大砲開講

前幾天，我們實驗室 (Malware-Test Lab) 公佈一份防毒軟體評比測試報告 (02/26/2007)，在某些論壇上，引起熱烈的討論。對於一些批評指教，我們都樂意接受。下面的段落，我會說明這次測試所遇到的一些狀況，以及未來的計畫。

測後心得：

1. 在測試過程中，很多防毒軟體 (如下所列) 都會發生應用程式錯誤 (Application Error) 或停止不動作，導致測試無法繼續進行下去，這些防毒軟體的品質，實在令人難以恭維，尤其是 Symante，每次都會發生，難道他們的 QA 測不出來嗎？我真的很懷疑。

• Dr.Web Antivirus 4.33


• Symantec Internet Security 2007


• Virus Chaser Professional


• VirusBuster Professional 2006


• PC Tools Antivirus 3.1 (Free)


• F-Prot Antivirus 3.16f (掃描快完成時才發生，可以從記錄檔得知其偵測率)


• F-Secure Internet Security 2007 (安裝完成且重新開機後，從此系統一直重開機)


• Sunbelt CounterSpy V2 (某個惡意檔案使得它的掃描引擎發生問題)

2. 在測試過程中發現，有很多防毒軟體掃描速度太慢 (如下所列)，讓整個測試時間變得太長，導致測試有些許誤差。我個人認為是啟發式偵測 (Heuristic Detection) 的問題，因為把它的設定設為最高，下次測試可能利用預設值 (防毒軟體廠商推薦的設定)。

• Trend Micro Internet Security 2007 (超過 40 個小時)


• AVIRA AntiVir PersonalEdition Classic 7.0 (Free) (超過 64 個小時)


• AVIRA Premium Security Suite 7.0 (超過 175 個小時) (今天才完成)


• GRISOFT AVG Internet Security 7.5 (超過 70 個小時)

3. 在測試過程中得知，很多防毒軟體只顯示最後的掃描結果，並沒有提供完整的掃描記錄檔，所以，無法得知其偵測到哪些惡意檔案 (需要過濾掉重複的掃描記錄)，以至於產生誤差。

4. 在測試過程中得知，有些防毒軟體 (如下所列) 會自動處理偵測到的惡意檔案，無法改變其對惡意檔案的處理動作 (Action Taken)，這種的設計方式很不好，如果發生誤判，就會發生問題。對於測試組織，每次都需要重新拷貝惡意檔案，對於有經驗的人，就無法調整其設定。

• Symantec Norton Internet Security 2007


• McAfee Internet Security 2007


• Microsoft Windows Live OneCare 1.5


• 其他 (省略)

5. 在測試過程中得知，很多防毒軟體的反間諜軟體掃瞄部分都與防毒軟體掃描部分分開，而沒有整合在一起。有什麼壞處呢？如果測試樣本同時包含病毒和間諜軟體等，而且，測試防毒軟體掃描，這樣他們就無法偵測到間諜軟體的樣本。另外，這裡要注意的是反間諜軟體以前都是針對感染的系統，所以，他們對個別間諜軟體檔案的偵測率都很低。

• Trend Micro Internet Security 2007


• CA Internet Security 2007


• AhnLab V3 Internet Security 2007 Platinum

測試議題及改善：

對於無法在同一時間測試所有的防毒軟體的問題，雖然可以利用其他方法解決，但我們應該會繼續採用這種方式，唯一不同的是相似的產品盡量在同一時間進行測試。

未來計畫：未來會陸續增加「誤判率測試」、「防毒軟體企業版測試」、「效能測試」、「穩定度測試」等測試項目。

注意：在這裡要特別說明，我們都是使用正式發表的產品進行測試，而且，所有程式及病毒碼的更新都是透過產品內建的自動更新伺服器 (Active Update Server)，並不會採用由廠商提供的特別版本。為什麼要特別說明呢？因為有些測試機構是使用由廠商提供的防毒軟體命令列版本及特別版本的病毒碼進行測試，很驚訝吧！

