认识电脑病毒

認識電腦病毒99.11.152023/1/121電腦病毒

大綱基本介紹惡性程式的擴散基本的防毒常識防毒軟體的關鍵－病毒碼與掃瞄引擎

電腦病毒和駭客有什麼不同？

OfficeScan的操作Vbs_redlof.a-2病毒種類:

VBScript别名:

红色结束符,

VBS/Redlof_A,

VBS:Redlof,

VBS/Redlof.A,

VBS.Redlof.A,

VBS/Exploit.C,

VBS/Redlof,

VBS.Redlof,

HTML.Redlof.A,

VBS/Redlof@MPropagatesviaemailInfectsfiles這種多形態的Visual

Basic

Script

(VBScript)病毒感染目標系統上以下類型的檔：VBS、HTML、HTM、ASP、PHP、JSP、HTT2023/1/12電腦病毒4病毒-worm_lovgate.fMalwaretype:

WormAliases:

Email-Worm.Win32.LovGate.fThismemory-residentwormpropagatesthroughnetworksharesbydroppingcopiesofitselftosharedfolderswithread/writeaccess.ThefilesthatitdropscanhaveanyofthefollowingfilenamesAreyoulookingforLove.doc.exeautoexec.batTheworldoflovers.txt.exe2023/1/12電腦病毒5ThiswormalsogatherstargetemailaddressesfromHTMLfilesthatitfindsinthecurrent,Windows,andMyDocumentsfoldersandsendsanemailmessagewithitselfasattachmenttoallthesaidemailaddresses.Theemailmessageitsendsoutmaybeanyofthefollowing:Subject:Replytothis!

MessageBody:Forfurtherassistance,pleasecontact!

Attachment:About_Me.txt.pifSubject:Let'sLaugh

MessageBody:Copyofyourmessage,includingalltheheadersisattached.

Attachment:driver.exeSubject:LastUpdate

MessageBody:Thisisthelastcumulativeupdate.

Attachment:Doom3Preview!!!.exeSubject:foryou

MessageBody:TigerWoodshadtwoeaglesFridayduringhisvictoryoverStephenLeaney.(APPhoto/DenisPoroy)

Attachment:enjoy.exe2023/1/12電腦病毒6電腦病毒將本身複製到其他乾淨的檔案或開機區的惡意程式，當電腦使用者在不自覺的情形執行到已受病毒感染的檔案或磁片開機時，這個惡意程式就以相同的方式繼續散播出去，例如PE_CIH就是一個典型的例子電腦病毒是不是都會在某特定日期發作且破壞電腦資料?這就和病毒的寫作者如何設計程式有關，並不屬於電腦病毒的特性。

惡意程式泛指所有不懷好意的程式碼，包括電腦病毒、特洛伊木馬程式、電腦蠕蟲。早期電腦病毒、特洛伊木馬程式、電腦蠕蟲都是各自獨立的程式而且彼此不相干，但近幾年來單一型態的惡性程式愈來愈少了，大部份都以『電腦病毒』加『電腦蠕蟲』或『特洛伊木馬程式』加『電腦蠕蟲』的型態存在以便造成更大的影響力，而且比率以前者居多。9『惡意程式』（MaliciousCode）定義--它是藉由駭客技術與病毒技術融合形成的。包括木馬、病毒、後門、間諜（偷資料）程式的綜合型工具。電腦被植入後門程式的特徵【Backdoor，以前又稱特洛依木馬（Trojan）】。這是一個遠端遙控程式。潛伏在電腦中，從事資訊蒐集（比如記錄你的鍵盤操作獲得密碼，或擷取你的螢幕畫面）方便駭客遠端連結登入（幫你開關機，增刪你的檔案，或讓你在自己的電腦控制遠端機器下達操作指令）。惡意程式(Cont.)例如：『梅莉莎』(MELISSA)便是結合『電腦病毒』及『電腦蠕蟲』的兩項特性。該惡性程式不但會感染Word的Normal.dot（此為電腦病毒特性），而且會透過OutlookE-mail大量散播（此為電腦蠕蟲特性）。另外一個案例是結合了『特洛伊木馬程式』及『電腦蠕蟲』兩項特性的『探險蟲』（ExploreZip）。探險蟲並不會感染任何檔案，但是是會覆蓋掉(Overwrite)在區域網路上遠端電腦中的重要檔案（此為特洛伊木馬程式特性），並且會透過區域網路將自己安裝到遠端電腦上（此為電腦蠕蟲特性）。特洛伊木馬程式以一些特殊管道進入使用者的電腦系統中，然後伺機執行其惡意行為（如格式化磁碟、刪除檔案、竊取密碼等）。

