2010年1月22日 星期五

微軟 KB978207 安全性更新

用IE的人請趕快更新。

這更新是修正前一陣子還蠻熱鬧的因IE漏洞導至GOOGLE被攻擊的安全性更新
由於攻擊原碼已流出,所以請務必更新

位置:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=207eecad-6e84-48e6-ae18-6794a3618ee0

-------------------------------------------------------------------------
不過這漏洞總覺得和對岸攻擊GOOGLE有甚麼關係?
聽起來像是利用有掛使用這漏洞惡意程式的網站去取得個人資料之後
在進行偷竊個人資料...只是偷資料是偷使用GOOGLE服務相關的資料
這個不是很多都有?

不過我也不是很清楚情形就是,不管怎麼說更新出了趕快先更新吧
尤其是台灣這邊那麼多人還在用IE,加上非正版使用者多導至很多人都不更新的
這樣是很危險的.

2010年1月20日 星期三

有關EFix 5.5 GUI 修改需注意的地方

基本上因為是改用AUTOIT的關係
所以在設計上面會比較精簡一點

這邊就大概說明一下視窗的用途

首先看主頁面


界面很精簡.....說真的我個人也覺得精簡點好
不然都沒人看的懂怎麼用....雖然說現在應該也沒幾個人知道怎麼用

上面工作列主選單的選項是對應到下方那一排按鈕的
如果說按鈕不方便按的話就可以使用上方工具列處理

再來是選項部分
選項部分有兩個選項
一個是只使用系統分析
一個是開啟用延伸系統分析

只使用系統分析為當您不想要使用EFix自帶的清除腳本動作,但需要檢查系統報告時可使用此選項
這一個選項選取後按開始會直接跳過系統自帶腳本部分而進行系統分析
這樣對不太喜歡預設那爛爛的自動化腳本的人會比較方便一點

再來是啟用延伸系統分析
延伸系統分析是增加掃描以下幾個地方

1.新增/移除程式的資料
2.Windows更新資料
3.系統事件日誌

對需追蹤這些地方的人有幫助
不過...就我目前看應該是沒有人需要用到才是.

?這一個選項就是讀我資訊和連到這個BLOG

再來提到左半邊的按鈕

開始和取消就不提了,用途就是字面那個意思
而自訂腳本和之前一樣,位置換到右邊而已
比較需要提而且一般人會用到的是自動播放選項和資料夾還原選項

自動播放選項如下圖


基本上使用方式和前面幾版一樣,同樣是使用關閉MOUNTPOINT2的方式
這邊如果說在下載相關工具SWREG失敗時,按鈕會反白無法選取
而在Win7時則直接無法選取

再來是修改最多的資料夾還原選項
資料夾還原選項如下圖:


這一個視窗和前一版差別很多
現在會直接將系統所有在跟目錄位置下帶隱藏屬性的資料夾顯示出來
而顯示出來後要怎麼還原?
就是對準該項目按滑鼠右鍵
會出現還原選項,如下圖:



裡面帶有兩個選項,一個是還原屬性,一個是包含子資料夾
一般來說不建議使用包含子資料夾,除非你確定那個資料夾裡面的所有檔案都有被隱藏才使用
不然一般使用還原屬性即可
而當按下還原後,馬上就將全部屬性去除掉。
也就是說修改成即時性的.
這樣圖形化操作應該是會比較容易理解.


上述為本次版本更新GUI的修改事項
有甚麼樣的使用問題可以到PTT找我

EFix Ver 5.5 20100120.01

版本:5.5 20100120.01

檔案資訊:
File size: 1219350 bytes
MD5...: 088b24df26151ab41796e98b138fa437
SHA1..: f2cc6b6c2bd363f24abc0945af6e47f1dfbd5f31

測試過的作業系統:
Windows 7 RC1 7100
Windows XP SP2
Windows XP SP3
Windows 7 家用版 <-- 感謝中毒網友提供測試XD
Windows Vista SP1 <-- 感謝中毒網友提供測試XD

修改事項:
移除第三方工具CURL MOVEEX CRC32 MD5DEEP MSHTA FILEVER
移除SCRIPT GUI使用的相關檔案
新增檔案EFTOOL ( 使用AUTOIT製作的自製工具 )
修改GUI界面,原本使用HTML現在改用AUTOIT繪製
新增刪除檔案
新增刪除部分不安全的NAMESPACE ( 對應桌面上可能產生的一些怪異圖示清除 )
新增檢測以下資料夾並列舉捷徑 ( 不做刪除因為無法判斷使用者會不會需要用到,同樣對應捷徑首頁綁架法而做的 )
  • USER桌面
  • ALLUSER桌面
  • 快速啟動資料夾
  • 開始 -> 程式集資料夾
新增檢測部分登錄值,這邊就不列舉了
修正部分BUG。

----------------------------------------------------------------
註1:特別感謝 AVPCLUB 如夢似幻 協助測試除錯
以及巴哈姆特 wellss 提供AUTOIT相關說明文件以及資訊提供.

註2:一樣是不支援X64,沒作業系統可以測...