贊助：目前我們所提供的測試報告都是免費，未來也會繼續這麼做，不過，任何網站都需要生存發展的基本營運動力，本站也不例外，如果各位想贊助我們，請參考這裡，或是想在我們網站上做廣告，請聯絡我，謝謝。

最後，在這裡要評論微軟的 Windows Live OneCare 1.5。這個產品的所有功能都很陽春，真的不像微軟的產品，功能齊全，我個人認為安裝在系統上好像沒多大用處，只是浪費記憶體而已。

**高度危險網站：常常被植入惡意連結或遭駭**

中華民國銀行公會網頁又被植入惡意連結。前幾天，他們的網頁就開始被植入惡意連結，他們網管人員很迅速地將它移除，但就是不檢查系統或軟體有沒有安全漏洞，昨天又被植入相同的連結，而且，在第一時間通知他們，但到目前為止，尚未處理，可憐的受害者，不曉得消基會有辦法處理這樣的申訴嗎？另外，如果可以立一個法：網站被入侵，需要罰款 (因網站被入侵，導致受害人損失，須賠償其損失)，這些枉顧消費者權益的企業，對資安才會開始認真起來。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。

**請幫忙通知他們，謝謝**



惡意連結是放置在 all.asp 檔案中：



惡意程式的一部分為：



執行之後，有下面的行為：

[DLL injection]
C:\WINDOWS\Help\425D8586.DLL (注入某些執行程序如檔案總管等)

[Added file]
C:\autorun.inf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\gmsex[1].exe
C:\Shell.exe
C:\WINDOWS\Help\425D8586.DLL
C:\WINDOWS\Help\425D8586.EXE
C:\WINDOWS\Help\autorun.inf

[Added COM/BHO]
{B778645D-B2A0-48E5-8E43-04B02CA3EA9D}-C:\WINDOWS\Help\425D8586.DLL

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

self.htm:
[ Trend ], "HTML_DLOADER.LAF"
425D8586.EXE:
[ Ahnlab ], "infected by Win-Trojan/Exploit-WMF.Gen"
gmsex[1].exe:
[ Ewido ], "Not-A-Virus.Exploit.Java.ByteVerify"
Shell.exe:
[ Ewido ], "Not-A-Virus.Exploit.Java.ByteVerify"
425D8586.DLL:
[ Ewido ], "Not-A-Virus.Exploit.ByteVerify"

更新資訊： 另外，也可參考 OpenBlue 的「(案例分析)銀行公會網頁被植入惡意連結」，他的文章中會說明銀行公會的網站有哪些安全漏洞，很精采喔。

更新資訊 (20070301)： 他們已經移除惡意連結 。

防毒軟體的偵測率 (20070226):

