處理 IE 被 521.cc 綁架的問題

已經捨棄使用IE 瀏覽網頁好些年了，最近開啟時，卻發現首頁被 521.cc 綁架了。使用其他瀏覽器如 Firefox、Chrome 反而都沒事。

檢查到後來才發現，只要把2個dll改名就ok了。（還不確定有什麼程式會影響） 閱讀更多…

封鎖 W32/Agent.C659!tr.dldr 垃圾病毒(Fortigate)

最近測試在 Fortigate 310B，看到擋到了一堆病毒訊息，雖然知道有擋到該病毒(擋掉附件 module.zip)，但是垃圾郵件還是照常傳送進來，因此忍不住查詢了一下Log，整理之後，手動將之加入黑名單內。

該病毒是透過 smtp 傳送進來的，如果能在解析郵件標頭時，就先過濾掉的話，就不用再經過防毒機制掃描附件了，而且該封郵件也直接在防火牆就過濾掉了，不至於還跑進內部來。

當然，如果可以知道來源IP，則連解析郵件的動作都能省略，可惜這次的IP真的很多。 閱讀更多…

Wireshark 1.0.4 免安裝版

資料來源: 阿榮福利味 – Wireshark 1.0.4 免安裝版

軟體簡介: 抓網路封包必備免費軟體
原始首頁: Wireshark
下載網頁: http://www.wireshark.org/download.html

免安裝下載連結:

• Windows 2000/XP/2003/Vista PortableApps Package: SourceForge.net
• 阿榮福利味 提供的下載連結: http://www.box.net/shared/static/krynlt7eou.exe

執行狀況如下:

• 直接執行會解壓縮，選擇一個路徑給它，例如: 桌面。
  • 阿榮福利味 提供的，會自動建立 WiresharkPortable 資料夾。
  • 原始網站下載的，會要你先建立一個資料夾給它，預設也是使用 WiresharkPortable。
• 如果電腦上沒有 WinPCap 他會自動要你安裝(此版會安裝 WinPCap 4.2，沒測試如果先安裝好 WinPcap 狀況會如何)
• 安裝完之後會跳出下列的畫面 (=..=)，不過還是可以繼續執行。
• 
• 程式關閉之後，跳出下列視窗要反安裝 WinPcap
• 

看來還蠻綠色的，如果作為MIS維護工具的話，還是很OK，至少維護完之後，不用記住還要反安裝 WinPcap。

Symantec Mail Security for Exchange 問題

最近安裝測試防火牆 FortiGate FG300A，結果發現 Exchange 的 Front-End Server 一值再連線 https://aztec.brightmail.com，每隔幾秒就連線一次…

後來 Google 了一下，發現原來是 Symantec Mail Security 造成的。

參考網頁: https://forums.symantec.com/syment/board/message?board.id=AVGateway&message.id=421

加上之前在 Exchange Back-End Server 安裝後：

• 會更改原本一些 Exchange 預設的路徑，例如: Queue 的路徑。（其實是我找不到它把 Queue 的信件移動到哪裡）
• 以及OWA IIS的相關權限設定，造成移除時的一堆麻煩。（還好 IIS 之前有先備份，他的IIS備份我不敢用）

今天終於給他放棄了。

在Windows XP(SP2)如何關閉自動執行(Autorun)

文章來源: http://www.2003kj.twycf.com/wordpress/?p=134

內容實在寫的不錯，文筆很清晰。

擷錄之前已經設定過部份，因為當時參考的原文連結早已不在。

——————————————————————————–

補充：若參照上面轉載的資料去做，基本上是可以了，但小弟認為最好連自動播放也一起關閉。
1.開始→執行，在執行的欄位輸入gpedit.msc，然後按下Enter(或滑鼠按下【確定】)，此時就會開啟群組原則的視窗.

2.本機電腦 原則→電腦設定→系統管理範本→系統，點擊[關閉自動播放]

3.選擇[已啟用]；選擇[所有磁碟機]，然後按下[套用]，最後再按下[確定].

