電腦黑手仔

Windows 7調整AutoRun功能　避免Conficker病毒繼續擴大傳染
2009/4/30 奇摩特約記者薛宜青 綜合外電報導
由於近來Conficker病毒蠕蟲透過USB隨身碟裝置傳染相當嚴重，而使用者若沒有事前先關閉微軟 Windows 系統裡的「自動播放功能」(AutoRun)，就會讓 Conficker 病毒繼續擴散下去。為了抑制 Conficker 病毒藉由 USB 隨身碟裝置繼續擴大傳染，微軟最近表示將會在Windows 7 中調整「自動播放功能」模式，不再自動啟動，這部分的調整在即將於5月5日公開下載的Windows 7 RC版中也內含此功能。
微軟方面甚至表示，會在不久的未來於Windows XP 與 Vista系統內一併更新調整「自動播放功能」的部分，讓系統不會去執行autorun.inf，如此一來 Conficker 病毒也無法藉此進行攻擊。
微軟為即將推出的 Windows 7 作業系統調整 USB 隨身碟裝置，讓其不再啟動「自動播放功能」，也就是當使用者插入USB隨身碟時，不會再有視窗跳出來自動掃瞄與執行USB隨身碟裡的任何程式，防止已感染隨身碟內的惡意程式在 AutoRun 的過程裡，被悄悄執入Windows系統。不過，如果使用者是放入CD或DVD光碟片時，Windows系統仍會致行「自動播放功能」。
微軟也在 Security Research & Defense 部落格裡提出提醒，有些智慧型的 USB 隨身碟，例如像是含有 U3 軟體的智慧型USB隨身碟，在插入電腦時會被視別為CD或DVD裝置，在這樣的情況下，Windows系統仍會自動執行「自動播放功能」，如此一來還是有些許風險存在。
目前使用Windows XP或Vista系統的使用者，仍可以透過手動的方式來關閉「自動播放功能」，使用者可以進入「我的電腦」，按右鍵點選USB，再選擇「內容」中的「自動播放」的標籤，並選擇「不要有任何動作」。

更新日期2009/04/25
(路透波士頓24日電) 電腦防護專家表示，就當名為Conficker的惡意軟體程式被視為假警報後數星期，這支外界原本擔心在4月1日肆虐的病毒現已慢慢活躍起來。
專家表示，又名為Downadup和Kido的Conficker正悄悄把數千台個人電腦轉變成發送垃圾郵件的伺服器，並暗中安裝間諜軟體。

【比特網綜合報道】繼「愚人節攻擊」的煙霧彈之後，Conficker蠕蟲(又名「愚人飛客」)再次吸引了全球網路安全界的目光。近日，微軟宣佈發現了Conficker最新變種，並將之命名為Conficker.E(即冠群金辰公司命名的Conficker.C之升級版)。這一最新變種不但動搖了此前業界對這一「模範蠕蟲 」「不圖名、不圖利」的的種種幻想，更驚人的發現還在後面。

