大砲開講

今天我Notebook的防毒軟體說我的電腦有病毒，描述 c:\program files\winrar\winrar.exe 偵測為 W32.Fujacks.A，讓我下一跳，因為我已經好幾年沒中毒了，稍微分析這個檔案，但覺得他沒有病毒，就把相關資訊送給 Symantec，他們回答說是誤判 (false positive)，請各位小心囉。



WinRAR.exe相關訊息：

File size: 835584 bytes
MD5: a0070064da2bf76b8bcc7d11e357517d
SHA1: 9978271e4e39c704d242a2b9cf15ab4b24a60439

防毒版本：Symantec NIS 2006 (12.2.0.13)

77遊樂新世界首頁又被植入新惡意程式，請各位小心囉！



進入首頁之後，



有下面的行為：

[Added Process]
//執行之後，會發生應用程式錯誤

[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\WINDOWS\system32\msnfile.dll
C:\WINDOWS\winntf.dll
//上面檔案會注入某些執行程序

[Added service]
NAME: winntf
FILE: C:\WINDOWS\winntf.bat

[ Added BHO]
{F93CB274-12A2-489E-9DB6-BAAF492448D0}-C:\WINDOWS\system32\msnfile.dll

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\32.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\33.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\coca[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\images[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\top[1].exe
C:\mp.exe
C:\WINDOWS\system32\msnfile.dll
C:\WINDOWS\system32\msnfile.exe
C:\WINDOWS\winntf.bat
C:\WINDOWS\winntf.dll

注意：似乎下載的檔案會變化(可能檔名或檔案大小)，如果這樣的話，防毒軟體就比較難偵測它們。

中央大學遠距教學網及77遊樂新世界網頁被植入相同一隻木馬，到現在尚未修復，請各位小心。



執行之後，有下面行為：

[Added process]
C:\mp.exe

[Dll Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\WINDOWS\mcsdos32.dll
//上面兩個檔案會注入某些執行程序

[Added files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.Exe
C:\mp.exe
C:\WINDOWS\loados.exe
C:\WINDOWS\mcsdos32.dll

[Added BHO]
{C1FB8488-D217-4803-B38A-C667B83F43A3}-C:\WINDOWS\mcsdos32.dll

數碼E社群網站(bbs.eztown.com)被植入惡意程式碼，到現在都還未修復，請各位小心。



當您連上這個網站，它會做下面的行為：

1. iframe 語法藏在 menu.js 檔案裡，

2. 連上 http_://www.yyc8.com/script/adcount.do?id=ad002，它會執行 code.js (Javascript 檔案)，



3. 將 rss2.css 換為 adcount.com，然後執行 adcount.com，執行後，會發生一個應用程式錯誤，


4. 新增兩各檔案 winpfile.dll 和 esnfile.exe (不太確定)，

5. adcount.com 會注入某些執行程序，

95年10月29日手機王首頁也被植入木馬(Lineage)，分析了一下，結果如下：



1. 首頁被植入 iframe：
http://www. myemage .com/V20/Daren/images/img.html

2. img.html 是一個 VBScript，它會下載或執行 2.exe

3. 執行之後，系統產生：
[DLL Injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe 注入某些執行程序 (如svchost.exe)。
C:\WINDOWS\system32\gfile.dll 注入某些執行程序 (如explorer.exe)。

[Drop Files]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
C:\WINDOWS\system32\gfile.dll
C:\WINDOWS\system32\goodfile.exe

[BHO/CLSID]
{71177AD5-E5B5-4451-A4B0-F31C521B6557}--C:\WINDOWS\system32\gfile.dll

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks||
Value={71177AD5-E5B5-4451-A4B0-F31C521B6557}

資策會首頁(www.iiiedu.org.tw)今天被植入木馬(Lineage)，到現在為止，都還未被移除，請各位小心囉。



以下是這隻木馬的行為：

1. 首頁被植入iframe
"http://www. fxkfxk .com/333/us.asp" width="0" height="0" scrolling="no" frameborder="0"