補充：以上自動播放的停用，不包括光碟機喔!若要光碟機的自動播放也要關閉的話，可以修改Registry.

路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom，DWORD值的[AutoRun]，預設的1改為0.

———————————————————————————

國內外資安網站免費提供的線上工具下載

文章來源: I-Secutity 資安百寶箱

卡巴斯基線上病毒掃描 資料來源：卡巴斯基 免費線上病毒掃瞄，採用 Microsoft ActiveX 來掃描檢查您的電腦中是否存在有惡意程式。 惡意軟體移除工具 資料來源：微軟 Microsoft Windows 惡意軟體移除工具會檢查 Windows XP、Windows 2000 和 Windows Server 2003 電腦是否有特定、常見的惡意軟體 (包括 Blaster、Sasser、Mydoom 等)，並協助移除找到的惡意軟體。 Dimaond S-Check 試用版(中文版) 資料來源：新波科技 S-Check 可以檢查主機資料的完整與否，並且藉此瞭解主機系統異動的情形。 Windows Defender (Beta 2) 資料來源：微軟 Windows Defender (Beta 2) 是一個免費的程式，可協助您的電腦避免由間諜軟體及其他有害軟體所帶來的快顯視窗、效能低落及安全性威脅等侵擾。 Windows Live OneCare 安全掃描工具 資料來源：微軟 針對電腦病毒、安全漏洞、間諜軟體，提供創新全方位掃描與清除服務，協助您全方位防護個人資訊安全。 Windows Live Toolbar 資料來源：微軟 Windows Live Toolbar 結合了許多實用的程式，只要開啟一個 Internet Explorer，就可以觀看瀏覽數個不同的網頁，更可以阻擋惱人的快顯視窗，能加速搜尋工作和協助您瀏覽網路。 企業資安自我健診 資料來源：微軟 微軟所設計的免費資訊安全健診工具，可協助企業瞭解其基礎資安防護情形。 台灣微軟下載中心 資料來源：微軟 收集了微軟各系列產品的相關下載，還有各類最新、中文熱門 與英文熱門下載。 McAfee Personal Firewall Plus 資料來源：McAfee 90天免費試用的防火牆套件。 McAfee Stinger 資料來源：McAfee 由國際知名防毒軟體大廠 NAI 所提供的免費防毒軟體，能偵測、清掃、回報多數目前在網路上流傳的「毒害」，如知名的Sobig、Nimda、W32/Blaster.worm（疾風病毒），讓眼前已經中毒、動彈不得的電腦病狀立即紓解。 McAfee產品軟體下載區 資料來源：McAfee 取得您程式和DAT檔案的最新更新程式，以獲得最佳的偵測和防禦功能。 網路安全診斷室 資料來源：賽門鐵克 線上測試您的電腦所面臨的威脅，包含入侵弱點偵測與病毒偵測。 賽門鐵克產品試用下載中心 資料來源：賽門鐵克 諾頓防毒、諾頓網路安全大師、諾頓個人防火牆、諾頓電腦大師等中文版產品免費試用。 病毒移除工具 資料來源：賽門鐵克 如果您的系統已經被感染，本文所列之工具應可協助您進行修復的動作。 趨勢科技下載專區 資料來源：趨勢科技 趨勢科技相關安全軟體下載專區。 卡巴斯基產品下載 資料來源：卡巴斯基 卡巴斯基軟體產品下載區。 CA Anti-Virus 2008 資料來源：組合國際 90天免費試用防毒軟體。 eTrust Antivirus 網路掃描程式 資料來源：組合國際 線上病毒免費掃瞄。 eTrust PestScan 間諜程式掃瞄 資料來源：組合國際 線上間諜程式免費掃描。 Panda相關安全軟體線上試用 資料來源：Panda Panda相關安全軟體線上試用，包含Panda Internet Security 2007、PostfixSecure、SendmailSecure、QmailSecure、Panda Antivirus 2007、Panda DesktopSecure、Panda Antivirus + Firewall 2007、鉑金網路安版2006、鈦金版2006、鈦金版2005等。 ASN.1 Vulnerability Scanner 資料來源：中華龍網 檢查 MS04-007 – Windows ASN.1 服務緩衝區溢位漏洞, 一次可以檢測 255 個IP. Messenger Vulnerability Scanner 資料來源：中華龍網 檢查 MS03-043 – Windows Messenger 服務緩衝區溢位漏洞, 一次可以檢測 255 個 IP. RPC Vulnerability Scanner 0.9.1.0 資料來源：中華龍網 檢查 Windows RPC 緩衝區越位漏洞, 對是否存在疾風病毒感染的 (MS03-026) 漏洞進行檢測, 9/13 增加對 MS03-039 弱點進行檢測, 一次可以檢測 255 個 IP. Local Administrator Checker v0.9 資料來源：中華龍網 本地管理者帳號檢查, 將擁有 Administrator 權限的帳號列出, 檢查 Windows NT/2000/XP 系統是否被設置了 Shadow Administrator (影子管理員) Dimaond SecuScan 試用版(中文版) 資料來源：新波科技 SecuScan 可以檢查電腦網路安全設定的情形，同時適用於Windows 98/Me/XP/NT/2000/2003等等。 Dimaond TcpAct 試用版(中文版) 資料來源：新波科技 TcpAct可以顯示電腦(本機)對外通訊的程式名稱與IP位址等等資料，並且藉此瞭解系統是否存有異常通訊程式的情形。 Dimaond WebChecker 試用版(中文版) 資料來源：新波科技 WebChecker可以從遠端檢查網站資料完整與否，並且藉此監視網站資料是否遭到異常更動(置換網頁)的情形。 Dimaond A-ModuleMan 試用版(中文版) 資料來源：新波科技 A-ModuleMan 可以檢查系統正在執行程式的模組使用狀況，並且藉此瞭解系統模組(DLL)版本與路徑的相關資料。 網際網路安全的有用指南 資料來源：McAfee 將安全評等加到網站及搜尋結果，以協助保護您不受廣告軟體、垃圾郵件及線上騙局的攻擊。 保護Apache Server的20個方法 資料來源：PeteFreitag 20 ways to Secure your Apache Configuration Webroot免費線上掃間碟程式 資料來源：webroot Scan your PC for spyware 免費線上病毒與惡意軟體掃描 資料來源：VirusTotal VirusTotal 是一款可疑檔案分析服務，通過各種知名反病毒引擎，對您所上傳的檔案進行偵測，以判斷檔案是否被病毒，蠕蟲、木馬以及各類惡意軟體感染。