• AVIRA Premium Security Suite 7.0: 95.09% 新增加


• Fortinet FortiClient Host Security 3.0: 94.70%


• BitDefender Internet Security v10: 92.36%


• AOL Active Virus Shield (免費版本): 89.02%


• AVIRA AntiVir PersonalEdition Classic 7.0 (免費版本): 88.44%


• GRISOFT AVG Internet Security 7.5: 88.37%


• Norman Virus Control Plus 5.82: 86.64% 新增加
  


• BitDefender 8 Free Edition (免費版本): 86.52%


• Rising Antivirus 2007: 84.78%


• Kaspersky Internet Security 6.0: 84.77%


• Panda Internet Security 2007: 79.16%


• MicroWorld eScan Internet Security 8.0: 77.68%


• ClamWin Free Antivirus 0.90 (免費版本): 76.57%


• Sunbelt CounterSpy V2: 76.39%


• ALWIL avast Professional 4.7: 73.41%


• F-Prot Antivirus 3.16f: 72.75%


• Filseclab Twister Anti-TrojanVirus V7: 62.66%


• Trend Micro Internet Security 2007: 60.53%


• CA Internet Security 2007: 58.61%


• AhnLab V3 Internet Security 2007 Platinum: 56.44%


• Kingsoft Internet Security 2007: 55.55%


• ESET NOD32 2.7: 49.17%


• Jiangmin Antivirus KV 2007: 45.16%


• Webroot Spy Sweeper with Antivirus: 40.71%


• CAT Quick Heal Total Security 2006: 37.29%


• Hauri Virobot Desktop 5.0: 34.38%


• Microsoft Windows Live OneCare 1.5: 12.68% 新增加


• Comodo Antivirus 1.1 (免費版本): 9.92%

在這次的測試中，某些防毒軟體會造成下面的問題：

1. 下面的防毒軟體會使得系統出現藍色死亡畫面(bugcheck 0x7f), 我們已經收集到系統所產生的memory dump：

• F-Secure Internet Security 2007

2. 下列的防毒軟體會出現應用程式例外處理畫面：

• Dr.Web Antivirus 4.33


• Symantec Internet Security 2007


• Virus Chaser Professional


• VirusBuster Professional 2006


• PC Tools Antivirus 3.1 (Free)


• F-Prot Antivirus 3.16f

3. 當執行掃描病毒時，下列防毒軟體本身的執行程序會發生凍結現象：

• Sunbelt CounterSpy V2

4. 下列的防毒軟體花費大量的掃描時間：

• Sunbelt CounterSpy V2

5. 下列防毒軟體產生安裝錯誤 (利用 Windows Live OneCare Cleanup Tool 可以解決此問題)：

• Microsoft Windows Live OneCare 1.5

6. 下列的防毒軟體花費大量的掃描時間：

• Trend Micro Internet Security 2007 (over 40 hours)


• AVIRA AntiVir ProfessionalEdition Classic 7.0 (Free) (over 64 hours)


• AVIRA Premium Security Suite 7.0 (over 175 hours)


• GRISOFT AVG Internet Security 7.5 (over 70 hours)

7. 授權碼過期 (不曉得有人可以提供授權碼給我們嗎？)：

• McAfee Internet Security 2007

對於更詳細的資訊，請參考這裡。

注意：由於病毒碼更新的時間不同，所以，容許誤差範圍介在 -4.3% 和 +4.3% 之間。

酷地球網站遭駭 (財團法人環境品質文教基金會)。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁及遭置換網頁：



至於詳細的資訊，可以參考 zone-h。

國立東華大學語言中心網站遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼，所以，他們的網管應該要找出問題的關鍵，而不是只是移除這些遭駭的內容。

**請幫忙通知他們，謝謝**

首頁：



遭置換網頁：



至於詳細的資訊，可以參考 zone-h。-----

**高度危險網站：常常被植入惡意連結或遭駭**

繼華視網站遭駭後，他們沒有找出安全漏洞，所以，現在首頁又被植入惡意連結。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。(此惡意程式應該也會偷使用者帳號與密碼)

**請幫忙通知他們，謝謝**



在首頁很難找到惡意連結，似乎是指向：



看不太出來吧 (如果有錯，請告知我)，因為它應該是與資料庫系統結合在一起，透過查詢方式執行一個微軟影音檔 (很恐怖吧)，此影音檔被動過手腳，會連至其他的網站，詳細流程，所下圖所示：



執行之後，有下面的行為 (與「手機王網頁又被植入惡意連結」是一樣的)：

[Added process]
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

[DLL injection]
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe (注入 svchost.exe 的執行程序)

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\CiKE.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\taskmgr.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\b0(29)[1].swf
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\cike[1].js
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\dvbbs[1].mdb
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\2006692151148920[1].gif
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\cike2[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\cike1[1].htm
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eCompress.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eImgConverter.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\eLIB.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\HideProc.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\internet.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\krnln.fnr
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\Nhook.dll
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\shell.fne
C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=svchost,Data=C:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bots\vinavbar\svchost.exe