檔案本身就是一個具破壞力的程式，執行這個程式後會進行一些破壞性的行為。因為特洛依木馬型病毒並不是正常的檔案受到感染後而產生的問題檔案，而是本身就是一個有問題的程式，所以防毒軟體並不能“清除”感染這個檔案的病毒。應該做的是刪除這個有問題的檔案及因為執行了該檔案後所衍生的其他檔案。電腦蠕蟲『本尊』會複製出很多『分身』，然後像蠕蟲般在電腦網路中爬行，從一台電腦爬到另外一台電腦，最常用的方法是透過區域網路（LAN）、網際網路（Internet）或是E-mail來散佈自己。目前較為流行的病毒大都屬於特洛依木馬型病毒和蠕蟲程式。最近最著名的電腦蠕蟲案例就是『VBS_LOVELETTER』14惡意程式發展趨勢

1987-1993

1993-1995

1995-1998

1998-目前電腦病毒*DOS檔案型

*DOS常駐型

*開機型*Win16檔案型*針對MSOffice系列的巨集型病毒*Win32檔案型

*Win32常駐型

*跨應用程式感染型(Win32及巨集)特洛伊木馬程式*毀滅型

(格式化磁碟)無典型代表*竊取資料的Backdoor型程式*阻斷服務型(DDOS)*遠程遙控的Backdoor型程式

Wireless型電腦蠕蟲無典型代表無典型代表無典型代表*Email散播型*網路散播型Networkworm*藉由安全漏洞散播型笑話一則有一次騎車在馬路上…正要左轉的時候…該死的紅燈竟然這個時候亮了來不及煞車…車子就不小心越過了停止線當時是下班的時間…車子多到不行當然也少不了中華民國的警察…這時看到他…他也看了我一下…不可思議的事情發生了…警察杯杯居然跟我比了個勝利的手勢

('_'v)我跟我同學互看了一下…都覺得不可思議…為了確定…往右邊再看一次…那個警察杯杯又比了一次勝利的手勢…當時不知道該怎麼辦…只好也回敬了一個^.^>

(大頭貼裝可愛專用手勢)結果…警察杯杯終於開口說話了…"兩段式左轉啦…小姐！"

惡性程式的擴散以合法管道進行非法存取

閱讀E-MAIL時自動散播藉由E-MAIL主動散播

電腦病毒感染管道以合法管道進行非法存取『TROJ_EXPLOREZIP探險蟲』為例，它開創了另一種新的病毒行為模式，『探險蟲』病毒會以受感染的電腦為源頭，透過網路自動向外擴散，並嚐試進入將資料夾分享(Share)出來的電腦、刪除該電腦中的資料。2023/1/12電腦病毒17電腦病毒感染管道閱讀E-MAIL時自動散播以往我們認為在使用電子郵件時，只要不執行或開啟附件（Attachment）就不會遭受病毒感染，但『VBS_BUBBLEBOY泡泡男孩』這隻由VBScript語言所寫成的病毒，即使是僅開啟電子郵件也可能遭受到病毒的威脅。『泡泡男孩』是以電子郵件的型態在網路上傳播。郵件的主旨為"BubbleBoyisback!"，同時郵件的內容為"TheBubbleBoyIncident，picturesandsounds."及一個由"bblboy.htm"結尾的沒有意義的網址。泡泡男孩被執行後，會自動尋找使用者的通訊錄，再把同樣的郵件自動寄給通訊錄內的地址2023/1/12電腦病毒18電腦病毒感染管道藉由E-MAIL主動散播『梅莉莎』病毒能藉由E-MAIL主動散播的病毒。美國聯邦調查局（ＦＢＩ）的文件巨集病毒是首隻會透過Outlook大量並以等比級數的速度散播的巨集病毒，短短一週內毒性襲捲全球，許多知名大企業的郵件伺服器(E-MAILServer)也都因梅莉莎病毒所引起的郵件風暴，導致伺服器不堪負荷而紛紛當機。2023/1/12電腦病毒19病毒型態電腦病毒指的是會將本身複製到其他乾淨的檔案或開機區的惡性程式，當電腦使用者在不自覺的情形下再次執行到已受病毒感染的檔案或重新開機時，這個惡性程式就以相同的方式繼續散播出去，例如PE_CIH就是一個典型的例子2023/1/12電腦病毒20病毒型態電腦病毒所影響的方式，可以區分為五大類：檔案型病毒：

