來進行以下的勾當:
· 利用你帳號中的聯絡人去騙更多認識你的人。這種找朋友圈的詐騙手段成功率遠比亂槍打鳥來得高,原因就在於一般人對於朋友寄來的信件普遍都沒有戒心。另外,這種偷來的帳戶比較能躲過反詐騙的偵測,所以相當好用。
· 他們會利用與被盜取帳戶相關連的資料,甚至將這些資料賣給其他人。要是你的銀行帳號不幸也使用相同的密碼,那麼損失可能會更嚴重。
· 當然,這一筆一筆個人資料也會是黑市裡待價而沽的項目。

做好自我保護:分辨網路釣魚攻擊的方法

警覺心是保平安的不二法門,因此還是得不厭其煩的在這裡告訴大家對付這些詐欺手段的方法。
使用 Hotmail 時你應該會發現,系統會以各種顯而易見的警示讓你注意並防範各種可能的危險,就好像信上的安全列會以顏色提醒你這可能是一封有危險的信件;而如果寄件人的身份不明,我們也會適時提醒。
另外,「寄件人」的地址也是個重要的檢查項目。我們通常只會注意寄件人的名稱,但其實名稱是很容易出現冒名的情形,但是寄件人地址卻有可能出現破綻。甚至就連地址有時也可是幾可亂真,因此在你選擇「回覆」時,請再注意一下回信的地址是否與寄件地址相同,如果不是的話,那麼詐騙的成份就相當大。

Microsoft 從來不會要求使用者利用電子郵件來確認個人密碼。只有在正式的 Windows Live ID 登入網頁你才可以輸入密碼,所以不管什麼情況,切記千萬不要在電子郵件、即時訊息或討論區上向他人洩漏你的帳戶憑證。

[news]史上最凶木馬病毒 盜銀行帳戶

0 意見

史上最凶木馬病毒 盜銀行帳戶


(法新社舊金山11日電) 美國網路安全公司今天警告,駭客正使用一種先進的「宙斯」電腦病毒,從某英國金融機構的網路銀行帳戶一點一滴提走現金。


這隻最新的木馬病毒,乃3年前首次出現、名叫「宙斯第三版」(Zeus v3)木馬病毒的變形版。此一程式專找網路銀行下手。


報導說,約有3000名網路銀行用戶遭到入侵,帳戶內存款全被盜領,該病毒還會編造假聲明,以使騙局不致破功。


專家表示,這個被用來攻擊的「木馬程式」病毒,是有史以來最精密也最危險的惡意程式。

網路安全公司M86 Security表示,1家英國銀行遭盜走約67萬5000英鎊。(譯者:中央社李建緯)

新聞出處網址

2010年8月12日 星期四

[news]該來的還是會來 Android出現首款病毒!

0 意見

該來的還是會來 Android出現首款病毒!


由於Google與協力廠商大力推廣Android平台,因此有越來越多人使用此款作業系統,同時也漸漸成為不少意圖不軌人士鎖定的目標,而終於在最近出現了首款針對Android攻擊的病毒。

文/楊又肇

(圖/擷自PocketNow網站)
由於Google與協力廠商大力推廣Android平台,因此有越來越多人使用此款作業系統,同時也漸漸成為不少意圖不軌人士鎖定的目標,而終於在最近出現了首款針對Android攻擊的病毒。

防毒廠商卡巴斯基日前發現一款潛伏在文字簡訊中的木馬型病毒,名稱同時被稱為「Trojan-SMS.AndroidOS.FakePlayer.a」,同時將會透過文字簡訊傳染給其他同樣使用Android的手機。

當手機接收此組文字簡訊時,系統將會詢問是否安裝一組被包裝成看似無害且為13KB大的多媒體播放程式,假使使用者按下確認並安裝之後,病毒將會常駐於背景運作並自動透過手機通訊錄內容傳送簡訊,而可能將會造成使用者通訊費用增加。

目前還沒有明確的方式可用來判斷手中的手機是否被病毒感染,現行最好的防治辦法便是拒絕一切可疑的安裝請求,或者是看之後是否將會有相關漏洞修補?

※相關連結》

‧First Android Virus (PocketNow網站)

新聞出處連結:http://mag.udn.com/mag/digital/storypage.jsp?f_MAIN_ID=322&f_SUB_ID=2920&f_ART_ID=264317

2010年8月3日 星期二

[news]微軟補了 Windows 捷徑漏洞

0 意見

微軟週一修正了一個已經被病毒/惡意軟體利用的Windows漏洞。

這次安全修補是修正了Windows Shell處理捷徑檔案的模式,也就是桌面小圖(.lnk延伸)資安專家先前警告,若有人利用這個漏洞作壞事,就可完全控制受害者的電腦

比如,攻擊者可把惡意捷徑檔案放在USB隨身碟拿去散播,若有人在Windows檔案總管中開啟,惡意程式就可開始執行。惡意程式也可透過網頁或Word檔來傳播。

原先這個漏洞是遭有心人透過USB來竊取某些關鍵基礎設施廠商執行Siemens軟體的系統中資訊。後來本週微軟主動在部落格中表示有人拿去作別的攻擊用途。

由於情況嚴重,微軟決定不依循原有安全更新釋出週期(下一次是8/10日),臨時釋出修補程式。

該漏洞會影響所有Windows版本,包括Windows 2000與 XP SP2,只是後兩個版本都已經過了微軟保固支援,若要免受攻擊,得先升級才行。

2010年7月29日 星期四

[news]中國變種木馬 綁架桌面捷徑

0 意見

中國變種木馬 綁架桌面捷徑

〔記者王珮華/台北報導〕資安業者近期觀察新一波木馬程式攻擊,發現名為Troj_malware.vtg的木馬,會竄改使用者桌面捷徑,只要使用者點下這些捷徑,就會連到中國知名網站,如百度、淘寶等,推測木馬的作者可能是對岸駭客。資安業者建議,透過修改登錄檔,可解決桌面捷徑被綁架的問題。


趨勢科技表示,最近發現一隻名為Troj_malware.vtg的變種木馬程式,一旦網友瀏覽帶有此木馬程式的網頁,會跳出視窗詢問是否要執行某些程式,不論網友接受與否,此惡意程式將自動執行,讓使用者的檔案捷徑失效,點選任何捷徑都會被連到某些中國知名網站如百度、淘寶等,捷徑形同綁架。


趨勢科技資深技術顧問簡勝財指出,該木馬目前在中國與台灣都有發現,由於木馬程式可能被駭客植入任何網站,因此無法得知瀏覽哪些網站會中招。不過,從木馬執行時,會跳出簡體中文視窗來看,這隻木馬作者有很大機會是對岸人士,也推測網友瀏覽中國網站時,遭感染的機會比較大,請網友特別小心。


簡勝財說,目前觀察到被感染的檔案捷徑將無法自桌面直接修復,須經手動於系統中修復,造成網友使用電腦的不便,至於遭感染的電腦是否會有其他風險,目前還沒發現,依照駭客行為模式,可能是在測試某些更具威脅性的惡意工具。簡勝財提醒,由於此隻木馬程式變種速度快且多,網友最好勿輕易瀏覽不明網站。