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

Nhook.dll:
[ Trend ], "TROJ_AGENT.KPF"
shell.fne:
[ Trend ], "TSPY_LEGMIR.AMJ"
dvbbs[1].mdb:
[ Trend ], "TROJ_Generic"
eImgConverter.fne:
[ Trend ], "TROJ_PWSTEALER.W"
eLIB.fne:
[ Trend ], "TROJ_AGENT.KPD"
internet.fne:
[ Trend ], "TROJ_FLYST.D"
krnln.fnr:
[ Kaspersky ], "PAK:NSPack"
[ Fortinet ], "suspicious"
[ HBEDV ], "W32/Wutau.A"
svchost.exe:
[ Kaspersky ], "Trojan-Downloader.Win32.Agent.bgz"
[ Nod32 ], "Win32/TrojanDownloader.Agent.BGZ trojan"
[ Fortinet ], "W32/Agent.BGZ!tr.dldr"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/Hupigon.gen7"
[ Ewido ], "Downloader.Agent.bgz"
taskmgr.exe:
[ Alpha_Gen ], "TEST_Downloader1"
[ Symantec ], "Trojan.KillAV"
[ Kaspersky ], "Trojan-Downloader.Win32.Agent.aqy"
[ Nod32 ], "Win32/Delf.AG worm"
[ Fortinet ], "W32/Agent.AQY!tr.dldr"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/Hupigon.gen7"
[ Ikarus ], "Backdoor.Win32.Hupigon.BV"
[ Ewido ], "Downloader.Agent.aqy"
[ Grisoft ], "Trojan horse Generic3.AIS"
b0(29).swf:
[ Kaspersky ], "PAK:Swf2Swc, Trojan-Clicker.SWF.Small.b"
2006692151148920[1].gif:
[ Alpha_Gen ], "TEST_Downloader1"
[ Symantec ], "Trojan.KillAV"
[ Kaspersky ], "Trojan-Downloader.Win32.Agent.aqy"
[ Nod32 ], "Win32/Delf.AG worm"
[ Fortinet ], "W32/Agent.AQY!tr.dldr"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/Hupigon.gen7"
[ Ikarus ], "Backdoor.Win32.Hupigon.BV"
[ Ewido ], "Downloader.Agent.aqy"
[ Grisoft ], "Trojan horse Generic3.AIS"
eCompress.fne:
[ Sophos ], "Mal/Packer"
[ HBEDV ], "HEUR/Crypted"
HideProc.dll:
[ Nod32 ], "Win32/HideProc.A application"
[ HBEDV ], "TR/Crypt.NSPM.Gen"
[ Norman ], "Trojan W32/Hupigon.gen7"
[ Ewido ], "Trojan.Agent.agf"

另外，OpenBlue 也有針對華視網站遭駭所做的分析，如果各位有興趣的話，請參考「(案例分析)手機王與華視網站遭駭被植入惡意程式」。

更新資訊：Mozilla 已經提供修補程式，請參考 Mozilla Foundation Security Advisory 2007-08。

Mozilla 才剛發布 Firefox 2.0.0.2 版本，Firefox 又被找到一個安全漏洞，原因是 Firefox 不當的處理 JavaScript Unload 功能。此漏洞可能導致記憶體損毀 (Memory Corruption)，以致於允許攻擊者未經授權可以在受害者系統執行任意程式碼。

影響：如果使用者瀏覽含有此惡意程式碼的網頁或電子郵件，攻擊者就有機會控制你的系統。

解決方案：在 Mozilla 尚未提供修補程式以前，最好將執行 JavaScript 的功能關閉。至於如何設定，可以參考 Securing Your Web Browser。

至於詳細的資訊，請參考：

Mozilla Firefox fails to properly handle JavaScript onUnload events

Bug 371321 – memory corruption when onUnload is mixed with document.write()s

Mozilla 發布 Firefox 2.0.0.2 版本，以修補修補數項安全問題，其中一個為 Firefox Cookie 安全漏洞 (Null 字元 "\x00")，其他的安全問題，請參考這裡。另外，他們也改善對 Windows Vista 的支援與新增數種新語言測試版本等等，如果各位想要更詳細的資訊，請參考「Firefox 2.0.0.2 新鮮事」。