指電腦病毒會依附在可執行檔上面，根據統計，檔案型病毒佔了絕大部份比例的電腦病毒。常見到的檔案型病毒有Connie系列病毒與耶路撒冷(Jerusalem)系列病毒等等。2023/1/12電腦病毒21病毒型態開機型病毒：

開機型病毒通常會去感染硬碟或磁片的系統啟動部位，因此開機型病毒我們又稱之為系統型病毒。開機型病毒是以猴子(Monkey)病毒最為典型，另外像是曾經流行一陣子的米開朗基羅病毒（又名石頭三號病毒）也是屬於此類型的病毒。2023/1/12電腦病毒22病毒型態混合型病毒：由檔案型病毒及開機型病毒的特性混合而成，所以稱之為混合型病毒是最恰當不過的。混合型病毒的例子相當多，如目前已經流傳開來的威力強大的3783病毒、有名的NATAS(4744)病毒及龍舌蘭(Tequila)病毒皆是。2023/1/12電腦病毒23病毒型態視窗型病毒：視窗型病毒與傳統DOS的檔案型病毒在感染方面並沒有什麼不同，只不過這一類型的病毒必須在Windows的環境之下才能夠啟動執行。WinTiny、WinLamer、WinLamer2、BOZA及WINVIR都是屬於視窗型病毒。另外，像3783病毒除了會感染在DOS系統下的系統啟動部位及檔案之外，它也能夠在Windows的環境下運作。2023/1/12電腦病毒24病毒型態文件巨集型病毒：

傳統病毒需寄附於可執行程式或區段，但文件巨集病毒的寄主卻是使用者的文件檔，換言之病毒感染對象不再是程式而是具有特定格式之文件檔，這是一種新型態的電腦病毒，也是目前最容易感染的病毒。每隻文件巨集病毒其破壞方式都不太相同，到目前為止以臺灣No.1巨集病毒流傳率最高，其次也常有臺灣劇場、釣魚台、教師節、聖誕節以及亞特蘭大等文件巨集病毒發生的災情傳出。2023/1/12電腦病毒25TaiwanNO.1Word文件巨集病毒臺灣有個『臺灣威力病毒組織(TPVO)』，後來改名為『台灣威力病毒研究組織(OVEL)』。出現了所謂的『巨集病毒』，像是TaiwanNO.1Word文件巨集病毒就是針對Word而來。像這種鎖定特殊受歡迎的軟體的病毒，只要有該軟體就會有中毒的可能，達到一部份的跨平台性（例如MacOS上也有Word就會感染）。大家漸漸有了一定的共識，不再隨意拷貝執行檔，但是往往因為應映各種不同的需要而交換文件，也因此造成Word,Excel,Access等巨集病毒流行一時。2023/1/12電腦病毒2627間諜程式(spyware)間諜程式掃瞄並非病毒或惡意的程式碼，而是危及您隱私的應用程式，允許駭客在您毫無知覺的情況下取得您電腦的控制權經常隨著您下載想要的應用程式的同時，不知不覺地下載到您的電腦上。這些安全威脅包括間諜程式、廣告軟體、惡意撥號程式、惡作劇程式、駭客工具、遠端存取工具、密碼破解應用程式，以及其他未分類的軟體。28微軟的後門程式例子WindowsXP上預掛的WindowsUpdate程式（後門程式），它的升級程序如下：程序目的1.開機時自動連上微軟的Update網站潛伏並常駐在記憶體中2.將電腦的現況回報給Windows網站蒐集電腦系統運作的相關資訊3.以WindowsUpdate程式通知使用者，更新檔案以特定的port進行系統版本更新29後門程式攻擊手法攻擊手法－－潛伏、蒐集、遠端管控。後門程式不一定會進行自我複製的動作，也就是後門程式不一定會「感染」到其他的電腦。它並不會進行破壞性的動作，而且所蒐集的資訊也不固定，因此防毒軟體無法針對單一行為進行攔截。30後門程式防治法後門程式是以單一程序（Process）的型式存在的，除非防毒軟體的病毒碼中記錄了所有已知的後門程式，否則後門程式是等同於一般程式。一般防毒軟體僅能攔截並刪除已知的後門程式，電腦使用者是以防毒軟體來防範後門程式。但這不是正確的做法，因為新的或毫無名氣的後門程式是無法防範的，正確的做法應該是先修補系統或程式中的漏洞。31系統安全弱點安全弱點會讓攻擊者、病毒或其他網路安全威脅更容易傷害您的電腦。Microsoft已公開確認這些存在於其軟體中的安全弱點，並且發行其相對應的修正檔。修正安全弱點可協助您有效降低您電腦受到攻擊或病毒感染的機會。電腦蠕蟲最常利用此弱點。典型的系統漏洞的例子大家都知道Windows9x

