2010年10月28日 星期四

[必看]狼又來了,Microsoft Security Essentials 山寨版再起

0 意見

微軟自家的Microsoft Security Essentials防毒產品相當知名。先前曾經有駭客刻意做了一款Security Essentials來揶揄微軟,內容卻是恐嚇用戶要付費購買其他防毒軟體。微軟強調,這是木馬程式,透過欺騙手段讓用戶下載惡意程式,不可不慎。

根據微軟自家Windows Security Blog的報導,先前已經被微軟官方列為黑名單的假Security Essentials,最近又有死灰復燃的現象。他們會透過偷渡下載(drive-by download)的安裝方式,誘使用戶下載惡意程式到系統中,造成損失。而這隻木馬程式,被命名為win32/FakePAV
微軟表示,假的Security Essentials運作的時候乍看跟真的沒兩樣,甚至還會正經八百的幫你掃描是否遭到感染。但跟真的不一樣的是,假的Security Essentials會提示請你安裝更強的防毒軟體來保護你的系統,甚至還列出了許多防毒廠商的商標跟下載連結。只是這些連結當然也是假的,只會帶使用者下載更危險的病毒下來而已。
Windows Security Blog據說弄到了表面上仍是Security Essentials,實際上卻是win32/FakePAV的檔案,安裝之後,軟體會竄改開機啟動資料,讓木馬能夠在開機後自動啟動。當然,連掃描都做的跟真的一樣,如果後面沒有漏出狐狸尾巴的話。
▲掃描下去,沒多久會看到有可疑的物件(圖片來源:Windows Security Blog
▲還可以拉開細節來看,這可不妙,被感染的是iexplorer.exe(圖片來源:Windows Security Blog
▲而且假防毒會說清不掉,要用線上掃描(圖片來源:Windows Security Blog
▲點下去會看到琳琅滿目許多防毒大廠,但都是假象(圖片來源:Windows Security Blog
▲當然,這時候下載的「清毒工具」都是有問題的(圖片來源:Windows Security Blog
微軟表示,就算被假的Security Essentials綁標,用真的Security Essentials還是能解,而且是免費的。早在今年年初時,微軟就已經注意到這個木馬,並加入惡意程式清單中,但最近卻又有開始蠢動的趨勢,而微軟也強調,若需要乾淨的Security Essentials,從官方網站http://www.microsoft.com/security_essentials/下載會是最理想的方案。

消息來源:Windows Security Blog

2010年10月13日 星期三

[news]Facebook 提供一次性密碼

0 意見

Facebook 提供一次性密碼
Facebook日前增加若干新安全措施,包括提供會員一次性密碼,以免他們在使用公共電腦後,被其他人冒用身分。

如果你不想在目前使用的電腦上,輸入平常慣用的密碼,你可以用手機發送 "otp"簡訊至32665,要求Facebook提供一個一次性密碼。使用本功能前,你必須先到Facebook確認你的手機號碼。一次性密碼的效用只有20分鐘。

Facebook將漸進推出這項服務,但應可在未來幾週內全部到位。民眾應避免在公共電腦上使用慣用的密碼,或存取敏感資料,因為這些主機很可能感染了鍵盤側錄程式,或其他竊取資料的惡意軟體。

該公司也表示,將定期要求會員更新其基本帳號資料,如聯絡電話、額外的電郵帳號和安全問題,以便在必要時,協助確認帳號使用者確為本人。

在此同時,Facebook的遠端帳號監看與登出功能,也完成全面上線。這是防止使用者忘記在另一台電腦登出時,造成安全漏洞。該功能上月即在部分地區推出。(陳智文/譯)

新聞出處網址

2010年10月4日 星期一

[news]MSN帳號被盜 朋友好心遭詐財

0 意見

MSN帳號被盜 朋友好心遭詐財

記者王聖藜/台北報導

被騙 法警損失1萬多元


常用MSN和暱友談心,要特別小心。請確認對方真的是「他」。檢察機關最近接獲多起利用人頭申請MSN、E-mail的網路詐財案,人頭要求購買遊戲點數,被害人不察,依指示照辦,結果失金慘重,提告又抓不著真兇,台北地檢署一名法警因此損失1萬1000元


台北地檢署一名法警日前和同事玩MSN時,對方要求幫忙買線上遊戲點數,並指名是某公司產品,法警心裡想「應該是他,沒錯!」,於是自掏腰包,分三次跑到「7─11」便利超商各買了5000元、3000元、3000元的點數,還依照指示,將總值1萬1000元的點數輸入指定帳號儲值。


第二天,這名法警開口向同事索回買點數先墊的錢,他的同事卻說,發誓並沒有在MSN中要求他去買遊戲點數,兩個人一陣雞同鴨講,這才驚覺被騙。


而帳戶被人盜用的法警,為了向同事證明沒有騙人的錢,也提告訴自清,控告盜用人違反電腦個人資料保護法,兩案都由檢警單位偵處中。


事實上,同類案件板橋地檢署有結案的案例,並作成不起訴處分。不起訴書指出,陳姓男子控告32歲的汪姓男子登入他友人張姓女子的帳戶,今年3月31日、4月1日用E-mail和他聯絡,請他買橘子公司遊戲點數2997元、買智冠公司遊戲點數3000元,他買了後,向張女詢問,發現受騙。


別盡信網路 打通電話確認



利用MSN、E-mail當介面的犯罪態樣,是繼電話詐騙後的新型態犯罪,有偵辦電腦犯罪案件經驗的檢察官奉勸網路愛用者,用網路和朋友聊天時,不必太當真,答應對方事情或想付出錢財前,最好「先打電話向你好友查證一下」。

新聞出處網址