趨勢科技也提供修復方式,網友可在「附屬應用程式」中找到「執行」,輸入「regedit」,按下「編輯-->尋找」,輸入被綁架前往的目的網址,找到左方相對應的CLSID值;之後,再「編輯-->尋找」,輸入CLSID值,將搜尋到的登錄值全數刪除,即大功告成。

新聞出處網址:http://tw.news.yahoo.com/article/url/d/a/100729/78/2a3og.html

[news]資安研究員展示如何破解ATM

0 意見

資安研究員展示如何破解ATM
ZDNET新聞專區:Declan McCullagh



資安研究員周三以實例證明,破解自動櫃員機(ATM)不是不可能的事,只要有合適的軟體,甚至是輕而易舉的事。
西雅圖IOActive公司安全測試總監Barnaby Jack周三在拉斯維加斯黑帽(Black Hat)會議上演講,把兩台ATM搬到講台上,親自示範如何破解ATM,按了一個按鈕後,讓ATM吐出一堆鈔票。
澳洲籍、家住聖荷西的Jack說:「有些裝置從外表上看來固若金湯,但我希望改變民眾對這些裝置的看法。」
經由他的示範,台下觀眾見識到一項安全漏洞可讓駭客透過電話數據機連上ATM,而且在不知道密碼的情況下,也能立即命令ATM吐出全部的現鈔。
Jack表示,他上網買的這兩台獨立式ATM分別由Tranax Technologies和Triton製造,花了多年的時間研究ATM的程式碼,期間找出了安全漏洞和程式設計上的錯誤,因此讓他能完全取得存取這些機器的捷徑,並且學得破解技巧,可打開同廠牌、別款ATM內建的保險箱。
他說:「我見過的每一台ATM,都可以找出安全漏洞,讓駭客能叫機器吐出鈔票。我檢視過四台ATM,四台都一樣。」(不過,他表示從未評估過內建式的(built-in)ATM,像是銀行和信用合作社採用的那一類ATM。)
Jack指出,自從一年前他引起Tranax和Triton的注意後,這兩家公司已堵住安全漏洞。不過,倘若購置ATM的客戶(例如便利商店或餐廳)未安裝修補程式,這些ATM仍可能讓駭客乘虛而入。
破解ATM不是新點子,電影「魔鬼終結者2」的主角John Connor的演出就令人印象深刻。有些竊賊更利用一種少有人知的設定選單,騙ATM以為它們吐的是1美元美鈔,但實際吐出的是20美元鈔票。
但這些破解技巧威脅有限,因為不是靠深入分析ATM程式碼而得逞。
許多ATM採用Windows CE作業系統與ARM處理器,且具網際網路連線或撥接數據機連結,這些都透過一個串列埠(serial port)連結來控制對保險箱的存取。Jack指出,他用標準的除錯(debugging)技巧中斷(interrupt)正常的開機(boot)程序,並改為啟動Internet Explorer瀏覽器,這讓他能存取檔案系統,並拷貝相關檔案以便進行分析。
Jack表示,在Tranax生產的ATM中找到一個遠端存取的安全漏洞,讓他毋須密碼就能自遠端入侵ATM。
至於Triton的ATM,他未發現明顯的遠端存取安全弱點,不過他發現吐鈔的PC主機板只靠一把標準的(非獨一無二)鑰匙保護,可上網以大約10美元購得。他還發現,可以強迫這部機器接受他寫的開後門軟體,當作合法的軟體更新。
出席黑帽會議的Triton工程部副總裁Bob Douglas強調,上述安全漏洞在去年11月發布修補程式時已解決,並提供客戶選擇工具,以獨特的鑰匙取代標準鎖。
Tranax周三未作出回應。
Jack原訂去年在黑帽會議上發表類似的演講,但因為ATM業者向他當時的雇主Juniper Networks抗議而作罷。
被問到會不會發布他寫來破解ATM的Dilligner和Scrooge公用程式,Jack表示:「我不會發布。」(唐慧文譯)

新聞出處網址:http://www.zdnet.com.tw/enterprise/topic/productivity/0,2000085738,20146828,00.htm?feed=NL:+%A5%F8%B7%7E%C0%B3%A5%CE+%3A+%A5D%C3D%A4%A4%A4%DF+%3A+%A5%F8%B7%7E%A5%CD%B2%A3%A4O

2010年7月22日 星期四

[知識] 判斷電腦是否中毒

0 意見

判斷電腦是否中毒

各種病毒時至今日也可算是百花齊放了,搞得人心惶惶,一旦發現自己的電腦有點異常就認定是病毒在作怪,到處找殺毒軟體,一個不行,再來一個,總之似乎不找到“元兇”誓不甘休一樣,結果病毒軟體是用了一個又一個,或許為此人民幣是用了一張又一張,還是未見“元兇”的蹤影,其實這未必就是病毒在作怪。

這樣的例子並不少見,特別是對於一些初級電腦用戶。下面我就結合個人電腦使用及企業網路維護方面的防毒經驗從以下幾個方面給大家介紹如何判斷是否中了病毒,希望對幫助識別“真毒”有一定幫助!


病毒與軟、硬體故障的區別和聯繫

電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於許可權設置所致。 我們只有充分地瞭解兩者的區別與聯繫,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見 電腦故障症狀分析。

症狀病毒的入侵的可能性軟、硬體故障的可能性

  經常死機:病毒打開了許多檔或佔用了大量記憶體;不穩定(如 記憶體質量差,硬體超頻性能差等);運行了大容量的軟體佔用了大量的記憶體和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;運行網路 上的軟體時經常死機也許是由於網路速度太慢,所運行的程式太大,或者自己的工作站硬體配置太低。

系統無法啟動:病毒修改了硬碟的引導資訊,或刪除了某些啟動檔。如引導型病毒引導檔損壞;硬碟損壞或參數設置不正確;系統檔人為地誤刪 除等。

文件打不開:病毒修改了檔格式;病毒修改了檔鏈結位置。文件損壞;硬碟損壞;檔快捷方式對應的鏈結位置發生了變化;原來編輯檔的軟體刪 除了;如果是在局域網中多表現為伺服器中檔存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間打開了資源管理器)。

經常報告記憶體不夠:病毒非法佔用了大量記憶體;打開了大量的軟體;運行了需記憶體資源的軟體;系統配置不正確;記憶體本就不夠(目前 基本記憶體要求為128M)等。

提示硬碟空間不夠:病毒複製了大量的病毒檔(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一 安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;如果是在局域網中系統管 理員為每個用戶設置了工作站用戶的“私人盤”使用空間限制,因查看的是整個網路盤的大小,其實“私人盤”上容量已用完了。

軟碟等設備未訪問時出讀寫信號:病毒感染;軟碟取走了還在打開曾經在軟碟中打開過的檔。

出現大量來歷不明的檔:病毒複製檔;可能是一些軟體安裝中產生的暫存檔案;也或許是一些軟體的配置資訊及運行記錄。

啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機 了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等資料丟失:病毒刪除了檔;硬碟磁區損壞;因恢復檔而覆蓋 原文件;如果是在網路上的檔,也可能是由於其他用戶誤刪除了。

鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意“木馬”;鍵盤或滑鼠損壞;主板上鍵盤或滑鼠介面損壞;運行了某個鍵盤或滑鼠鎖定程式,所 運行的程式太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。