的螢幕保護程式可以設保護密碼，但可以經由重新開機把密碼保護拿掉。想用高級一點的方法，使用AutoRun，那麼我們可以自行製作一張光碟片，在根目錄的地方寫一個autorun.inf純文字檔案，內容如下：[autorun]OPEN=TEST.EXE如果碰到一臺正被螢幕保護程式鎖住的電腦，就可以把這片光碟插入光碟機裡面，於是TEST.EXE就會被執行，然後螢幕保護程式就會被解除....2023/1/12電腦病毒3233巨集病毒它專門感染經由WORD所編輯過的文件，而這一類型的病毒又是一隻跨平台的病毒此類型的病毒其感染方式為，一旦我們開啟有巨集病毒的文件之後，以後我們所開啟的舊檔或是開啟新檔案等等都難逃WORD巨集病毒的惡夢。早期以『臺灣No.1』巨集病毒流傳率最高目前以梅莉莎病毒較有名34防止巨集病毒35防止巨集病毒自行決定是否開啟此巨集功能36如果中了巨集病毒怎麼辦檔案巨集病毒通常會放在C:\windows\ApplicationData\Microsoft\Templates\normal.dot然後感染ProgramFile\MicrosoftOffice\Templates\normal.dot因此必須移除上述兩個檔案複製一份新的normal.dot(使用者範本)關閉巨集功能開啟帶病毒檔與另開新檔複製內容再貼到新檔新檔存檔刪除原帶病毒檔完成37蠕蟲型病毒定義--利用作業系統漏洞進行攻擊模式的病毒模式（防毒系統無法百分之百防護）疾風病毒簡介(著名病毒-代表作)：疾風系列病毒鎖定的目標，都是WindowsXP、Windows2000和WindowsNT4.0等微軟視窗作業系統的安全漏洞，然後在區域網路中大量寄送封包，最後癱瘓網路。38疾風病毒W32.Blaster.Worm1.出現RPC服務意外終止倒數60秒重新啟動的訊息，造成系統不斷重開機.2.無法執行複製或貼上的動作.3.無法拖曳圖示4.新增移除程式呈現空白狀態5.某些應用程式無法執行，如InternetExplorer、MicrosoftOutlook、OutlookExpress、MSOffice.6.網路與系統速度變慢.39疾風病毒檢測方法11.【開始->執行->CMD.EXE[ENTER]】開啟CommandlineDOS視窗2.鍵入指令:netstat–a3.查看列出的清單中是否有下列字串:ProtocalLocalAddressForeignAddressStatusTCP<電腦名稱>:4444或<電腦名稱>:707<電腦名稱>:0LISTENINGUDP<電腦名稱>:69<電腦名稱>:0LISTENING40疾風病毒檢測方法2執行[工作管理員]點選[處理程序]查看是否有下列程式正在執行

msblast.exe或dllhost.exe若有發現此檔名則是中了"疾風病毒“Windows2000作業系統

C:\>cd\winnt\system32\wins\

C:\>dir

dllhost.exe

svchost.exe(若出現此兩個檔案即已中了"疾風變種病毒")WindowsXP作業系統

C:\>cd\windows\system32\wins\

C:\>dir

dllhost.exe

svchost.exe(若出現此兩個檔案即已中了"疾風變種病毒")

請將dllhost.exe及svchost.exe2個檔案刪除41疾風病毒清除1.如果你的電腦會要求重開機，請立刻執行以下動作：1.【開始->執行->CMD.EXE[ENTER]】開啟CommandlineDOS視窗。2.在DOS視窗下(C:\>)輸入【shutdown-a】，可停止關機程序。3.按“CTRL+SHIFT+ESC”叫出工作管理員，點選“處理程序”標籤，找到下述執行檔：MSBLAST.EXE或SVCHOST，然後按下"結束處理程序"的按鈕。42疾風病毒清除2.下載防毒軟體廠商所提供的清除病毒工具。