出現在去年11月的Conficker蠕蟲在早期極為「溫和」，從一開始就表現得與以往的各種蠕蟲病毒極為不同，以至於被微軟安全研究人員戲稱為「不圖名、不圖利」的「模範」蠕蟲。但是在3月底時，事情出現了戲劇性的變化，Conficker.C的代碼經分析後，被爆出含有將於4月1日發動全球攻擊的指令，從而引發了網路安全行業的巨大震動。
此前按研究機構MTC的估算，Conficker控制的「肉雞」規模已達1500萬。事實上很可能超過這一數字，因為據IBM公司的數據，透過對世界各地200萬台上網電腦的抽樣掃描，至少4%的電腦被發現明確感染了Conficker。這是一個驚人的數字。
因此，雖然明知「4月1日攻擊」有可能是一個愚人節惡作劇，但是鑒於Conficker一旦發動的巨大破壞性，國外多家安全機構和冠群金辰、趨勢科技、 360安全中心、以及中國國家電腦網路應急中心等國內機構仍發出了安全預警。尤其是在網路安全預警能力和防範意識較強的歐美國家，Conficker 引發了巨大的恐慌：英國衛報稱Conficker為「致命威脅」，CBS預言其將「癱瘓整個網路」，紐約時報更是稱之為「即將發生的難以置信的慘劇」, 而美國ABC新聞網甚至認為該蠕蟲作者已可與史上「五大著名駭客」比肩。
在各大安全機構發覺和預警之後，Conficker.C取消了愚人節攻擊，或許「愚人飛客」的打算就是先惡作劇一下，以麻痹各方面對其的警惕性，也可能是因為攻擊代碼曝光導致計劃生變，愚人節攻擊並沒有如期發生，但是這並不意味著威脅已經解除。這就像一個戰爭狂人將核武引爆時間設定在4月1 日，雖然這一天並沒有真的爆炸，但絕不意味著和平已經降臨，因為引爆的按鈕仍然在他手中。就在大家視之為愚人節笑話而放松警惕時，這一核彈的爆炸能量卻仍在隨著Conficker.E的悄然陞級擴張而迅速增長……
據360安全中心的石曉虹博士披露，在打破休眠狀態後，Conficker.C已利用P2P技術迅速在全球範圍內陞級到了 Conficker.E。「Conficker透過加密P2P技術在肉雞電腦上進行更新，Conficker.C甚至無需穫取更新指令就可以部署陞級，相當於預先設定了BT下載的種子，這也是Conficker作者早早埋下的伏筆，而它的最新版本目前正在向打造‘僵屍網路’演化，出現了明顯的趨利特徵。」
據卡巴斯基實驗室監控的資訊，有人利用Conficker.E在受害用戶電腦上彈出「發現病毒」的恐嚇廣告，以此推銷價格為49.95美元的「無賴」殺毒軟體，行跡與兩個月前360安全中心發現的「？牛」木馬偷運「廣告炸彈」、威脅用戶「電腦即將高溫爆炸」等流氓行徑極為相似。
趨勢科技則發現Conficker.E正在與「風暴」僵屍網路嘗試對接。或許一般網友對「風暴」一無所知，但幾乎每個網民都有過接到廣告(釣魚)郵件的遭遇，「風暴」 就是大面積發送廣告(釣魚)郵件的僵屍網路中最為顯赫的一員。一旦Conficker控制的「肉雞」群與「風暴」僵屍網路合兵一處，未來互聯網上的垃圾流量和個人隱私洩露次數將翻番。
對此，石曉虹博士表示，由於Conficker.E之前的版本隱蔽性非常高，沒有體現出對中招電腦的直接危害，用戶有可能忽視了對它的查殺。一旦電腦出現 Windows安全中心無法訪問、網速明顯變慢等現象，有可能就是感染了Conficker,可以下載360頑固木馬專殺大全予以清理。(下載地址：http://down.360safe.com/360compkill.zip)
蹊蹺的是，Conficker.E新版本再次暴露出一個全新的時間點：5月3日。根據樣本分析，Conficker.E將於5月3日這一天自動停止繁殖和擴張。駭客為什麼選擇了5月3日這樣一個日子？在歷史上的這一天，人類首次完成不停頓橫貫大陸飛行，東條英機等戰犯受到審判，撒切爾夫人成為英國第一位女首相……至少從表面上，無法分析出這些事件對「愚人飛客」能有什麼特殊的象征意義。
問題是，Conficker已經在全球範圍內掌控了大量肉雞，甚至已經引發了全球恐慌，難道會這樣輕易地就洗手不幹了？自動停止繁殖會不會是「 愚人飛客」釋放的又一個煙霧彈？在這種毫無理由的「引刀自宮」背後，是否預示著一個更大的陰謀？還是整個事件就是某位天才駭客跟全球網路安全界開的一個超級玩笑？「愚人飛客」到底是誰，他到底要幹什麼？……目前，各國網路安全專家正在夜以繼日地抓緊分析，力圖完全破解Conficker的加密保護，就讓我們一起靜待事實真相的最終揭開。