cmdow.exe 是木馬？是病毒？

最近安裝了 Windows 清理助手 每次掃描到 C:/WINDOWS/system32/cmdow.exe 都會讓我電腦上的小紅傘出現警告。

於是上網 Google 了一下，以下是 資安學園上的內容： cmdow.exe 是木馬嗎?

————————————————–

狀況：

掃到了 C:/WINDOWS/system32/cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows

說明：

• cmdow.exe 是一個在視窗作業系統底下，為了要使安裝畫面不會出現 DOS BOX，而將DOS 畫面藏起來的程式。既是執行檔，是有可能成為病毒傳毒的途徑，只是原生程式是無害的。
• cmdow.exe 並不是正版XP 所內建的程式，但常被使用在某些自動安裝版的XP，如 Super XP，WinXP_Pre-SP3v…等，只是為了自動安裝各種XP之外的應用程式。
• cmdow.exe 會被卡巴，賽門鐵克，費爾扥斯特等等判定為駭客工具[Hacktool.HideWindow — 賽門鐵克定義] [risktool.hide.windows,aa — 費爾扥斯特說是駭客工具]，此檔案刪除無妨，不會造成系統的問題。
•  cmdow 主要的功能是隱藏 cmd 的視窗，有時候寫程式會用到命令提示字元運行，當使用者在使用時，怕跳出這些視窗，cmdow 就會被用來隱藏，算是避免破壞美觀，這是安全的檔案，只是行為會被認定為 hacktool。