.tw/avcenter/venc/data/w32.blaster.worm.removal.tool.html

/ftp/products/tsc/

3.下載微軟修正程式：

/taiwan/security/bulletins/MS03-026.asp

/taiwan/security/bulletins/MS03-007.asp43疾風病毒清除4.拔除網路線5.執行清除病毒(使用步驟2所下載的清毒工具)6.安裝Microsoft之修正程式7.重新啟動電腦8.接上網路線44疾風變種病毒疾風變種病毒(MSBLAST.D)賽門鐵克命名為威而加Welchia趨勢科技命名為假好心病毒這支病毒會在網路上搜尋已遭疾風病毒感染的電腦，並將疾風病毒蟲移除，然後利用微軟提供的8種修正程式修復遭疾風感染的電腦，再以這些電腦為跳板，在網上搜尋其他有安全漏洞的電腦。45殺手病毒W32.Sasser.Worm1.會對外建立大量連線2.試圖感染其他網友的電腦。這不但會造成感染的電腦無法上網，同時也會造成網路的擁塞，3.也會倒數重開機。46殺手病毒檢測如果您的電腦路徑C:\Winnt或是C:\Windows有出現avserve.exe檔案，那麼您的電腦可能已經感染Sasser蠕蟲47殺手病毒清除已中毒者，請先下載掃毒程式

/avcenter/FxSasser.exe48殺手病毒防止安裝了MicrosoftMS04-011的修正程式，將可以免於Sasser的威脅。建議您用防火牆阻擋有相關的port

Port139(tcp/udp)

Port445(tcp/udp)49「新型病毒」，特點為：結合了傳統的病毒、自動掃描、蠕蟲、後門程式。行蹤不定、變化多端，可以掌握被入侵電腦的系統資訊。病毒程式經過加密、具有偽裝（ex：變更附檔名稱）的功能。採用大量、迅速、分段入侵的方式，對網路造成巨大的威脅。50『梅莉莎』(MELISSA)結合『電腦病毒』及『電腦蠕蟲』的兩項特性。該惡性程式不但會感染Word的Normal.dot（此為電腦病毒特性），而且會透過OutlookE-mail大量散播（此為電腦蠕蟲特性）。讓mailServer負荷過重讓網路癱瘓51Melissa病毒感染流程1.當使用者開啟一個含有梅莉莎病毒的Word文件時，病毒就會立刻感染Word的範本文件Normal.dot。2.接著病毒就會去讀取使用者Outlook中的「通訊錄」，自動從通訊錄中挑選收件者名單，並自動將自己透過e-mail傳送給這些人。3.當上述的收件人開啟了e-mail中含有梅莉莎病毒的Word文件檔時，病毒便如法泡製的將自己再度透過Outlook傳播給其他人。4.梅莉莎病毒的傳播不但企業內部網路會受到染感，甚至遠在國外或其他企業組織的人，只要是在Outlook通訊錄中出現的名單，都很難逃過一劫。52Melissa病毒清除同巨集病毒清除法53『探險蟲』（ExploreZip）結合了『特洛伊木馬程式』及『電腦蠕蟲』兩項特性。探險蟲並不會感染任何檔案，但是是會覆蓋掉(Overwrite)在區域網路上遠端電腦中的重要檔案（此為特洛伊木馬程式特性），並且會透過區域網路將自己安裝到遠端電腦上（此為電腦蠕蟲特性）。54ExploreZip病毒外表Email使用者收到"「回覆」Re:"信件時，必須特別留意信件內容是否如下：

HiPenny(收件人名字)!

IreceivedyouremailandIshallsendyouareplyASAP.

Tillthen,takealookattheattachedzippeddocs.

SincerelyJohnson

PS.問候語也有可能是Bye,Sincerely,All或是Salutation等。這時若你發現信中夾帶檔名為"zipped_files.exe"的附件，請千萬不要開啟，直接刪除該信件。否則將會展開一連串的破壞行動。55ExploreZip擴散方式Email:利用Microsoft的MAPI功能在使用者不知情的狀況下，反寄一封帶毒的電子郵件給原寄件者。企業網路："Explorezip探險蟲"一旦在任何一台電腦中啟動，即會找尋網路上原設定讓中毒電腦分享資源的其他電腦，一旦找到目標，"探險蟲"即會開始修改其開機設定(若是針對Windows95/98電腦，則加入WIN.INI中；針對NT電腦則是加入"Registry")並安裝一個具破壞性的執行檔案(Explore.exeor_setup.exe)。該電腦將會成為帶原者，一旦重新開機，即會再度於網路上尋找下一個網路上的芳鄰，開始進行連鎖感染。56ExploreZip破壞力將以下副檔名的檔案內容全數化為烏有，僅剩目錄而無內文:

.c(csourcecodefiles)

.cpp(c++sourcecodefiles)

