不知道各位有沒有發現一些病毒的演化..越來越進步,越來越難以阻擋
隨身碟病毒我覺得開啟了一個新的境界..尤其在隨身碟越來越便宜越來越普遍的情況下
很容易快速的蔓延開來,由於他是直接插到電腦上,因此一般公司用的Virus Gateway無法在事前阻擋
尤其不斷的變種,kavo、tsao、kavo1...等等,加上會使電腦隱藏檔案無法開啟,也常常會蒙騙了防毒軟體
不過對公司來說隨身碟病毒還算好阻擋,只要透過group policy或是防毒軟體的防寫清單將autorun.inf設定為無法執行,趨勢科技也已經提供解決方案 ,說明如下
http://tw.trendmicro.com/tw/support/tech-support/board/tech/article/20080110081233.html
但是現在遇到一個更棘手的問題,就是由yahoo mail所感染的病毒,這種信件通常是由好友所寄,而都顯示中文(所以之前教導公司員工"都是英文的檔案盡量不要開,除非對方本來就寫英文")這點已經失效了..
我也已經把除了zip rar的附件都進行組檔,然而魔高一丈,現在病毒也知道大家會阻擋了,因此病毒也因應大家的阻擋方式改為ZIP..
尤其是上YAHOO所收的信件,目前的virus gateway也無法阻擋,我只能在公司的scan mail上面阻擋含有exe的zip..但也只針對寄到公司內部的病毒信件有效,對於yahoo的webmail依然無法處理(之前Hotmail也會有許多這種病毒信件,但現在似乎已經可以檔到了)..
關於Yahoo mail病毒的介紹
1.通常是好友寄的(而寄信的人寄件付本裡面並不會看到自己寄出的信件)
2.寫中文,附檔也為中文的壓縮檔像是 台北掃黃紀要.zip 鄰居是個小美女哦~~[1].zip (5.exe)
3.中毒後會在 C:\Documents and Settings\user name\Local Settings\Temp裡面產生類似rarsfx之類的資料夾,資料夾內有一個txt檔(通常會有一些色情文章可以看)跟一個*.sfx.exe,為有加殼的病毒
4.執行*.sfx.exe會產生一個 *.exe (*都是數字),並且寫入機碼
HKEY_CLASSES_ROOT\CLSID\
{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32
(既定) = "<Windowsフォルダ>\Help\F3C74E3FA248.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks
{1DBD6574-D6D0-4782-94C3-69619E719765} = "<空白>"
5.因為上面的機碼所以 windows\help 裡面會產生一組隱藏檔案,都是成對(像是F3C74E3FA248.dll、F3C74E3FA248.exe),必須用unlock才有辦法刪除
不知道各位IT大人有沒有辦法使用各種方式在這種病毒尚未被執行前就阻擋,或是有其他解決方案的意見?
不好意思在上班打的很凌亂,最後也提供一個單機常見病毒的解決方案,趨勢科技的iClean
網址 http://www.trendmicro.com/download/zh-tw/product.asp?productid=56
這程式算是比較消極的進行組檔,會把常見病毒的機碼、IE Cache進行刪除,並且把常見的病毒名稱在電腦內建立一個假資料夾,讓中毒時無法寫入,這對於有中mail病毒、隨身碟病毒、任何在IE Cache內的病毒應該都有辦法處理。
從 APP 打開
X