系統運行速度慢:病毒佔用了記憶體和CPU資源,在後臺運行了大量非法操作;硬體配置低;打開的程式太多或太大;系統配置不正確;如果是運行網路上的程 式時多數是由於你的機器配置太低造成,也有可能是此時網路上正忙,有許多用戶同時打開一個程式;還有一種可能就是你的硬碟空間不夠用來運行程式時作臨時交 換資料用。

系統自動執行操作:病毒在後臺執行非法操作;用戶在註冊表或啟動組中設置了有關程式的自動運行;某些軟體安裝或升級後需自動重啟系統。

通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在殺毒還不能解 決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。

病毒的分類及各自的特徵

要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的瞭解,而且越詳細越好!
病毒因為由眾多分散的個人或 組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。

如按傳染物件來分,病毒可以劃分為以下幾類:

a、引導型病毒
這類病毒攻擊的物件就是磁片的引導磁區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導磁區,所以造 成的損失也就比較大,一般來說會造成系統無法正常啟動,但查殺這類病毒也較容易,多數殺毒軟體都能查殺這類病毒,如KV300、KILL系列等。

b、檔型病毒
早期的這類病毒一般是感染以exe、com等為副檔名的可執行檔,這樣的話當你執行某個可執行檔時病毒程式就跟著啟動。近期也有一些病毒感染以 dll、ovl、sys等為副檔名的檔,因為這些檔通常是某程式的配置、鏈結檔,所以執行某程式時病毒也就自動被子載入了。它們載入的方法是通過插入病毒 代碼整段落或分散插入到這些檔的空白位元組中,如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行檔中,感染後通常檔的位元組數並不見增加,這就是 它的隱蔽性的一面。

c、網路型病毒
這種病毒是近幾來網路的高速發展的產物,感染的物件不再局限于單一的模式和單一的可執行檔,而 是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE檔進行感染,如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變,從原始的 刪除、修改檔到現在進行檔加密、竊取用戶有用資訊(如黑客程式)等,傳播的途經也發生了質的飛躍,不再局限磁片,而是通過更加隱蔽的網路進行,如電子郵 件、電子廣告等。

d、複合型病毒
把它歸為“複合型病毒”,是因為它們同時具備了“引導型”和“檔型”病毒的某些特點,它們即可以 感染磁片的引導磁區檔,也可以感染某此可執行檔,如果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導磁區檔和可執行檔的感染,所以這 類病毒查殺難度極大,所用的殺毒軟體要同時具備查殺兩類病毒的功能。

以上是按照病毒感染的物件來分,如果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
a、良性病毒:
這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程 式的水平。它們並不想破壞你的系統,只是發出某種聲音,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其他壞處。如一些木馬病毒程式也是 這樣,只是想竊取你電腦中的一些通訊資訊,如密碼、IP位址等,以備有需要時用。

b、惡性病毒
我們把只對軟體系統造成干擾、竊取 資訊、修改系統資訊,不會造成硬體損壞、資料丟失等嚴重後果的病毒歸之為“惡性病毒”,這類病毒入侵後系統除了不能正常使用之外,別無其他損失,系統損壞 後一般只需要重裝系統的某個部分檔後即可恢復,當然還是要殺掉這些病毒之後重裝系統。

c、極惡性病毒
這類病毒比上述b類病毒損壞的程度又要大些,一般如果是感染上這類病毒你的系統就要徹底崩潰,根本無法正常 啟動,你保分留在硬碟中的有用資料也可能隨之不能獲取,輕一點的還只是刪除系統檔和應用程式等。

d、災難性病毒
這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁片的引導磁區檔、修改檔分配表和硬碟分區表,造成系統根本無法啟動, 有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。如果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的資料也就很難獲取了,所造成的損失是非 常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業用戶,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花鉅 資在每天的系統和資料備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這“萬一”。我所在的雀巢就是這樣,而且還非常重視這 個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。

如按其入侵的方式來分為以下幾種:

a、源代碼嵌入攻擊型
從它的名字我們就知道這類病毒入侵的主要是高階語言的根源程式,病毒是在根源程式編譯之前插入病毒代碼,最後隨根源程式一起被編譯成可執行檔,這樣剛生 成的檔就是帶毒檔。當然這類檔是極少數,因為這些病毒開發者不可能輕易得到那些軟體發展公司編譯前的根源程式,況且這種入侵的方式難度較大,需要非常專業 的編程水平。

b、代碼取代攻擊型
這類病毒主要是用它自身的病毒代碼取代某個入侵程式的整個或部分模組,這類病毒也少見,它主要是攻擊特 定的程式,針對性較強,但是不易被發現,清除起來也較困難。

c、系統修改型
這類病毒主要是用自身程式覆蓋或修改系統中的某些檔來達到調用或替代作業系統中的部分功能,由於是直接感染 系統,危害較大,也是最為多見的一種病毒類型,多為檔型病毒。

d、外殼附加型
這類病毒通常是將其病毒附加在正常程式的頭部或尾部,相當於給程式添加了一個外殼,在被感染的程式執行時, 病毒代碼先被執行,然後才將正常程式調入記憶體。目前大多數檔型的病毒屬於這一類。

有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。

1、反病毒軟體的掃描法
這恐怕是我們絕大數朋友首選,也恐怕是唯一的選擇,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體發 展商帶來挑戰。但隨著電腦程式開發語言的技術性提高、電腦網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體發展公司也是越來越多了。但目 前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在 此就不必說敘了,我相信大家都有這個水平!

2、觀察法
這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。 如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病 毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:

a、記憶體觀察
這一方法一般用在DOS下發現的病毒,我們可用DOS下的“mem/c/p”命令來查看各程式佔用記憶體的情況,從中發現病毒佔用記憶體的情況(一般不 單獨佔用,而是依附在其他程式之中),有的病毒佔用記憶體也比較隱蔽,用“mem/c/p”發現不了它,但可以看到總的基本記憶體640K之中少了那麼區 區1k或幾K。

b、註冊表觀察法
這類方法一般適用於近來出現的所謂黑客程式,如木馬程式,這些病毒一般是通過修改註冊表中的啟 動、載入配置來達到自動啟動或載入的,一般是在如下幾個地方實現:   [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion   等等,具體可參考我的另一篇文章——《通通透透看木馬》,在其中對註冊表中可能出現的地方會有一個比較詳盡的分析。

c、系統配置檔觀察法
這類方法一般也是適用于黑客類程式,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動組中,在system.ini檔中有一個"shell=”項,而在wini.ini檔中有 “load= ”、“run= ”項,這些病毒一般就是在這些專案中載入它們自身的程式的,注意有時是修改原有的某個程式。我們可以運行Win9x/WinME中的 msconfig.exe程式來一項一項查看。具體也可參考我的《通通透透看木馬》一文。

d、特徵字串觀察法
這種方法主要是針對 一些較特別的病毒,這些病毒入侵時會寫相應的特徵代碼,如CIH病毒就會在入侵的檔中寫入“CIH”這樣的字串,當然我們不可能輕易地發現,我們可以對主 要的系統檔(如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現,當然編輯之前最好還要要備份,畢竟是主要系統檔。

e、硬碟空間觀察法
有些病毒不會破壞你的系統檔,而僅是生成一個隱藏的檔,這個檔一般內容很少,但所占硬碟空間很大,有時大得讓你的硬碟無法運行一般的程式,但是你查又看 不到它,這時我們就要打開資源管理器,然後把所查看的內容屬性設置成可查看所有屬性的檔(這方法應不需要我來說吧?),相信這個龐然大物一定會到時顯形 的,因為病毒一般把它設置成隱藏屬性的。到時刪除它即可,這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例,明明只安裝了幾個常用程式,為 什麼在C盤之中幾個G的硬碟空間顯示就沒有了,經過上述方法一般能很快地讓病毒顯形的。