.h(programheaderfiles)

.asm(assemblysourcecode)

.doc(MicrosoftWord)

.xls(MicrosoftExcel)

.ppt(MicrosoftPowerPoint)使網路效率變慢57ExploreZip影響力企業組織內若有一台電腦沒有裝防毒軟體，或是有安裝防毒軟體但沒有更新至最新的防毒元件，極有可能導致重複性的全面感染。比如1000台電腦中999台都安全無毒，但漏掉一台外務人員的Notebook，一旦這台電腦連上網路，整個網路的感染又將再度展開。58如果已經感染了EXPLORZIP探險蟲，您應該怎麼辦？保護伺服器：如果這個病毒已經在您的網路環境上造成某些程度的破壞了，首先將伺服器的存取權限改成“讀取”（Read-Only），必要時，請先關掉伺服器，以避免檔案進一步的被破壞。請利用“登錄編輯器”（regedit）刪掉以下目錄的數值

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run

將數值由“c:\winnt\system32\Explore.exe”改成空白。

理由：如果這隻病毒已經在執行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機後就自動執行。59您應該怎麼辦？保護您的工作站立刻讓工作站離開網路系統（例如，拔掉網路線）移除電腦上的共享目錄或是磁碟（至少先改成只有“讀取”權限）使用PC-cillin或是OfficeScan掃瞄所有磁碟機（請確定使用2.062以上的掃瞄引擎及543以上的病毒碼）。如果發現病毒時，立刻刪除。完全刪除後，再重新連接網路。如果您發現無法刪除該病毒，那麼代表這個病毒已經在執行中，所以無法刪除。此時請用乾淨的開機片將電腦啟動到DOS模式。利用DOS下的掃瞄程式PCSCAN或是VBSCAN來找到病毒，並刪除病毒。

60瀏覽圖片也有可能會中毒？瀏覽圖片也有可能會中毒？沒錯，就是瀏覽圖片，不管你是從Email所收的圖片，或是上網路相簿瀏覽的圖片，或是根本只是用ACDSee秀圖軟體觀看在你電腦中的圖片，都有可能會中毒！這是在今年9月由微軟所公佈的一個名叫「JPEG處理程序(GDI+)處理緩衝區溢出」的安全性漏洞，只要是JPEG格式的圖片，經過特殊的處理後，都有可能引發這個漏洞，導致駭客趁虛而入，引發你的系統中毒。61瀏覽圖片也有可能會中毒？主要的原因並不在於圖片檔，而在於微軟作業系統中一個「GDIPlus.dll」的動態連結檔案；當我們要瀏覽JPEG圖片或是對JPEG檔案作影像處理時，多半都要用到這個檔案裡頭的程式指令，而漏洞就存在這個檔案裡頭。62「Microsoft安全性公告MS04-028」非常詳細公佈了關於「JPEG處理程序(GDI+)緩衝區溢位」這個問題的相關資訊，其中列出了微軟產品中受到影響的軟體清單。建議你趕快到這個網頁上去查一查，看看你有哪些軟體需要更新，該公告的網址為：/taiwan/security/bulletin/ms04-028.mspx。63病毒圖片製造機病毒介紹2004年的10月份，在網路上就出現一只叫做「JPGDownloader」的軟體，又被暱稱為「病毒圖片製造機」，這個程式可以讓任何人隨便用一個JPEG圖檔，製作出JPEG圖片病毒；不過這個程式攻擊的目標，僅針對英文版的作業系統，所以國內目前尚未聽到有人成為受害者。64可能病毒程式延伸副檔名為.PIF對於附件檔案是pif的電子郵件，千萬不要打開pif附件檔以免中毒，既使收到病毒信件，只要不打開.pif檔就不會中毒。這一隻病毒危害的系統相當廣泛。包括Windows95,98,ME,NT,2000和XP系統都是目標。延伸副檔名為.SCR螢幕保護程式65可能病毒程式兩種病毒(Beagleworm&NetSkyworm)的變種肆虐。

這些病毒都是透過email傳播，凡是附件為.pif以及.zip都請不要隨意開啟。由於這些病毒會假造寄件者，所以即使看到認識的寄件者寄來有問題的附加檔也不要輕易開啟。W32.Beagle.C@mm偽裝成ZIP壓縮檔，此變種病毒還會停止防毒軟體更新病毒碼的機制，造成防毒軟體無法偵測新病毒。66工作管理員被停用怎麼辦可能被特洛依木馬病毒入侵可下載移除木馬工具程式或手動移除(請小心使用)請利用“登錄編輯器”（regedit）刪掉以下目錄的數值

