2009年10月23日 星期五

EFix Ver 5.3 20091023.22

版本:5.3 20091023.22

檔案資訊 (EXE檔本身的資訊):

File size: 1122344 bytes
MD5...: 3e1394f25b35268927f85f454ef7f09e
SHA1..: 3edb705fe9ef1634e4995580ae66b6978cf4fd1f

測試過的作業系統:

Windows 7 RC1

Windows XP SP2

修改事項:

增加刪除檔案 (softqq0.dll - softqq9.dll , bnmkue0.dll , bnmkue1.dll - bnmkue9.dll , aqoeerw.exe)


註1:

這兩個因為同一天看到兩例以上的人有中,有用其他軟體增加免疫資料夾的全部會偵測不到,沒有用免疫資料夾的舊版本皆可處理,但因為還是有必要要加所以先緊急加上去了

註2:

咪的哩我還在忙耶逼我一定要修改冏+

2009年10月22日 星期四

近期Yahoo Mail信箱的病毒一些防治方式

Yahoo Mail 基本上來說在很多人心中是大毒窟
有人每天都可以收到一大堆帶病毒信件的郵件

然後這些病毒信件在每一家防毒來說基本上是抓不到的
為何抓不到?
因為那些檔案本來就是正常的檔案...

該病毒郵件使用的原理大至如下:

寄出郵件,檔案大約1.多k
使用者收到病毒郵件可以看到有夾帶約1.多k左右的lnk
像是
可愛的愛心大頭照.lnk
交易明細.lnk

這一類後面可以看到很明顯的副檔名叫作lnk

而這一類的檔案在執行後
他會依照他的腳本進行動作

腳本內容就不貼了,這邊貼主要的動作

他會使用到系統裡面的FTP.EXE (內建的Windows指令,用處為使用FTP傳輸協定連線到伺服器上下傳東西)
連線到該惡意伺服器下載惡意程式並執行

當下載的惡意程式執行後該lnk檔就不再有任何動作
很單純的就只是一個自動化腳本,利用電腦內建的指令去作自動化動作
也因為都是使用Windows內建的指令,所以在防毒廠商和防毒軟體來說
那東西並不算是病毒 (實際也不是)

也因此在預防上面可以針對FTP.EXE這東西下手

FTP.EXE前面提到是Windows內建指令,功用為使用FTP通訊協定和伺服器進行連線
而FTP.EXE這東西一般人沒有人在使用,所以我們可以將他的檔案權限鎖住讓他無法執行。

使用方式基本上如下:

首先開啟我的電腦
按工作列的工具 -> 資料夾選項 -> 檢視


尋找 "使用簡易檔案共用(建議)" 這一項將他取消打勾.

如果是已經取消的就不管他

之後開啟到windows\system32資料夾,尋找FTP.EXE這一個檔案
在該檔案按滑鼠右鍵選擇內容


之後跳出來的視窗選擇安全性
並尋找名稱那一欄為Everyone的選項選取反白,選取反白後在下方欄位拒絕處全勾.
勾選完後按下確定即可.


如果您之前有將
"使用簡易檔案共用(建議)"
這一項取消打勾的話建議您再將他打勾回去

如果假設沒有Everyone這一個使用者呢?
那就要新增

首先按下群組或使用者名稱下方的新增按鈕


按下之後再跳出的視窗選擇進階


跳出的新視窗在按下立即尋找
等跑完後在最下方視窗處尋找Everyone選取他讓他反白並按下確定.


之後會回到上一層視窗,檢查在輸入物件或名稱來選取這一欄看有沒有Everyone的存在


有就按確定,按完之後就會出現Everyone的名稱了.


當處理完畢之後,就可以發現FTP.EXE已經無法使用.


這樣也因為病毒無法使用FTP.EXE下載病毒,進而讓該下載器無法動作
就可達到防止自動下載真正病毒執行的效果.

然而使用上有一些限制,如果有符合以下限制的人要不然就是換方法
要不然就多留意一些不要執行到了

1.系統磁碟檔案格式為FAT32
2.有需要使用到FTP.EXE這一個內建指令連線伺服器的人 (不是檔FTP傳輸協定,只是單純檔FTP.EXE這個檔案執行而已,只檔這檔案並不影響FTP使用)

基本上最根本的方式就是多注意信件
不要看到就開啟就能減少很多問題了..


至於FAT32因為沒有安全性這東西那要怎麼作才行?
基本上會建議使用安全性原則或者是IFEO去阻檔,這個以後在說...

2009年10月21日 星期三

EFix 5.3 20091021.21

版本:5.3 20091021.21

檔案資訊 (未壓縮的exe檔):
File size: 1112368 bytes
MD5...: bb3707a7de405c89e826b3d8633e8ba2
SHA1..: 099dbfdaa2d39db1f8993b36bbca7c84f7d2872a

測試過的作業系統:
Windows 7 RC1
Windows XP SP2

修改事項
修正取得磁碟代號失敗後走備援方案時跳出的問題
新增一點刪除檔案
VBSCRIPT腳本作一些整合.


最近家裡事情很多,可能一小段時間除非有大流行或者是有比較需要馬上修正的BUG
不然可能暫時會先擺著,可能要到11月中才會在作一些變動..

2009年10月7日 星期三

EF Win 2003不支援的原因

有些人問我怎麼不讓EFix支援Windows 2003?

簡單說因為我手邊沒有作業系統可以測試
從以前到現在都沒有過
不像VISTA或2000我偶爾還有機會碰到可以查一下

而Win 2003和其他作業系統的一些差別我沒辦法得知
使用上可能看不出來,但一些驅動和服務的值和一些登錄設定的值是完全不同的,2000和XP和VISTA就是這樣

也因此我並沒有辦法得知2003的一些設定值和其他作業系統哪邊不一樣的情形下
我不敢隨便就讓他能夠跑.

以前舊版能跑是因為腳本不嚴謹沒有特別設規則讓他跳出 , 沒跑出問題很偷笑了...

EFix 5.3 20091007.17

版本:
5.3 20091007.17

檔案資訊 ( 解開ZIP後的大小 ):
File size: 1112999 bytes
MD5...: c8cff35ed0f0893d5ed5c9cc1a7f2467
SHA1..: a0486c71d56661690a1f0e3b7cba08764dabed90

測試過的作業系統:
Windows 7 RC1
Windows XP

修改事項:
移除第三方工具Donwload , 新增第三方工具cURL
修正一些打錯字的地方
增加分析磁碟根目錄下的隱藏資料夾和同名檔案
腳本自動下載工具的連結多增加三個。降低空間負擔並提高下載成功率