來源網址:網路尋找...出處不明...若有網友知道...煩請告知

[news]微軟釋出臨時工具修補零時漏洞

0 意見

微軟釋出臨時工具修補零時漏洞
微軟公司已發布臨時性的“Fix-It”工具,以防駭客利用Windows Shell的程式執行安全漏洞發動零時攻擊。

這些攻擊,加上RealTek和JMicron簽章過的驅動程式,正透過USB隨身碟或網路共享和 WebDAV逐漸蔓延。

微軟已貼出公告描述這個問題:「這項安全弱點之所以存在,是因為Windows分析捷徑的方式有誤,使得被特別動過手腳的捷徑圖示被顯示出來,進而可能執行惡意程式碼。這項漏洞可能透過內含惡意程式的USB隨身碟在本機上執行,或透過網路共享和WebDAV從遠端執行。支援嵌入式捷徑的特殊檔案類型中,也可能包含攻擊範本程式(exploit)。」

駭客也可能利用這項安全漏洞,對安裝Internet Explorer瀏覽器的Windows電腦發動所謂的「偷渡下載」(drive-by downloads)攻擊。

此外,攻擊者也可能預先設置一個惡意網站或遠端網路共享,並且把惡意軟體元件置於這個遠端處所。一旦使用者用IE這類網頁瀏覽器或Windows Explorer這類檔案管理員瀏覽該網站,Windows就會嘗試載入有問題的捷徑檔圖示,進而啟動惡意程式碼。此外,駭客可能把攻擊程式嵌入某個支援嵌入式捷徑的檔案(例如Microsoft Office檔案,但不限於Office檔案)。

在正式的安全更新(patch)發布前,微軟建議使用者先執行自動化的“Fix-It”工具,以關閉受影響的.LNK和.PIF檔案功能。(唐慧文譯)

2010年7月16日 星期五

[news]調查報告:Adobe Reader、IE漏洞最多

0 意見

調查報告:Adobe Reader、IE漏洞最多


根據M86 Security Labs 14日公布的調查報告,弱點最常被利用的軟體是Adobe Reader和Internet Explorer,但Java被利用的趨勢正不斷上升


M86 Security Labs發現,今年上半年最常被利用的15個弱點中,4個屬於Adobe Reader,5個屬於Internet Explorer。


同樣有弱點名列前15名的軟體,還包括微軟Access Snapshot Viewer、Real Player、微軟DirectShow、SSreader和AOL SuperBuddy。報告指出,這些弱點大都早在1年前即曝光,軟體商也已提供修補方案。因此,凸顯了保持軟體更新最新版本和修補方案的需要」。


有更多Java弱點被利用,反映出攻擊者看上了Java的普及和受歡迎。最普遍的攻擊情境,是用瀏覽器造訪合法網站時,被隱藏的iFrame或JavaScript重導至一個帶有惡意Java小程式的惡意網頁。


eEye Digital Security技術長Marc Maiffret說:「Java是下一個最易取用的攻擊工具。」


在此同時,攻擊者也發現躲避惡意軟體偵測機制的新方法。M86的報告指出:「過去幾個月來,我們觀察到一種結合JavaScript與Adobe ActionScript指令語言的新程式混亂技術。」


該報告也指出,目前佔所有機關組織電郵來信88%的垃圾郵件,大多(約81%)屬於藥品類,且主要都是「加拿大藥商」品牌。


這部份與Proofpoint和CommTouch前一日發佈的研究報告相符。後者指出,2010年第二季,每天平均有1,790億封垃圾電郵或釣魚電郵,其中以藥品廣告最多。而垃圾郵件最愛用的假「發信」網域,依排名分別是:gmail.com、hipenhot.nl、yahoo.com、123greetings.com、hotmail.com和postmaster.twitter.com。(陳智文/譯)



原始新聞出處連結:http://www.zdnet.com.tw/news/software/0,2000085678,20146624,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

2010年7月15日 星期四

[news]驚!Windows弱點雖已發佈 惡意程式仍下載超過34萬次

0 意見

記者蘇湘雲/台北報導

網友收到定期安全更新不以為意,但資安專家警告,這會使得電腦暴露於網路威脅下,舉例說,惡意程式Agent.bab利用Windows系統弱點,能夠自動下載惡意程式到使用者電腦中,雖然這項弱點早就於今年3月被發佈,但僅6月份一個月統計,此惡意程式仍然被下載超過了34萬次。


卡巴斯基實驗室14日發佈6月惡意程式統計報告,調查發現,名為Trojan-Downloader.JS.Pegel.b的惡意程式下載器又重新回到排行榜並高達第三位。


專家指出,當使用者存取或瀏覽到已被Pegel.b感染的網頁時,Pegel.b會將使用者轉至被駭客控制的網站,並且在使用者不知情的情況下,將更多惡意程式自動植入用戶電腦裡,間接引發駭客發動攻擊,包含竊取個人及企業隱私資料的木馬程式、間諜程式,及釣魚網站。


調查還發現,當Adobe使用者在6月進行程式更新時,Exploit.JS.Pdfka惡意程式家族隨即產生大量攻擊,也因此本月就有3支此類型惡意程式分佔排行榜第6、第8和第14。


專家警告,很多使用者對廠商定期發布的安全更新不以為意,使得他們的電腦暴露於惡意攻擊的威脅下。排名第二位的Agent.bab就是一個很明顯的例子;Agent.bab利用Windows系統的CVE-2010-0806弱點,能夠自動將許多惡意程式下載到使用者的電腦裡。


雖然這項弱點雖然早就於今年3月被發佈,但僅6月份單月統計,此惡意程式仍然被下載超過了34萬次。

新聞原始出處連結:http://tw.news.yahoo.com/article/url/d/a/100714/17/2995u.html

2010年7月11日 星期日

[news]Panda : 全新釣魚手法Tabnabbing驚悚現身

0 意見

Panda : 全新釣魚手法Tabnabbing驚悚現身
Date : July 7, 2010    Company : Panda    

 
-特洛伊木馬程式的數量佔所有新發現惡意軟體的52%。

-傳統病毒的復甦態勢仍持續著,其數量佔所有新發現惡意軟體的24.35%,比前一季上升了10個百分點。

-台灣、俄羅斯和土耳其是電腦中毒數量前三高的國家。


雲端資安防護廠商-Panda防毒軟體公司的反惡意軟體實驗室(Panda實驗室),最近發表了2010年第二季季報,針對今年4月到6月的資安威脅進行分析。其中最引人關注的,就是具高危險性的全新釣魚手法Tabnabbing驚悚現身!