2. 檔案 us.asp 是一個 VBScript，它會下載或執行 us.exe。

3. 執行之後，系統會產生：
[Added process]
C:\WINDOWS\svchost.exe

[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些執行程序，例如， svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些執行程序，例如， svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些執行程序，例如， 瀏覽器等等。
C:\WINDOWS\winntKey.DLL 注入某些執行程序，例如， svchost.exe 等等。

[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe

[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL

[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\svchost.exe

-----

最近從新聞網站上看到一篇文章(安全專家：使用者資安教育是毫無意義的—英文版或中文版)覺得蠻有趣的，剎那間，心中燃起一股衝動想要向大家說明這個議題。到底安全專家的觀點對不對呢(他不相信使用者教育將可解決安全問題，因為安全一直都不是使用者的第一目標)？

我個人覺得他的觀點不是完全正確的。如果資訊安全教育的方向是正確的，我們必須檢討我們所犯的錯誤，將它導回正軌，而不是一味地否定它。我們必須要有一個體認，教育不是一蹴可及的，是需要長期循序漸進的。

我個人對資訊安全教育的觀感：第一，資訊安全教育想要傳達的訊息是要教導使用者體認資訊安全的重要性，讓使用者有基本的資訊安全的觀念，進而降低個人或企業資產損失的風險，而不是要完全地解決安全問題，以增加使用者的負擔。舉個例子，前一陣子台灣很流行詐騙，也有很多人在不知不覺的情形中成為受害者，但經過媒體大量報導及相關單位的宣傳，相關案例已經降低很多；第二，資訊安全教育是要常態化的。很多企業花了幾天的時間教導員工資訊安全的重要，但常常是成效不彰，因為他們往往只是為了達成上級交辦的任務，為做而做，而不是真的很重視資訊安全教育。想想在台灣有哪些企業肯花大錢定期舉辦資訊安全講習呢？屈指可數，對不對？第三，資訊安全最好從小紮根。以前我們說馬路如虎口，要大家千萬要小心，現在則是網路如虎口，處處充滿危機，不提高警覺不行。面對數位化時代的來臨，很多事情無法以傳統的角度來思考，如果我們不把握時間，從小教導起，未來我們將面臨更大的挑戰。第四，高階主管不是很重視。企業的資訊安全教育如果沒有高階主管的參與及背書，基本上都是玩假的，因為每個人都是各自為政，不遵守資訊安全政策，等事情發生了，在相互推諉責任。第五，政府相關主管單位的漠視。資訊安全無法單靠個人或企業的推動即可達成，政府相關主管單位必須推動相關法案的立法，不要每次都要等到事情發生了，再做事後檢討及立法。另外，政府相關主管單位必須提撥經費，積極地推廣資訊安全教育。

使用者不重視資訊安全是很普遍的，一方面，覺得關他們什麼事，另一方面，覺得造成他們的不便。資訊安全、便利性與功能性的三角關係是互斥的，想要便利又要安全及功能性幾乎是不可能的，但科技始終來自人性(人的惰性)，終究有一天科技會克服這個障礙。資訊安全是需要各位的關心及分享，而不是單打獨鬥。

從幾年前開始，間諜軟體就悄悄地出現在網際網路上，在那個時候，只有幾家反間諜軟體廠商(如Lavasoft AdAware, Spybot S&D, Webroot Spy Sweeper, Sunbelt CounterSpy等等)在從事這方面的研發工作，誰也沒有料到它會在最近兩年搖身一變成為最火紅的資安威脅，以至於傳統防毒軟體大廠(如Symantec, McAfee, Trend Micro等等)不是紛紛投入大量的研發資源，就是藉由併購其他反間諜軟體廠商，以快速達成支援掃描及清除間諜軟體的功能，但反間諜軟體該何去何從呢？讓我一一為各位說明。



在這裡，我要先說明反間諜軟體使用的技術，大部分的反間諜軟體皆使用MD5(或客製化過的MD5)演算法偵測間諜軟體檔案和使用常規表示式(Regular Expression)比對檔案名稱及註冊碼，所以，當間諜軟體檔案內容、檔案名稱或註冊碼會任意變化時，常常就顯得束手無策。另外，反間諜軟體的即時監控與防毒軟體的即時防護是不一樣的，反間諜軟體幾乎都是在使用者模式(User Mode)下監控系統幾個重要的地方如Autostart註冊碼、瀏覽器設定等等，然後定時檢查有沒有發生變化。那會有什麼問題呢？第一，無法提供系統完整保護；第二，檢查的地方變多的話，會影響系統效能；第三，間諜軟體執行之後，才可能偵測到系統出現異常，但在那時系統很有可能已經被植入間諜軟體。