從「山寨手機」到「山寨電腦」，「山寨風」正在滲透到我們生活的方方面面，最連殺毒軟體也「玩」起了「山寨」。不過與「山寨手機」有基本通話功能不同，「山寨殺毒軟體」可能讓你的電腦像沒穿衣服的人一樣暴露在互聯網上，成為駭客、病毒的「肉雞」。

網上偶遇「山寨殺毒」
「真是『山寨』哪都有，連殺毒軟體都有『山寨』的，這可是頭一回碰到。」前不久，省會市民賈先生在論壇裏看到一款名殺毒軟體，產品推廣語是「國產殺毒軟體的黑馬」，自稱有極強的電光掃描功能。最重要的是，其價格卻很低，一年才10元錢。但在下載使用期間，在電腦上啟動掃描功能10多秒之後，意外的事情發生，殺毒程式突然全線崩潰，防護也自動退出。
之後賈先生向這家公司的客服求助，但卻發現對方客服竟然只有一個QQ號碼。記者查詢得知，這款殺毒軟體並沒有按規定得到公安部門的認可。
瑞星軟體工程師王佔濤說，所謂「山寨殺毒軟體」是指沒有在公安部門註冊和沒合法手續的殺毒軟體，這些軟體最初是軟體高手炫耀個人才華的平台，但近來卻出現了一些網上出售的情況，而且由於沒有合法手續，也不排除趁機傳播病毒以穫利的可能。
「有些是沒有危害的，但是其功能肯定不能和正規品牌相比，有的則會自動刪除電腦中的軟體。即使是沒有危害的，由於給電腦的防護不夠，電腦染毒的機率就大大增加了。」王佔濤說。
「山寨殺毒」漏洞不少

電腦病毒讓很多網友都有電腦中毒或是必須重灌系統的切身之痛。資安廠商發現，有打著資安業者名號的垃圾郵件，向網友推銷「防毒軟體」；業者指出，目前還不知道這些軟體是否會真的將商品寄給訂購者，或是這些軟體本身就是電腦病毒。電腦病毒Conficker讓全球很多電腦使用者深受其害，也讓許多擔心自家電腦安全的民眾積極購買防毒軟體或更新現有防毒軟體的病毒定義檔。(撰稿‧編輯：韓啟賢)
在此背景下，有一些垃圾郵件自稱是某資訊安全廠商，以協助電腦使用者免於Conficker安全威脅為名，推銷防毒軟體。資安業者指出，這些垃圾郵件會夾帶連結，誘使收件者點選連結到某購物網站去購買防毒軟體。資安廠商賽門鐵克提醒消費者，不要相信這些來路不明的垃圾郵件，而且目前也還沒有確定這些所謂的「防毒軟體」是否會寄到訂購者手中，或是這些軟體本身就具有其它的資安威脅。這家公司的資深技術顧問莊添發說：『(原音)即使如果他真的把一些軟體寄給一般的使用者，事實上，也不要去安裝；因為，第一個有可能是盜版的，那第二個有可能是他自己製作的，偽裝的惡意程式。』
另外，由於報稅季節即將來到，也有些垃圾郵件作者，打著稅務單位的名號，以退稅等名義欺騙網友；希望藉此騙取報稅人的個人資訊，包括出生年月日以及信用卡號碼等等。資安廠商提醒民眾，全球的稅務單位很少使用電子郵件與民眾聯繫，因此，如果接獲宣稱來自稅務單位的電子郵件時，要格外注意。