修補的安全漏洞列表：

• MFSA 2007-07 Embedded nulls in location.hostname confuse same-domain checks


• MFSA 2007-06 Mozilla Network Security Services (NSS) SSLv2 buffer overflow


• MFSA 2007-05 XSS and local file access by opening blocked popups


• MFSA 2007-04 Spoofing using custom cursor and CSS3 hotspot


• MFSA 2007-03 Information disclosure through cache collisions


• MFSA 2007-02 Improvements to help protect against Cross-Site Scripting attacks


• MFSA 2007-01 Crashes with evidence of memory corruption (rv:1.8.0.10/1.8.1.2)

如何更新到 Firefox 2.0.0.2 版本呢？對於一般使用者，請使用「Firefox 檢查更新機制」。開啟 Firefox，點選「說明」->「檢查更新」，如下圖所示：

PatchGuard 到底是什麼呢？這是微軟為了防止惡意程式或其他廠商修改 Windows 作業系統架構，所提供的一個 Windows 核心 (Kernel) 防護機制。此功能只支援 Windows x64 版本。

為什麼要保護 Windows 核心呢？如果惡意程式感染 Windows 核心，它就可以獲得至高無上的系統權限，可以為所欲為。很多駭客或安全專家都積極在嘗試破解此項功能，正如大家所預期，他們很快就找到方法，其中一個名為 Skywing，提供一些方法以繞過 PatchGuard 的檢測，如果各位有興趣的話，請參考 Bypassing PatchGuard on Windows x64 和 Subverting PatchGuard Version 2 這兩篇文章。

安全性、便利性和功能性本來就無法兼顧，如果一味地強調安全性，那個系統一定很難操作以及很少功能，所以，如何取得平衡是一個很難抉擇的問題。-----

微軟最近發表新版 Virtual PC，稱為 Virtual PC 2007 (虛擬機器)。此版本是免費軟體 (Virtual PC 2004 也是免費)，很難得微軟不收取費用，如果各位想要執行其他版本的 Windows 作業系統又不想花錢購買虛擬軟體或新電腦，可以考慮使用 Virtual PC 2007 (雖然，我比較喜歡使用 VMWare，不過，也許我會再嘗試看看囉)。

主要功能 (這些功能 VMWare 都支援)：

• 拖曳式複製 (Drag and drop copying)：方便在實體與虛擬系統之間做檔案或資料夾拖曳。


• 整合式滑鼠 (Integrated mouse)：方便在實體與虛擬系統之間做切換。


• 時間同步 (Time synchronization)：同步實體與虛擬系統的時間。


• 資料夾分享 (Folder sharing)：方便在實體與虛擬系統之間做資料夾分享。

支援 x86 或 x64 實體系統 (Supported Host System)：

• Windows Vista Business


• Windows Vista Enterprise


• Windows Vista Ultimate


• Windows XP Professional


• Windows XP Tablet PC Edition

支援虛擬系統 (Supported Guest System)：

• Windows 98


• Windows 98 Second Edition


• Windows Millennium Edition (Windows Me)


• Windows 2000 Professional


• Windows XP Home Edition


• Windows XP Professional


• Windows Vista Enterprise


• Windows Vista Business


• Windows Vista Ultimate


• OS/2 Warp Version 4 Fix Pack 15


• OS/2 Warp Convenience Pack 1


• OS/2 Warp Convenience Pack 2

對於沒有支援 Linux 作業系統，個人是有一點失望，不曉得微軟會支援嗎？還是擔心 Linux 會對他們造成威脅呢？

如果各位想要更了解 Virtual PC 2007，請參考這裡。

如果消費者想要購買或升級到 Windows Vista 作業系統，微軟建議的系統需求為：

• 1 GHz 的 32 位元 (x86) 或 64 位元 (x64) 處理器


• 512 MB 系統記憶體


• 20 GB 硬碟容量，至少 15 GB 的可用空間


• DirectX 9 圖形支援與 32 MB 圖形記憶體


• DVD-ROM 光碟機


• 音訊輸出


• 網際網路連線 (可能需要付費)