整合安全威脅是資安軟體之趨勢，也因為這樣，防毒軟體廠商今年幾乎都會把反間諜軟體的功能納入防毒軟體中，以利於市場競爭。那反間諜軟體廠商呢？反間諜軟體廠商也很清楚這是潮流，不是被其他廠商給購併，就是紛紛將木馬、蠕蟲的偵測與清除加入他們的特徵碼中，但這是不夠的，除了前一段落的說明，還有就是最近的間諜軟體為了防止反間諜軟體偵測及清除它們，很多都結合惡意程式及Rootkit的技術，導致反間諜軟體很難偵測及清除它們，所以，有些反間諜軟體廠商正在將防毒軟體、防火牆的功能加入他們的產品中，否則，長期來說，反間諜軟體廠商是很難與防毒軟體廠商競爭的。那單一功能的反間諜軟體呢？個人認為他們會慢慢地被大家所遺忘，但也有可能因為免費的因素，大家仍然繼續使用它們。

在一些資安雜誌或網站上，經常可以看見防毒軟體的評比報告，但你有沒有發現評比結果都不太一樣，為什麼呢？讓我一一為各位說明。



所謂外行看熱鬧，內行看門道。一般人只看評比數字之高低，但忽略了其背後真正之涵義。評比最重要的是「測試項目」、「測試樣本」與「測試方法」，它們決定了最後的評比結果。例如，VB100(註解1)只關心有沒有通過WildList(註解2)測試樣本及正常檔案誤判率(False Positive Rate)。此外，必須公開「測試項目」、「測試樣本」與「測試方法」，讓別人可以根據其公佈的資訊加以檢驗其評比結果。一般測試機構幾乎不會公佈測試樣本，只會告訴各位他們使用如WildList的測試樣本，但大家還是無法驗證，最好可以附上每個測試樣本的MD5或SHA1值。

一般評比會在測試項目、測試樣本及測試方法上動手腳，以至於造成不同的評比結果，這就是為什麼你經常會在知名的雜誌或網站上看到不同的評比結果。另外一種評比是廠商為了宣傳自己的產品，委託知名的測試機構(如NSS, AV-Test, Virus Bulletin, ICSA等等)或雜誌(如PC Magazine, SC Magazine, CNET等等)測試競爭者與自己產品的好壞，但他們只會公佈評比數字，很少會公佈詳細資訊，所以，各位很難去檢驗其評比結果。藉此可以達到兩個目的，一方面藉由這些知名的雜誌或測試機構為其產品背書，以達到宣傳的目的，另一方面讓使用者信任他們產品的品質，以達成購買其產品的目的。

另外，你有沒有發現一個很特別的現象，幾乎所有的測試機構都只測試病毒偵測率(Virus Detection Rate)，而沒有測試病毒清除率及其他項目，為什麼呢？這是因為只要擁有病毒樣本，就可以測試病毒偵測率，此種測試是最省時間及最為簡單，其他的，幾乎都要花費很長的時間及需要擁有相當的測試技術才可完成的。

最後要說明的是個人用戶與企業用戶版本的測試項目還是有一些區別。除了偵測率及清除率外，企業用戶很在乎「系統穩定度」、「系統效能」、「中央控管能力」、「對病毒的反應能力」等等。所以，如果要測試企業版本，可能需要測試這些項目，所花費的時間，可想而知。



註解：
1. VB100：Virus Bulletin組織會定期測試防毒軟體，如果通過他們的測試，他們會頒給廠商一個VB100的標誌，有興趣的人，請參考http://www.virusbtn.com。
2. WildList：這個組織定期會公佈最熱門的病毒名稱清單，幾乎所有的測試機構都會採用他們所提供的病毒名稱清單做為測試病毒的基準，有興趣的人，請參考http://www.wildlist.org。