Tabnabbing是一種利用瀏覽器頁籤功能的釣魚手法,網友自以為連上Gmail、Hotmail或Facebook等熟悉網頁,卻不知道自己身陷個資曝光的險境,帳密資料也早已遭到竊取。

Tabnabbing的攻擊手法相當單純,其步驟如下:

1. Java程式碼會偵測已開啟但目前未被瀏覽的頁籤。這組程式碼會自動覆寫網頁的內容、圖示和抬頭名稱,變成一個和原始網頁很類似的偽造頁面。

2. 在開啟多個瀏覽器頁籤、瀏覽數個網頁後,假如網友想要重新登入Gamil之類的帳戶,通常都會回頭看看頁籤,檢查是不是已開啟過Gamil登入頁面了。在這種情況下,網友就會被導到偽造的Gmail登入頁面裡面,而他們根本不會記得先前瀏覽過的登入頁面實際上已經失效一段時間了。

3. 當網友輸入登入資料時,偽造網頁就會把這些個資偷偷儲存起來,並將他們重新導回去原始網頁裡面。

Panda實驗室提醒您,關閉所有非使用中的瀏覽器頁籤,養成良好的網路使用習慣,以避免自己淪為個資洩漏的高危險群。

特洛伊木馬程式仍是最具威脅的惡意軟體

在今年第二季,特洛伊木馬程式再度成為「成長最快速的惡意軟體」,其數量佔所有新發現惡意軟體的51.78%。而最近幾個月以來,傳統病毒也呈現了復甦態勢,其數量比前一季上升了10個百分點,目前總數已佔所有新發現惡意軟體的24.35%。

至於在電腦中毒排行榜方面,台灣又再次慘居首位,代表有50%以上的電腦都受到了病毒感染。而緊接在後的國家則是俄羅斯和土耳其。

Panda在前三個月所發現的社群網站資安事件、搜尋引擎毒化攻擊手法以及Windows系統安全漏洞,通通都在第二季季報裡面為您揭密,您可點選下列網址下載這份文件:http://www.pandasecurity.com/img/enc/Quarterly_Report_PandaLabs_Q2_2010.pdf

2010年7月6日 星期二

[ZDNET] Google修了被駭的YouTube漏洞

0 意見

Google修了被駭的YouTube漏洞


根據媒體報導,部分YouTube影片4日早晨遭駭客掛上猥褻的快顯圖片,並導向成人網站。Google已發布更新封堵這項安全漏洞
IDG News Service的報導指出,駭客利用一種稱為跨站腳本攻擊(cross-site scripting,XSS)的安全弱點,在YouTube網站的讀者評論頁面中植入程式碼。駭客似乎對小賈斯汀(Justin Bieber)深懷怨恨,專門找與這位青少年偶像明星有關的影片下手。小賈斯汀是YouTube人氣最旺的紅星之一,他訂於4日周日晚間上NBC電視台參加慶祝美國獨立紀念日的節目。

根據IDG的報導,一位Google發言人表示,YouTube訪客碰上被綁架的網頁時,他們的Google帳戶並不會遭到駭客侵入;但訪客最好先登出Google帳號,再重新登入,以策安全

IDG另外還引述一名人士的說法指出,雖然被駭客動手腳的YouTube網頁不含惡意軟體,但訪客被拐去看的網頁卻可能藏毒,但大多數的防毒軟體應該足以抵禦。  

Google表示,為因應駭客攻擊,一度暫時關閉YouTube的評論區。 

Google說:「發現(問題)後的一小時內,評論區暫時隱藏,兩小時後我們發布完整的更新解決這個問題。我們會持續研究這個弱點,協助避免未來再發生類似的問題。」 

(唐慧文譯)

2010年6月30日 星期三

[news]Adobe Reader、Acrobat安全更新防堵17項重大漏洞

0 意見


Adobe周二發布Reader和Acrobat安全更新,封堵總計17項重大的安全漏洞,其中一項安全漏洞可能造成電腦遭到接管,另一項可能被駭客利用來發動社交工程與PDF檔攻擊。


Adobe早在6月初即警告這些安全漏洞可能被駭客利用來發動攻擊,並已在6月10日修補影響Flash Player的安全漏洞。


同時,資安研究員Didier Stevens在3月下旬揭露上述PDF安全漏洞,並展示如何利用"/launch"功能來發動攻擊。一周後,另一位NitroSecurity公司的資安研究員也示範如何利用同一個安全漏洞發動攻擊。



Adobe員工Steve Gottwals周二在部落格撰文說:「我們增加了一項功能,在預設狀態即可攔阻啟動可執行檔或其他有害的物件。我們也修改現行警告對話框的運作方式,以阻擋已知的社交工程攻擊。」


根據安全公告,最新釋出的安全更新適用於Windows、Mac和Unix版的Adobe Reader 9.3.2、Windows和 Mac版的Adobe Acrobat 9.3.2,以及Windows和Mac版的Adobe Reader 8.2.2與Acrobat 8.2.2。


上述更新將取代原訂7月13日釋出的每季例行安全更新。下一次更新訂於10月12日發布。 


新聞出處網址:http://www.zdnet.com.tw/news/software/0,2000085678,20146398,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

2010年6月27日 星期日

[資安]美推防毒硬體 金鐘罩問世

0 意見

〔駐美特派員曹郁芬、湯佳玲、王珮華/綜合報導〕曾經打過越戰和科索沃戰爭的美國知名將領衛斯理.克拉克 (Wesley Clark)美國時間二十四日在華府宣稱,以防毒軟體對付網路駭客的觀念已經被防毒硬體取代,新上市的「金鐘罩 (InZero)」是劃時代的產品。


克拉克目前擔任 「金鐘罩」的顧問團主席,這個由烏克蘭工程師齊瓦齊克發明的產品,在華府舉行的發表會,吸引包括谷歌高層主管在內的許多科技業者、美政府官員和媒體到場。在場人士指出,這項防毒概念過去曾被科技界討論過,但落實為產品是第一次。


外掛小電腦 不怕駭客


「金鐘罩」等於是一個外掛的小電腦 (sandbox),任何桌上型電腦透過有讀取記憶體的「金鐘罩」接收電郵並打開附加檔案,都不怕被駭客入侵盜取資料,也可以透過「金鐘罩」舉行保密的視訊會議。


「金鐘罩」系統的執行長休斯說,公司還有殺手晶片,可以摧毀想仿製的軟體。


美國商業週刊今年三月曾報導「金鐘罩」是充滿創意的下一代科技產品,概念就像給電腦戴上保險套。休斯說,這項產品在兩週測試期間,曾遭到全球兩百萬次駭客的攻擊,但沒有一次成功,取名叫「InZero」就是因為駭客入侵機率是零。


不過對於宣稱百毒不侵的InZero防毒「金鐘罩」,國內資安專家表示,據初步了解,該產品是以類似虛擬機器原理將病毒與電腦隔開來,但無法防堵透過社交工程、釣魚網站詐騙帳號的行為。


無法防堵 釣魚網站


趨勢科技資深技術顧問戴燊表示,近期主要資訊安全威脅多來自詐騙集團利用社交工程或假網站,要判別釣魚網站,必須先收集釣魚網站資料庫,並隨時更新比對,InZero這類產品恐怕無法防堵此類型詐騙。