雖然很想把 Windows Vista 安裝在自己的筆記型電腦 (1GB RAM)，但想到它對硬體的要求，這個念頭很快就放棄了。

最近看到一篇有關 「Windows Vista 需要 4GB 記憶體」的報導 -- 經過兩年的 BETA 測試，IBM 的顧問說如果 Windows Vista 要達到最佳效能，使用者最好考慮使用 4GB 系統記憶體。另外，戴爾 (DELL) 建議使用 2GB 系統記憶體。看到這裡，使用者的荷包又要大失血了。

至於詳細的情形，請參考相關的報導：

Buying a new PC? 'Windows Vista Capable' barely hits the mark

DELL Windows Vista Recommendation

Microsoft Recommendation

4 GB May Be Vista's RAM Sweet Spot-----

TechCrunch 和 GigaOM 都相繼報導 Google 即將推出 Google 應用服務豪華版本 (Google Apps Premier Edition)。

Google Apps 包含 Gmail、Google Talk、Google Calendar、Docs & Spreadsheets、Page Creator 和 Start Page。這個版本為付費版本，每個人每年要美金 50 元，電子郵件的儲存空間為 10 GB。至於豪華版本與標準版本之間的差別，如下圖所示：



微軟又多了一個競爭對手，不曉得他們會有什麼反應呢？

至於相關的報導，請參考：

Google Apps grows up

It’s G-Day: Google Launches Apps Premier

Google and the Office game

網頁設計聯合國首頁被植入惡意連結。另外，此網站也遭到入侵。請各位暫時不要瀏覽這個網站，以免中毒，等確認他們已經修復後，會在此更新訊息。

**請幫忙通知他們，謝謝**



遭置換網頁：



惡意連結是放置在首頁中：



惡意程式碼的一部分為：



執行之後，有下面的行為：

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

NAME: WS2IFSL (這是正常的服務)
DISPLAY: Windows Socket 2.0 Non-IFS Service Provider Support Environment
FILE: \SystemRoot\System32\drivers\ws2ifsl.sys

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\222[1].exe
C:\WINDOWS\avp.exe
C:\WINDOWS\system32\ld7media.dll

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP]

ID: 1013
NAME: MSAFD Tcpip [TCP/IP]

到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：

avp.exe:
[ Trend ], "TROJ_DELF.DZP"
ld7media.dll:
[ Trend ], "Possible_Virus"
222[1].exe:
[ Trend ], "Possible_Virus"

對於 Windows Live Messenger 網站廣告系統散播惡意程式，微軟公開道歉。

惡意程式的作者透過購買廣告的方式 (Yahoo、Google 搜尋引擎等都有類似的問題)，將惡意程式的連結與廣告標題結合在一起，當使用者瀏覽那個廣告標題網頁，就會彈出警告視窗 (如下圖)，此視窗就是惡意程式、廣告軟體或間諜軟體，如果使用者按「OK」按鍵，就會執行安裝動作，有時後，按「Cancel」按鍵，也會執行安裝動作。



對於這種問題，除非業者具備資訊安全相關知識且嚴格把關，否則，很難阻止這種問題的發生。對於使用者而言，只能靠防毒、反間諜或入侵防禦等軟體。最重要的是不要任意執行來路不明的檔案。

至於詳細的資訊，請參考相關報導：

Microsoft Apologizes for Serving Malware

Microsoft apologises for serving malware from APC-----

手機王網頁又被植入惡意連結。這已經是第四次，他們的網頁被植入惡意連結，與昨天的情形是一樣，惡意連結是放置在華視的網站上 (已經通知他們，但都沒反應。對於這種公司，建議各位不要瀏覽他們的網站)。

**請幫忙通知他們，謝謝**


雖然他們的網管很想找出安全漏洞，但苦無方法，我建議是花點錢找專業的資安公司幫忙檢測囉。

至於其他的部份，請參考「手機王網頁又被植入惡意連結」。