blue 於 週一, 04/02/2007 - 13:18 發表
去年10月Mozilla和Microsoft相繼發表新的瀏覽器版本，並提供已知的黑名單來封鎖對釣魚網站的存取，但是釣魚網站成長的速度實在是太快，遠超過他們所能處理，在這場交手中，邪惡的一方似乎是取得上風，利用黑名單的技術來對付釣魚網站看來未有太大的成效。
根據RSA的調查，有駭客開始販售釣魚網站的工具組，可以讓有心人士不必花費太多的力氣便能很快的建置出一個和真實網站一模一樣的假造網站，並且在受害者輸入帳號及密碼後能將其轉至真正的網站，但是帳號及密碼等資料已被複製到犯罪者手中。
根據研究機構Gartner的統計，2006年有350萬美國人將個人的敏感資料拱手送給網路釣魚者，較2005年多了84%，並且造成28億美金的財務損失，其中一個叫做「Rock Phish」的組織就詐騙超過１億美金。
智慧型行為模式掃瞄(Heuristic Scanning)藉由分析網站行為和釣魚網站慣用的技術，或許有助於扭轉劣勢。而一項名為EV SSL(Extended Validation Secure Sockets Layer)的網站認證標準，或許也有助於對付釣魚網站，要取得認證，網站必須經由第三公證單位如VeriSign或Entrust確認為合法，並且會在瀏覽器的網址列以綠色呈現。但是正所謂「道高一尺，魔高一丈」，網路釣魚者絕不會因此而放棄如此龐大的利益，勢必會找出破解之道。
雖然沒有一個萬全之策能夠杜絕釣魚網站，但仍有一個簡單的方法能夠保護自己免於大部份的釣魚網站威脅，就是不要直接點選E-mail或第三方網站所提供的連結，多加利用自己在「我的最愛」所設定的書籤，或是花點時間自己輸入網址，都能使自己更安全一點。

工作原理
Conficker蠕蟲傳播主要通過運行windows系統的服務器服務的緩衝區漏洞。它使用特定的RPC請求在目標電腦上執行代碼。
當在一台電腦中成功執行，它會禁用一些系統服務，比如windows系統更新，windows安全中心，windowsdefender和
windows錯誤報告。然後他會連接一個服務器，在那裡他會接到進一步傳播的命令，收集個人信息，和下載安裝附加的惡意程序到受害人的計算機中。它還會
把自己添加到必然會有的windows活動進程中，像是svchost.exe，explorer.exe和services.exe。

 



 

USB病毒

從USB傳輸介面感染的病毒都算，也是因為現在USB介面應用日漸普及，加上Windows系統都預設自動播放，因而延伸出的這個感染路徑。

當電腦安裝USB儲存裝置時，Windows系統會自動尋找並執行autorun.inf程式，病毒就在autorun.inf中指向病毒執行檔的位置。最重要的是，在Windows作業系統預設情況下，當你插入USB設備至電腦時，就會自動執行這一連串的行為，如果沒有事先預防，電腦馬上就中毒。

 

台灣成為全球Conficker病毒感染地區第四名　請關閉「自動播放」功能以防病毒感染擴大
更新日期:"2009/04/13 16:50"  Yahoo！奇摩特約記者　薛怡青　台北報導
今年第一季才剛過完，可是台灣地區卻已經躍升為Conficker病毒感染全球前十名裡的第四名了，這個數字聽來令人膽顫心驚，因此資安廠商趨勢科技呼籲電腦使用者在使用USB隨身碟時，一定要插入電腦後關閉「自動播放」功能，以避免Conficker病毒疫情再度擴大。