體積笨重 不適用筆電


也有業者認為「金鐘罩」體積笨重,用外掛與電腦連接,根本不適用筆記型電腦和手機產品;再者,它在不同作業系統的相容性較差,也是推廣上的障礙。


休斯坦言,這項產品主要針對桌上型電腦,已經在研發更小巧的產品,可以內建於筆記型電腦內。


這項產品在美國製造,但軟體工程師分佈在美國、烏克蘭與俄羅斯。休斯坦承,要說服美國政府使用這項產品,不擔心機密外洩到其它國家,還有待努力。


資策會網路多媒體研究所所長何寶中認為,台灣的硬體是強項,防毒硬體可以發揮台灣優勢,也是未來趨勢。


工研院資通所組長劉智遠表示,金鐘罩應該還是要搭配軟體使用,防毒硬體也不可能達到百分百防毒,最好的方式還是軟體加上硬體,雙重防毒。

新聞出處:http://tw.news.yahoo.com/article/url/d/a/100626/78/285k0.html

2010年6月17日 星期四

[必看]如何盜取你的帳號密碼(Yahoo!奇摩拍賣篇)

0 意見








2010年6月16日 星期三

[news]臉書心理測驗暗藏病毒 專家籲用戶注意

0 意見

臉書心理測驗暗藏病毒 專家籲用戶注意


社群網站Facebook人氣居高不下,也成為駭客和病毒攻擊的對象,專家警告,最好在電腦設置防毒軟體和防火牆,阻擋惡意程式,並定期更新瀏覽器、應用程式。

隨著社群網站Facebook的風行,很多人都會在網路上分享自己的經歷、遊戲,或是進行心理測驗,卻有很多網友發現,自己的臉書上出現很多朋友的心理測驗,令人不堪其擾,就連名導蔡明亮也抱怨,不要再留這些東西到我的臉書。

防毒軟體專家指出,有不少病毒和惡意軟體會利用上述社群網站的遊戲和心理測驗,不斷丟垃圾訊息,造成「洗版」的現象,甚至遊戲連結本身就有惡意程式,可透過連結取得使用者的帳號密碼。

前陣子Facebook曾出現「海灘俏女郎(Distracting Beach Babes)」這個惡意軟體,利用比基尼女郎讓使用者點選類似影片的連結。點選後會連到一個Facebook應用程式,要求想看影片的使用者安裝軟體,進一步誘騙使用者連到惡意程式。

專家表示,要阻擋惡意軟體攻擊,最好的解決方式就是防毒軟體,或在電腦設置防火牆,阻擋惡意程式,並定期更新瀏覽器、應用程式。



  

2010年6月11日 星期五

[PDF漏洞]如何利用PDF程式漏洞取得電腦控制權

0 意見

F-Secure所提供的影片「如何利用PDF程式漏洞取得電腦控制權」相關影片

[news]AT&T網站把11.4萬名 iPad 用戶資料都曝光了

0 意見

一群駭客利用AT&T網站一個漏洞入侵,取得約11.4萬名iPad用戶的e-mail資料,其中包括政府高官、金融、媒體、科技還有軍方人員。

根據Gawker週三的報導,此一外洩事件影響所有在美國使用iPad 3G的訂戶。其中受影響的iPad名人用戶包括白宮幕僚長Rahm Emanuel、電視主播Diane Sawyer、紐約市長Michael Bloomberg、電影製片Harvey Weinstein,還有紐約時報執行長Janet Robinson。

這個駭客組織自稱Goatse Security其手法是透過發送包含iPad SIM卡序號的HTTP要求,使得AT&T網站誤判而揭露了用戶的e-mail。根據報導,這些序號(稱為ICC-IDs)是採連續碼產生,因此研究員可猜測出好幾萬筆號碼,然後利用程式去跑資料。

AT&T發言人Mark Siegel證實此一外洩事件,並表示公司已經在週二緊急關閉這個提供e-mail的功能。

AT&T表示,他們是在週一接獲客戶告知才知道此事,該公司還表示,ICC IDs所能取得的也只有客戶的e-mail,沒有其他資料會外洩。

「我們會持續調查此事,並通知e-mail與ICC ID有受影響的客戶。」該公司發言人表示。
此一事件主要是出在AT&T網站,跟蘋果iPad平板本身無關。

資安專家表示,AT&T這次被利用的這個漏洞其實算很常見。「這是一種驗證錯誤,不需使用者驗證就可取得私人資料,」Veracode技術長Chris Wysopal表示。

資安人員表示,e-mail位址與SIM卡序號其實並不算是機密資料。「這不像你的身份證字號或信用卡號被入侵那麼嚴重。」另一位資安專家Charlie Miller表示。

不過這聽在政府高官或金融界人士耳裡可能全然不是那麼回事。

「顯然AT&T使用ICC-ID當作某種驗證機制,」Lookout行動資安廠商技術長 Kevin Mahaffey表示。「重點在於後端是否還有其他系統也適用該組序號當作辨識碼?」

他表示,「業界目前的確有一股趨勢是以機器的辨識碼來帶出帳單或與帳號產生互動,這些序號還是跟信任度有關係。」

根據報導,駭客組織Goatse Security已經將這組AT&T程式碼拿來跟外界分享,只是依照目前情況看來,駭客是想讓AT&T難看的成分居多,而不是想藉此搞一筆錢。

「這類資料在地下組織沒什麼價值,」白帽資安策略長 Bill Pennington表示,「我認為對方的用意是在於羞辱。」

新聞出處連結:http://www.zdnet.com.tw/news/comm/0,2000085675,20146009,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8

2010年6月10日 星期四

[news]網安/線上妹妹有新的聯絡方式? 小心是疆屍電腦搞的鬼

0 意見

網安/線上妹妹有新的聯絡方式? 小心是疆屍電腦搞的鬼

  • 網路妹妹傳來新的聯絡方式,小心,有可能是殭屍電腦搞得鬼。(圖/趨勢提供)
記者蘇湘雲/台北報導 

「我換新的聯絡方式,請大家記得更新。」常常收到線上朋友傳來的更新信件嗎?資安業者提醒,這封信不但可能是假的,裡面還有可能藏有變種病毒威脅,若網友不慎點選開啟附件,執行後可能會讓電腦受害成為殭屍電腦。

趨勢科技8日指出,近日發現網路上有一封寄件人顯示為「珮琪」,標題為「珮琪的新聯絡方式」的信件,在信中以朋友口吻說:「各位兄弟姊妹,珮琪近期會有些變動,附上新的聯絡方式一定要常聯繫喔!」

信件隨附壓縮檔phone&mail.rar,裡面看似有好友的更新聯絡資訊,實則含SASFIS木馬變種病毒,以偽裝成Excel附件的社交工程(Social Engineering)手法,誘騙網友點選,但執行後卻變成含有另一隻木馬TROJ_SASFIS.HBC和後門程式BKDR_SASFIS.AC的螢幕保護程式,受害電腦恐成殭屍電腦。

↓圖說:網路妹妹傳來新的聯絡方式,小心,有可能是殭屍電腦搞得鬼。(圖/公關提供)


資安分析師翁世豪指出,目前在台灣與日本的政府機關都有發現許多類似以「xx的新聯絡方式」信件為攻擊手法的案例,由於此類攻擊無法欺騙安全軟體,但容易欺騙網友的眼睛,讓人將危險檔案當成安全檔案來開啟並執行。

翁世豪表示,經過資安業多次提醒,網友對於像exe .cmd .bat 之類的副檔名,已知屬於危險檔而較不易去開啟,「然而這種障眼法的攻擊卻大大顛覆了人們這種認知」,他提醒,「使用者可藉著最尋常也是最好的方法來預防系統受此攻擊的感染,那就是不要展開看來可疑的電子郵件訊息,也不用下載及執行其附件。」

