彙整
處理 IE 被 521.cc 綁架的問題
已經捨棄使用IE 瀏覽網頁好些年了,最近開啟時,卻發現首頁被 521.cc 綁架了。使用其他瀏覽器如 Firefox、Chrome 反而都沒事。
檢查到後來才發現,只要把2個dll改名就ok了。(還不確定有什麼程式會影響) 閱讀更多…
封鎖 W32/Agent.C659!tr.dldr 垃圾病毒(Fortigate)
最近測試在 Fortigate 310B,看到擋到了一堆病毒訊息,雖然知道有擋到該病毒(擋掉附件 module.zip),但是垃圾郵件還是照常傳送進來,因此忍不住查詢了一下Log,整理之後,手動將之加入黑名單內。
該病毒是透過 smtp 傳送進來的,如果能在解析郵件標頭時,就先過濾掉的話,就不用再經過防毒機制掃描附件了,而且該封郵件也直接在防火牆就過濾掉了,不至於還跑進內部來。
當然,如果可以知道來源IP,則連解析郵件的動作都能省略,可惜這次的IP真的很多。 閱讀更多…
Wireshark 1.0.4 免安裝版
資料來源: 阿榮福利味 – Wireshark 1.0.4 免安裝版
軟體簡介: 抓網路封包必備免費軟體
原始首頁: Wireshark
下載網頁: http://www.wireshark.org/download.html
免安裝下載連結:
- Windows 2000/XP/2003/Vista PortableApps Package: SourceForge.net
- 阿榮福利味 提供的下載連結: http://www.box.net/shared/static/krynlt7eou.exe
執行狀況如下:
- 直接執行會解壓縮,選擇一個路徑給它,例如: 桌面。
- 阿榮福利味 提供的,會自動建立 WiresharkPortable 資料夾。
- 原始網站下載的,會要你先建立一個資料夾給它,預設也是使用 WiresharkPortable。
- 如果電腦上沒有 WinPCap 他會自動要你安裝(此版會安裝 WinPCap 4.2,沒測試如果先安裝好 WinPcap 狀況會如何)
- 安裝完之後會跳出下列的畫面 (=..=),不過還是可以繼續執行。
- 程式關閉之後,跳出下列視窗要反安裝 WinPcap
看來還蠻綠色的,如果作為MIS維護工具的話,還是很OK,至少維護完之後,不用記住還要反安裝 WinPcap。
Symantec Mail Security for Exchange 問題
最近安裝測試防火牆 FortiGate FG300A,結果發現 Exchange 的 Front-End Server 一值再連線 https://aztec.brightmail.com,每隔幾秒就連線一次…
後來 Google 了一下,發現原來是 Symantec Mail Security 造成的。
參考網頁: https://forums.symantec.com/syment/board/message?board.id=AVGateway&message.id=421
加上之前在 Exchange Back-End Server 安裝後:
- 會更改原本一些 Exchange 預設的路徑,例如: Queue 的路徑。(其實是我找不到它把 Queue 的信件移動到哪裡)
- 以及OWA IIS的相關權限設定,造成移除時的一堆麻煩。(還好 IIS 之前有先備份,他的IIS備份我不敢用)
今天終於給他放棄了。
在Windows XP(SP2)如何關閉自動執行(Autorun)
文章來源: http://www.2003kj.twycf.com/wordpress/?p=134
內容實在寫的不錯,文筆很清晰。
擷錄之前已經設定過部份,因為當時參考的原文連結早已不在。
——————————————————————————–
補充:若參照上面轉載的資料去做,基本上是可以了,但小弟認為最好連自動播放也一起關閉。
1.開始→執行,在執行的欄位輸入gpedit.msc,然後按下Enter(或滑鼠按下【確定】),此時就會開啟群組原則的視窗.2.本機電腦 原則→電腦設定→系統管理範本→系統,點擊[關閉自動播放]
![]()
3.選擇[已啟用];選擇[所有磁碟機],然後按下[套用],最後再按下[確定].
補充:以上自動播放的停用,不包括光碟機喔!若要光碟機的自動播放也要關閉的話,可以修改Registry.路徑:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom,DWORD值的[AutoRun],預設的1改為0.
———————————————————————————
國內外資安網站免費提供的線上工具下載
|
cmdow.exe 是木馬?是病毒?
最近安裝了 Windows 清理助手 每次掃描到 C:/WINDOWS/system32/cmdow.exe 都會讓我電腦上的小紅傘出現警告。
於是上網 Google 了一下,以下是 資安學園上的內容: cmdow.exe 是木馬嗎?
————————————————–
狀況:
掃到了 C:/WINDOWS/system32/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows
說明:
- cmdow.exe 是一個在視窗作業系統底下,為了要使安裝畫面不會出現 DOS BOX,而將DOS 畫面藏起來的程式。既是執行檔,是有可能成為病毒傳毒的途徑,只是原生程式是無害的。
- cmdow.exe 並不是正版XP 所內建的程式,但常被使用在某些自動安裝版的XP,如 Super XP,WinXP_Pre-SP3v…等,只是為了自動安裝各種XP之外的應用程式。
- cmdow.exe 會被卡巴,賽門鐵克,費爾扥斯特等等判定為駭客工具[Hacktool.HideWindow — 賽門鐵克定義] [risktool.hide.windows,aa — 費爾扥斯特說是駭客工具],此檔案刪除無妨,不會造成系統的問題。
- cmdow 主要的功能是隱藏 cmd 的視窗,有時候寫程式會用到命令提示字元運行,當使用者在使用時,怕跳出這些視窗,cmdow 就會被用來隱藏,算是避免破壞美觀,這是安全的檔案,只是行為會被認定為 hacktool。