2010年1月17日 星期日

下載連結換空間

因為之前直接放HINET連結結果造成自訂腳本執行速度會變慢 ( 因為要花時間去下載檔案 )
所以原本的連結取消,改用免空的空間。
不便之處還請見諒

---------------------------------------------
不過就我目前觀察是沒人在乎的...XD

2010年1月9日 星期六

EFix Ver 5.3 20100109.34

版本: 5.3 20100109.34

檔案資訊:
File size: 1124303 bytes
MD5 : 72d5c737b2c032bec1d98e3fbf767373
SHA1 : 8b1506e234e83b23f5f7469530d563b82ade303f

測試過的作業系統
Windows 7 RC1
Windows XP SP2 SP3

修改事項
修正自訂腳本DEL DRIVER::指令驅動項目使用大寫會失效的問題
修改偵測EXPLORER\NAMESPACE登錄值的方式
新增數位簽章檢查失敗的檔案列舉MD5和CRC32數值

2010年1月5日 星期二

EFix Ver 5.3 20100105.31

版本: 5.3 20100105.31

檔案資訊:
File size: 1123558 bytes
MD5...: bf14af5631cc816c7e3fdd727245b3b9
SHA1..: 5b843d57783fba3a01f14a2339620bb37bc01696

測試過的作業系統:
Windows XP XP2
Windows 7 RC1

修改事項:
修改RESET REG::腳本指令無效的問題
系統分析新增加掃描桌面資料夾,程式集資料夾,快速啟動列資料夾的所有捷徑檔
並列舉參數出來,這是對應首頁綁架用的
系統分析新增掃描桌面假IE圖示對應的CLSID值
同樣是對應首頁綁架用的
增加一點刪除檔案 ( 真的只有一點... )

備註1:
目前正在著手修改部分主架構,將一些本來是使用第三方工具的軟體改用自己寫的AUTOIT主檔,不過碰到了很多問題...所以目前主力是放在那邊
5.3版的基本上除非有特別需求不然應該是不會有太頻繁的更動才是.

備註2:
數位簽章列舉MD5值來不及加上去0rz
等有空吧..

這邊特別感謝AVPCLUB的如夢似幻提供了不少樣本供測試以及除錯測試.

2010年1月1日 星期五

另外提醒首頁綁架

最近常碰到的東西是首頁綁架
不瞞各位說我自己這一台都中招了XD

甚麼時候中的不知道
今天抽空測試EFix的時候才發現首頁被修改
應該是在查資料的時候連的大陸網站中的
確實不簡單.

不過手法只是很簡單的作一個參數修改而已
沒有值入任何惡意程式
所以將參數修改回去就好了

既然連我都中了那我想就提一下這一個首頁綁架的特性好了

現在大陸那邊的綁架首頁比較流行的方式是修改幾個地方

1.將快速啟動列、桌面和程式集的INTERNET EXPLORER捷徑作一個增加參數的修改

比如像底下:



正常來說應該是這樣
然而惡意網站會將該捷徑修改成如下圖



有注意到嗎?
IEXPLORE.EXE後方多了一個網址
在該捷徑來說就是在開啓IE時直接開啓http://www.google.com.tw這個網站

利用捷徑盲點達到所謂的綁架目的
這一種的處理方式基本上就是刪除重建就好了
但要注意一點就是就目前來說所碰到的
會大多將這一個捷徑檔的刪除權限去除掉
所以在刪除檔案前要先將權限回復.

2.修改首頁登錄值後將權限修改成只能讀取登錄值不能刪除
INTERNER EXPLORER的首頁位置在
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
底下的MAIN值內
一般是修改這邊達到綁架的效果
不過這邊也會被上權限達到無法修改的效果

處理的方式
先開啓登錄編輯器移到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer登錄值中
之後選右鍵找使用權限點進去
在將EVERYONE補上去並修改成一般可讀寫權限後再去修改
怎麼修改可以爬一下我之前發的文

3.增加一個或多個CLSID值並對應到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace 這一個登錄值位置對應到桌面上
像是資源回收桶這一種非捷徑的圖示都是從這邊定義

基本上這邊的值都固定那幾個
只要將增加的值刪除即可
不知道原本的值的話
可以到該值去找
只要看到是亂碼的,就刪吧XD

這邊比較複雜不是很想說太多..

目前大陸那邊比較流行的純首頁綁架方式 (就不種惡意程式純綁你首頁) 大致上是這三種方式

以上這三種請各位自己多小心
可以的話請盡量使用非IE瀏覽器連網路
可以的話最好連FIREFOX也避免...不過那不可能的事XD
FIREFOX還是有很大的優勢這沒辦法..

--------------------------------------------
另外以後的趨勢是針對adobe的相關產品做攻擊
adobe的一些東西弱點不少,請各位多加小心了.

2010年

2010年了。
祝大家新年心想事成萬事如意
病毒不要來
用不到EFix XD

-------------------------------------
2010年過年中有空檔繼續寫EFix ... 0rz
AUTOIT執行效率不太好.