除此之外,資安業於今年稍早之際發現,SASFIS木馬家族的惡名也與許多不同的假防毒軟體變種有關,包括:Facebook臉書的假電子郵件訊息、色情網站類的變種等。  

2010年5月19日 星期三

[news]新病毒W32.Wapomi會偽裝影音播放軟體檔案

0 意見

新病毒W32.Wapomi會偽裝影音播放軟體檔案

關鍵字: W32.Wapomi  QVOD  影音播放軟體
   
很多PC用戶可能都使用過一款名為「QVOD (快播)」的影音播放軟體。近期賽門鐵克安全回應中心檢測到一個病毒W32.Wapomi,它將自身檔案的版本資訊偽裝為QvodInstall Module,並且採用了一個與捷徑圖示非常相似的標識,從而誘導使用者將其誤認為是QVOD的安裝程式。
 

執行時,該病毒會通過多種方式阻止使用者刪除它所保護的註冊表鍵值,並透過映射劫(Image File Execution Options)禁止防毒軟體運行。此外,W32.Wapomi還會從指定網站下載更多的惡意程式到使用者機器並執行,並且把從使用者電腦中搜集到的資訊發送給攻擊者。


該病毒採用多種方式進行散布:1. 把自己複製到各磁碟分割的資源回收筒中,並添加對應的autorun.inf;2. 使用自帶的密碼表嘗試連接有開啟遠端共用服務的電腦,一旦成功就會試圖把病毒本身複製到遠端電腦;3. 感染在使用者電腦上找到的exe檔,被感染的檔案檢測為W32.Wapomi!inf. 當用戶執行被感染檔時,它會首先釋放W32.Wapomi並執行。

新聞出處:http://www.eettaiwan.com/ART_8800607040_480802_NT_399cc539.HTM

2010年5月6日 星期四

[iThome]資安業者發現鎖定Mac的後門程式

0 意見

資安業者發現鎖定Mac的後門程式

文/陳曉莉 (編譯) 2010-04-19

迄今Intego尚未發現有任何受感染的案例,但指出已有不少論壇在散布該後門程式,代表有大量的惡意使用者也許會利用該程式嘗式攻擊Mac用戶。


資安業者Intego發現一新的變種Mac惡意程式HellRTS,當Mac用戶不小心安裝該程式後,就會開啟後門,讓駭客得以掌控該Mac電腦並執行其他行為。

根據Intego的說明,HellRTS是以通用二進位的RealBasic所撰寫,因此同時可在PowerPC及Intel-Based的Mac上運作,在使用者不小心安裝HellRTS後,它會設定自己的伺服器並配置一伺服器連接埠與密碼,同時會使用不同應用程式的名稱來複製自己,並加入使用者的登入項目中,以確保使用者登入時就能執行。

Intego表示,由於HellRTS不論是在登入項目或Activity Monitor中都使用不同的名稱,使得它更不容易被偵測,它能夠透過自己的郵件伺服器寄送郵件,並允許遠端伺服器直接存取受感染的Mac,而且還能執行諸如遠端螢幕分享、關閉或重新啟動Mac等種種行為。

迄今Intego尚未發現有任何受感染的案例,但指出已有不少論壇在散布該後門程式,代表有大量的惡意使用者也許會利用該程式嘗式攻擊Mac用戶。由於該後門程式必須被安裝才能執行,因此駭客可能會透過木馬程式或利用瀏覽器等連網程式的漏洞以在Mac上安裝HellRTS。(編譯/陳曉莉)

新聞出處:http://www.ithome.com.tw/itadm/article.php?c=60719

[iThome]日本大學職員洩漏個資1.5萬件

0 意見

日本大學職員洩漏個資1.5萬件

文/張嵐霆 2010-04-28

人事課職員將業務用資料複製到USB隨身碟攜出,在家中個人電腦使用,受到電腦內P2P軟體及病毒影響而導致至少有1萬5000份個資已流入全球網路中。


位於東京的私立日本大學爆發網路個資洩漏事件,大學總務部長大工原孝週二(4/27)召開記者會證實,已洩漏個資約1萬5000件,其餘仍有未查明的部分正在追蹤調查。

洩漏原由是4/24日人事課一名職員擅自將業務用資料複製到USB隨身碟攜出,在家中個人電腦使用,受到電腦內P2P軟體Share感染的病毒影響而洩漏至網路中。

4月26日上午校方接獲匿名傳真表示網路上有大量與日本大學有關的業務文件資料,校方於同日展開追蹤調查,並於4/27日成立特別調查委員會。

根據調查報告顯示,洩漏的檔案幾乎都是Word與Excel檔,包括人事課轄下業務資料、會議記錄,以及該職員3月之前任職於日本大學醫學部附屬醫院時所管理的醫院職員通訊名冊,至少有1萬5000份個資已流入全球網路中。

大工原表示,該員隨意複製資料在私人電腦上使用是非常輕率的行為,違反了學務處訂定的資料使用規範,今後將由特別調查委員會決定該員懲處,並加強職員資安訓練辦法與資料管理規範,同時也對受此案牽連的人士致上最大歉意。

引發此案的職員已自請休假與家人離開住所,因此日媒無法直接訪問到本人。日本大學是日本國內學系最多的綜合大學,知名校友有演員中村獅童、漫畫家青山剛昌、台灣現任立法委員李鴻鈞等。(編譯/張嵐霆)

新聞出處:http://www.ithome.com.tw/itadm/article.php?c=60875

[iThome]利用PDF合法漏洞的攻擊事件出現

0 意見

利用PDF合法漏洞的攻擊事件出現

文/劉哲銘 (記者) 2010-05-04
利用先前資安研究員揭露的合法「/Launch」指令,搭配社交工程手法的攻擊出現了,攻擊者將之用來傳遞Zeus惡意程式

重 點
● 運用PDF的「/Launch」功能的攻擊手法出現
● 攻擊者使用此手法散布惡意程式Zeus

上周iThome電腦報周刊封面故事報導了資安研究員Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻擊手法,將可能成為未來PDF安全上的一大威脅。果不其然,現在利用此一手法的攻擊已經出現了。

資安廠商Websense的技術長Dan Hubbard,日前公開發表了他發現駭客開始利用「/Launch」指令,透過合法的方式搭配社交工程掩護,攻擊使用者的事件。其手法正好和資安研究員Dider Stevens和Jeremy Conway所揭露的方式如出一轍。

用PDF合法的指令,誘騙使用者打開惡意程式
兩位資安研究員所揭露的手法是這樣的,3月底,Dider Stevens證實了,可以透過PDF合法的「/Launch」指令,讓PDF檔案在開啟的時候,自動去執行任何應用程式雖然多數的PDF閱讀軟體,都會跳出警告,但是警告的文字內容,也可以被攻擊者更改,這使得攻擊者可以透過社交工程的方式,誘騙使用者打開應用程式

而隨後4月初,Jeremy Conway利用這個方法,證明了攻擊者可以透過被植入「/Launch」指令程式碼的PDF文件,讓另一個健康的PDF文件被植入程式碼,並且在PDF閱讀軟體沒有允許Java Script可以執行的狀況下,讓使用者只要點擊被植入了程式碼的PDF檔案,並且在被社交工程手法誘騙去點選開啟程式的狀況下,就自動連線到攻擊者指定的網站。這和過去透過PDF夾帶Java Script的手法完全不同,可以利用完全合法的手段讓使用者連上惡意網站。因為是合法的手段,這代表著在這過程中,幾乎沒有任何防毒軟體會發出警告。