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run

將數值由“c:\winnt\system32\Explore.exe”改成空白。

理由：如果這隻病毒已經在執行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機後就自動執行。67工作管理員被停用按「開始」>>「執行」，輸入regedit按確定。到以下位置：（與檔案總管打開資料夾的操作類似，在每個機碼前的"+"上按一下，就可以展開到下一層）HKCU\Software\Microsoft\Windows\CurrentVersion\

Policies\System到System之後，注意看右邊窗格裡，在

DisableTaskMgr

上按兩下（double-click），把數值資料設為0（1是啟動封鎖工作管理員，0是解除封鎖），或者，直接在DisableTaskMgr

上按滑鼠右鍵選刪除。關閉Regedit程式，測試按Ctrl+Alt+

Del是否可以叫出工作管理員。（不需要重開機）如果你不熟悉，請勿使用regedit以免系統毀損。68善用工作管理員按Ctrl-Shift-Esc通常CPU使用率很低將正常開機出現的畫面紀錄下來觀察是否有不正常程式執行如有兩個explorer.exe，因為正常只能有一個關閉可疑程式69網路芳鄰漏洞2005年在網路大流行的病毒，如myDoom、Netsky，除了以往的電子郵件之外，也出現變種透過網路芳鄰、P2P傳播等共享資料匣的服務來傳遞。此類傳染途徑結合「社交工程」（socialengineering）使病毒散佈情況更為嚴重。共享服務不是新傳染技術，不過卻因結合「社交工程」而使得病毒防堵難上加難。社交工程是一種利用人的互動行為來傳播的傳染方式。社交工程過去是真正產生人的互動，如向IT人員誘騙出總經理電腦的密碼，轉變電子郵件偽裝出特定主旨、附檔名稱，利用人性的弱點，使電腦使用者被騙而打開郵件或附檔。70不要用網路芳鄰共享資料夾。病毒會利用網路芳鄰作散播的途徑，感染其他電腦共享資料夾中的檔案。WindowsNT/2000/XP安裝完成後，預設會把電腦中全部資料夾分享於網路上，造成資料被竊取及破壞。若要檢查電腦目前已分享了哪些資料夾，請在Windows的「開始」，「執行」輸入“cmd”，再輸入“netshare”即可。關閉預設分享資料夾之方法71關閉預設分享資料夾之方法注意：下列操作會更動Windows作業系統之重要檔案，若操作有誤，有可能會導致無法開機或作業系統損毀，請使用者自行評估風險。於「開始」→「執行」→輸入「regedit」，打開下列路徑：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

增加一個「REG_DWORD」的類型，名稱為AutoShareServer(大小寫需相符)，值設定為「0」，然後重開機即可生效。72如何關閉「網路芳鄰」?「控制台」→「網路和網際網路連線」→「網路連線」→「區域連線」→「一般」→取消以下元件：ClientforMicrosoftNetworksFileandPrinterSharingforMicrosoftNetworks「控制台」→「網路和網際網路連線」→「網路連線」→「區域連線」→「一般」→「InternetProtocol(TCP/IP)」→「內容」→「進階」→「WINS」→停用[NetBIOSoverTCP/IP]73如何關閉「網路芳鄰」?「控制台」→「效能及維護」→「系統管理工具」→「服務」→找到以下服務項目,將其更換為手動或停用Messenger