根據趨勢科技TrendLabs全球防毒研究暨支援中心在今天公佈的第一季報告中指出，至今年第一季結束為止全台灣總共有3千4百多萬台的電腦中毒，這個數量卻是去年全台灣電腦總感染數的47%。也就是說，今年才剛過完三分之一，全台灣電腦的病毒感染數量已經快超越去年的一半，若不再加以防範，恐怕今年結束前全台灣電腦病毒的感染數量將超過去年的總感染數。
趨勢科技指出，2009年第一季全台灣的電腦病毒感染數量總數比去年第四季增加了9.79%，更比2008年同期成長高達297%。
其中更發現，在今年台灣第一季的前十大病毒中，感染前兩名的病毒為USB病毒。例如Conficker/WORM_DOWNAD蠕蟲變種，就利用USB隨身碟成為感染途徑，這也使得台灣在今年第一季也被列入全球前十大感染國家的第四名。
為了避免病毒感染疫情繼續擴大，趨勢科技資深技術顧問戴燊提醒，當使用者插入USB隨身碟時，請按住Shift鍵不放，這樣「自動播放」功能就不會被啟動 (註)，以防止感染擴大。使用者也可以進入「我的電腦」，按右鍵點選USB，再選擇「內容」中的「自動播放」的標籤，並選擇「不要有任何動作」。這樣下次再插入 USB隨身碟就不會啟動「自動播放」功能了。
資安廠商賽門鐵克也指出，近期Conficker病毒又悄悄變種，目前發現的最新樣本為 Downadup.E。而且這回病毒更狡詐，如果使用者的電腦先前已經遭感染Downadup.C，最新變種的Downadup.E會嘗試更新最新的病毒碼，讓使用者電腦裡的病毒永遠都清不乾淨，並將使用者的電腦變成垃圾郵件殭屍電腦。更可怕的是，變種的Conficker病毒的最新樣本 Downadup.E還具有特殊的「自我移除」功能，其設定在5月3日會從被感染的電腦上移除，就很像電影「不可能任務」裡的自動銷毀功能一樣。
無論是被哪一種樣本的Conficker病毒感染，由於近來透過USB隨身碟而感染病毒的機率相當高，因此資安專家都再次強調與提醒使用者，請關閉電腦裡的 USB「自動播放」功能。並且一定要隨時注意自己電腦裡的Windows系統是否已更新為最新的安全程式，以及防毒軟體的病毒碼是否為最新的病毒定義檔。

Q1台灣電腦中毒近3500萬次　USB病毒最毒
更新日期:"2009/04/13 18:27"  韓啟賢
資安廠商公佈的報告顯示，今年第一季台灣總共有近3500萬次電腦病毒感染案例，約比去年第四季增加了一成，比去年同期成長將近300%。在各類別的電腦病毒中，以USB病毒最毒，因為台灣第一季的十大病毒中，感染前兩名的病毒就是USB病毒。

資安廠商趨勢科技公佈的報告指出，台灣今年第一季總共有3443萬多次的電腦遭受病毒感染案例報告，這個數量大約是去年全台灣總感染數量的四成七，和去年第四季相比，增加了將近一成；與去年同期相比，感染總數則成長高達297%。
資安業者表示，電腦感染數量會大量上升，主要因為現在電腦使用者用USB行動裝置傳遞資料的情形相當普遍，而且往往插上USB後會自動執行播放，這讓USB 病毒有機可乘。以亞洲地區來說，目前是會自動執行的惡意軟體熱門感染區，而台灣第一季前十大病毒中，感染前兩名的病毒就是USB病毒。這家公司的資深技術顧問戴燊說：『(原音)有時候你可能用同學、同事或朋友的行動裝置，但你不知道里面有沒有病毒；因為你插上去之後，作業系統會自動執行，它有一個自動播放的功能，可能因為你來不及更新病毒碼的情況下，去感染到這樣子的病毒，進而再擴散到其它的USB裝置。』
想要避免感染USB病毒，除了更新防毒軟體的病毒碼外，資安業者也建議電腦使用者，可以在插入USB裝置的同時按住Shift鍵不放 (註1)，或進入「我的電腦」中去點選USB裝置 (註2)，停用自動播放功能，以避免病毒上身。