散播的惡意程式為Zeus,是首宗用此一手法的攻擊
現在,根據Dan Hubbard所發表的內容,網路上已經有攻擊者開始利用這個手法,散布知名的僵屍網路惡意程式Zeus的變種。據了解,攻擊者會寄送一封夾帶有Royal_Mail_Delivery_Notice.PDF檔案的電子郵件,然後只要使用者執行此一PDF檔案,並且允許後續動作的話,就會像在使用者的電腦中植入惡意程式Zeus。這是目前首個被發現利用此一手法攻擊的惡意程式。不過此一手法最終還是利用Java Script來連外道惡意網站植入惡意程式,也沒有透過社交工程的手法去修改警告方塊的文字,誘騙使用者允許後續動作,所以還沒有像前述手法那樣高明,只要使用者關閉了Java Script執行的功能就可以避免危險。

Zeus是一個惡名昭彰的惡意程式,擁有許多變種,被感染的電腦就會被攻擊者利用,成為僵屍電腦。由於不易被發現,Zeus已經是目前在美國肆虐最嚴重的惡意程式之ㄧ,根據非正式的估計,光在美國目前就約有360萬臺電腦已經感染了此一惡意程式的各種變種。先前由華爾街日報揭露的僵屍網路「Kneber」,也是使用Zeus做為攻擊的程式。

Adobe的軟體是目前最多人使用的PDF閱讀軟體,不過針對這個利用PDF閱讀軟體合法功能的漏洞,Adobe目前還沒有將其完全根絕,先前推出大規模更新,也沒有針對此一手法做出修正,取而代之的是要求使用者關閉PDF閱讀軟體中,開啟第三方應用程式的功能,藉此阻擋「/Launch」功能。

企業的IT管理者,如果想要避免這個問題,目前除了上述關閉PDF閱讀軟體的部分功能外,還必須搭配閘道端的掃描。文⊙劉哲銘

新聞出處:http://www.ithome.com.tw/itadm/article.php?c=60904

2010年4月30日 星期五

[小技巧]為何當使用 IE 8 瀏覽網站時,總會跳出安全性警告視窗?

0 意見

如果您跟我一樣在使用 IE 8 瀏覽網站時,總是會跳出安全性警告視窗,一定要按下「否」才可以瀏覽圖片時,您可以設定 IE 的相關安全性設定,將 [網際網路選項] 中的 [安全性] 設定,將 [顯示混合的內容],點選 [啟用](預設為「提示」),啟用即可。


下方網址為微軟官方圖文教學,若不會可以參考此連結操作

[病毒]KAVO 系列( Kxvo J3ewro )手動清除

0 意見

此隨身碟病毒,已經很舊了,大家都知道,目前還有變種eset.exe等等,但解毒位置都大同小異,可以參考此篇文章手動解毒


==================================================================================
一、先行關閉電腦磁碟區的「系統還原」功能。

  • 系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
  • 系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
二、下載病毒快速刪除工具:
    • 執行上述病毒快速刪除軟體,進行下列工作
      • 刪除病毒檔案
      • 關閉病毒相關的的程式
      • 移除病毒所創建的啟動登錄項目
      • 更動要修改的登錄檔
      • 刪除每個硬碟根目錄下與病毒相關的程式

三、進入檔案總管(重點!請勿直接點選「我的電腦」進入各磁碟區
  • 進入「工具」、「資料夾選項」、「檢視」 
    • 點選「顯示系統資料夾的內容」
    • 點選「隱藏檔:顯示所有檔案和資料夾」
    • 取消「隱藏保護的作業系統檔案」
    • 取消「隱藏已知檔案類型的副檔名」
四、使用 CMD 進入 regedit msconfig 檢查相關資訊(確認是否有遺漏)。
  • 檢查的 KEYWORD 建議值如下:
  • 如有發現下列相關程式時,執行刪除動作。
    • cc.exe
    • ff.exe 
    • j3ewro.exe
    • kxvo.exe
    • nw0t1l0d.exe
    • pagefile.exe
    • taso.exe
    • tava.exe
    • tavo.exe
五、使用檔案總管進入下列資料夾清除相關檔案(通常病毒會偽裝成隱藏、系統檔,所以要特別留意圖示是半透明的
  • %Temp%\
    (清空該資料夾)
  • %windir%\
    (清除fly.exe;fly32.dll;poor.exe;poor32.dll)
  • %windir%\TEMP\
    (清空該資料夾)
  • %UserProfile%\Local Settings\Temp\
    (清空該資料夾)
  • %windir%\system32\
    (清除amvo*.dll;amvo.exe;amwo*.dll;amwo.exe;avpo*;vpo.exe;Bitkv*.dll;dnsq.dll;drivers\OLD*.tmp;EXPLORER.EXE;fly.exe;fly32.dll;fool*.dll;goods.exe;ieso*;j3ewro.exe;jvvo*;jvvo.exe;jwedsfdo*;kavo*.dll;kavo.exe;kxvo*;kxvo.exe;mcdcsrv32_080417.dll;mmso*.dll;mmso.exe;mmvo*.dll;mmvo.exe;Msi.exe;mxcdcsrv16_080417.dll;OLD*.tmp;poor.exe;poor32.dll;raidiap*.exe;shareb.exe;taso*.dll;taso.exe;tava*.dll;tava.exe;tavo*.dll;tavo.exe;ubs.exe;winhelp1.exe;winpows.exe)
  • %UserProfile%\「開始」功能表\程式集\啟動\
    (刪除此開機啟動資料夾中與啟動不相干的程式)
  • %ALLUSERSPROFILE%\「開始」功能表\程式集\啟動\
    (刪除此開機啟動資料夾中與啟動不相干的程式)
六.若上述相關病毒程式及附屬檔案無法刪除時,請下載下列程式進行強制刪除
  • WsyscheckWsyscheck_v1.68.33.rar ]
    [軟體版本] V1.68.33
    [軟體語言] 繁體中文
    [軟體簡介] 免安裝
     Wsyscheck 是一款手動清理病毒木馬的工具,其目的是簡化病毒木馬的識別與清理工作。
    一般來說,對病毒體的判斷主要可以採用檢查路徑、檢查檔名、檢查檔案建立日期、檢查檔案廠商、微軟檔案驗證、檢查啟動項目等方法,Wsyschck 在這些方面均盡量簡化作業,提供相關的資料供您分析。
    最終判斷並清理木馬取決於您個人的分析,以及對 Wsyscheck 基本功能的熟悉程度。
  • IceSwordIceSword_v1.22.rar ]
    [軟體版本] V1.22
    [軟體語言] 繁體中文
    [軟體簡介] 免安裝
    1、處理序項目中的模組搜尋
    2、登錄檔項目中的搜尋功能
    3、檔案項目中的搜尋功能,分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)
    4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)
    5、 Advanced Scan
    6、隱藏簽章項
    7、其它就是內部核心功能

    原文連結:http://plog.jxes.tc.edu.tw/lifetype/index.php?op=ViewArticle&articleId=1066&blogId=2