2009年5月31日 星期日

EFix Ver 5.1 20090531.27

版本:5.1 20090531.27

檔案資訊:
File size: 897755 bytes
MD5...: 89162469628cd85e1a14e14020d82a1a
SHA1..: 3fc239e5dfb2ffad3b69842e26b2e9cf70e0415b

修改事項:
修正誤刪除SmartIT Client的啟動登錄值的問題
修改一點類型3的偵測方式看看部分人還會不會有停在那不動的問題.

2009年5月27日 星期三

EFix Ver 5.1 20090527.26

版本: 5.1 20090527.26
檔案資訊:
File size: 897580 bytes
MD5...: 8ec6ba7b3792592bca0051fd534078af
SHA1..: 6e5e059ef90e20e71d2aae80a6cb836d350baeaf

修改事項:
增加檢查system\runscr.dll這個檔案,沒該檔案會嘗試下載並註冊
修改取得驅動服務項目的bug

2009年5月25日 星期一

EFix Ver 5.1 20090525.25

檔案資訊:
File size: 897409 bytes
MD5...: 8e0ecbae09e5a8fd12220b493e9e625c
SHA1..: 7ad45afac0f854be2e6b507ea414769c5697f7fb

修改事項:
增加刪除檔案 (4tddfwq0.dll 4tddfwq1.dll 這一類的變種隨身碟病毒)
增加系統分析掃描項目 (看你防毒有沒有在跑,目前為測試階段)

2009年5月21日 星期四

Net-Worm.Win32.Kido

這東西又叫做Conficker
幾個月前這東西流行了一陣子
但其實沒甚麼人知道自己有中這東西
還是靠防毒通知才知道的....
然而已經一段時間了確還是有人有中這隻的情形出現
所以這邊打個大略說一下

conficker有出a b c變種
c變種就比較少一些
而且c變種已經在5月幾號忘記了進行自我毀滅的動作
所以c變種基本上可以跳過.

然而a和b由於是利用之前微軟作業系統的高度危險漏洞 MS08-067
擴散率其實就和前幾年的疾風病毒差不多的情形
就是你只要連接上網路,就直接中.
然而雖然說安裝了漏洞修補更新之後就可以避免這樣的情形
不過還是建議裝個防火牆會好一點.並將相關的連接關閉

至於中的話要怎麼處理?
由於他這幾個檔案會自我提權到只有system權限才讀的到 ( 我手邊的樣本 )
在一般情形來說會建議使用單獨清除他的清除工具處理

像是
使用這一類的工具會比較好處理
上面網頁如果沒有辦法連結的話就請到其他台乾淨沒中毒的電腦去下載之後再複製到該台電腦上使用.

因為該毒會阻擋中毒電腦和防護網頁的連結.

除了上面這專門清除的工具以外
另外還要安裝 MS08-067(KB958644)

這東西安裝之後才能避免透過網路中這一隻毒.


其他詳細資訊看底下的網頁
http://www.microsoft.com/taiwan/press/2009/01/0114.mspx

其實這已經是有一段時間的東西了也沒有再繼續變種下去....
結果還是會有這麼多人有中這一隻其實還是很意外.

不管怎麼說安全性更新是一定要做的...

2009年5月15日 星期五

進入系統還原資訊夾的方式

系統還原資料夾一般位置為System Volume Information,會位在各磁碟根目錄下
EX: C:\System Volume Information

應該有不少人有碰到防毒軟體有掃描到系統還原資料夾但防毒沒有辦法清除
或者是想進去自已刪除檔案但沒有辦法刪除

一般來說先使用關閉系統還原重複開啟關閉的方是大多都可以清除
但也有碰到部分例外...但原因我並不清楚

這邊交一個進入的方式,不見得一定能用但可以嘗試.

首先底下的選項先處理,如果您不知道怎麼進這選項的話我不建議您自己處理


這樣才看得到系統還原資料夾
不過此時進入的話應該都會出現這個視窗



如果您確定你是以administrator的身分
您可以照底下的選項去修改讓everyone (所有使用者) 都可以存取這個資料夾
首先照底下的選項處理







此時可以發現此資料夾只有SYSTEM權限可以存取,所以我們必須要新增一個使用者進去

按下上圖的新增之後會出現如下圖視窗



在上面的輸入物件名稱來選取處輸入Everyone,之後按下右邊的檢查名稱
此時Everyone會出現底線,在按下確定之後會出現如下圖


此時在Everyone的權限處將完全控制打勾後按確定或套用
此時您就可以試看看是否能夠進入系統還原資料夾了



記得處理完之後要還原原本的設定.

2009年5月14日 星期四

Foxy 少用,要用也要能駕馭才使用

今天公司網路掛了一天...

原本在查的時候本來是發現IP分享器一直reset
而公司經理以為是IP分享器損壞

後來好不容易終於連上內部設定頁面
一進去查詢連線紀錄之後馬上查到一個IP有對外的大量連線
後來去那台電腦用NETSTAT和工作管理員比對PID之後發現

PID對應的程序叫做Foxy.exe......
而當關閉Foxy之後網路連線馬上回復正常
同時全公司網路也回復正常

但用這傢伙的人是我部門的經理所以沒辦法說些啥東西...
只好使用IFEO將Foxy劫持讓他沒辦法使用

先不論Foxy是否容易造成中毒.
在你不會設定不會限制他連線時 (不管是連線數或者是傳輸量),最後網路並不會是只有你一個人癱瘓而已。

這種沒駕馭好就損人損已的軟體...一般還是建議少用。

EFix Ver 5.1 20090514.21

版本:5.1 20090514.21

File size: 895903 bytes
MD5...: 99a99426e92e53e3e95af323a8ff0a60
SHA1..: 56797403774fe303d428040bff9591742e720e6d


修改事項:
  • 因系統使用者名稱造成的中斷問題做個修改嘗試看看能不能解決.
  • 修改讀取啟動資料夾捷徑的vbs語法 ( 以前用Combofix的現在學了一點改用自己做的,並直接使用vbs讀取啟動資料夾位置,在此特別感謝Combofix作者 )
  • 修改讀取services/drivers值的方式 ( 以前用reg抓登錄值現在改用vbs抓取 )
  • 更換nircmd版本,他目前新版本被誤判機率太高,所以換成ver 2.2版的看能不能降低誤判的機會
  • 其他沒有新增刪除的檔案,純針對一些之前碰到的奇怪問題做個修改而已
  • 另外讓目前的windows 7 RC1執行效率好一點所以增加了一點windows 7的一些資料進去讓他跑比較快...一點啦.