TCP/IPNetBIOSHelperServices

74首頁綁架例如：首頁無法更改、首頁被更改設定、瀏覽器名稱被修改、瀏覽器被自動執行、開機被鎖定、瀏覽器上的奇怪選項、按滑鼠右鍵有奇怪的選項、按滑鼠右鍵的另存目標變成灰色、廣告視窗自動跳出……等等，還有最惡劣的登錄編輯器被停用、“開始”→“執行”被移除，這些種種的問題。/home2/nomo/teach/un-web-kidnap.htm75預防首頁綁架養成好習慣：網際網路選項中的安全層級至少為「中」、不要看到出現安裝軟體的對話框就急著選「是」、經常使用WindowsUpdate做安全性更新、安裝防火牆軟體、安裝防毒軟體、安裝間諜軟體掃描程式。76IE中起碼要維持的安全性設定：預設層級「中」就已經非常夠用，絕對不要調降為「低」，如果某個網站，一定要你調降為「低」才能正常顯示它的網頁，請三思，危險後果自己負責。關閉所有的程式視窗，到控制台>>網際網路選項。77控制台>>網際網路選項「安全性」標籤的部分：按「自訂層級」，檢查以下項目。下載未簽署的ActiveX控制項：停用下載簽名的ActiveX控制項：提示起始不標示為安全的ActiveX控制項：停用在IFRAME中啟動程式或檔案：提示安裝桌面項目：提示如果你的安全層級是「中」，就會符合以上的標準，只需一次確認檢查，不必修改。78「內容」標籤的部分按「發行者」，到「授信任的發行者」是否有很奇怪、懷疑是廣告商的憑證，若有，刪除。為什麼要刪除不明的發行者？「授信任的發行者」清單中的發行者，表示都以取得你的信任，元件安裝進來前就不會再問你，所以這邊有莫名其妙的物件，就要刪除。79「進階」標籤的部分檢查：在「瀏覽」段落：不勾：「啟用隨選安裝（其他）」這一項。注意：是「啟用隨選安裝（其他）」，不是「啟用隨選安裝（InternetExplorer）」，請看清楚。「啟用隨選安裝（InternetExplorer）」維持預設值（有勾）即可。80設定結果經過了以上的設定，每當網站要下載元件到你的電腦上時，就會出現是否要下載的對話框，請看清楚內容再按確定，如果你實在不能判別這個元件的用途，就按取消。81善用防火牆SymantecClientFirewall偵測與防止利用通訊埠對主機的攻擊使用說明WindowsXP防火牆設定(SP1)：82WindowsXP防火牆設定(SP1)：83848586878889WindowsXP防火牆請注意,WindowsXP防火牆的功能只能阻擋"連入"要求,而不會阻擋任何連外之連線要求!90中毒了,怎麼辦?將中毒電腦的網路線拔掉.(避免繼續中毒或散播病毒給別人)使用其它安全、乾淨電腦上網,連線到防毒公司網站,下載該病毒的「移除工具」:趨勢科技

賽門鐡克

使用「移除工具」將中毒電腦的病毒清除掉安裝個人防火牆,並啟動防駭功能91中毒了,怎麼辦?關閉「網路芳鄰」接上網路線修正Windows的漏洞:在Windows執行「開始」→「控制台」→「WindowsUpdate」在IE瀏覽器執行「工具」→「WindowsUpdate」安裝防毒軟體,並且立即更新「病毒碼」及「掃瞄引擎」92建議保持電腦中的作業系統及應用軟體沒有任何漏洞。安裝防毒軟體。安裝防火牆軟體。請更改Windows作業系統之管理者帳號名稱及密碼。不要開啟或預覽任何來歷不明及主旨語意不清的電子郵件，亦不要開啟任何不明確的附件檔案。不使用網路芳鄰共享資料夾。關閉作業系統內不需要之服務項目。勿隨意安裝軟體。勿隨意點選網址。93趨勢科技--全球病毒即時監控中心.tw/wtc/賽門鐵克—安全應變機制/region/tw/avcenter/index.html網路安全診斷室94MailSpammailspam:將一份相同內容的電子信件送給很多人Mailserver被某些機器用來轉信(mailrelay)蠕蟲程式網路釣魚通常發生於unix或server級機器個人系統則是可能是蠕蟲做怪如果發生此問題怎麼辦unix更新版本sendmail到8.9

版清除蠕蟲95您的電腦是否已被裝了木馬？檢查註冊表。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run”開頭的鍵值名，其下有沒有可疑的檔案名。如果有，就需要刪除相應的鍵值，再刪除相應的應用程式。96您的電腦是否已被裝了木馬？檢查啟動組。

木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裏的確是自動載入運行的好場所，因此還是有木馬喜歡在這裏駐留的。啟動組對應的檔夾為：C:\windows\startmenu\programs\startup，在註冊表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup="C:\windows\startmenu\programs\startup"。要注意經常檢查這兩個地方哦！

97您的電腦是否已被裝了木馬？Win.ini以及System.ini也是木馬們喜歡的隱蔽場所，要注意這些地方。比方說，Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程式的，如果有了那就要小心了，看看是什麼；在System.ini的[boot]小節的Shell=Explorer.exe後面也是載入木馬的好場所，因此也要注意這裏了。當你看到變成這樣：Shell=Explorer.exewind0ws.exe，請注意那個wind0ws.exe很有可能就是木馬服務端程式！趕快檢查吧。

98您的電腦是否已被裝了木馬？檢查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。木馬們也很可能隱藏在那裏。如果是EXE檔啟動，那麼運行這個程式，看木馬是否被裝入記憶體，埠是否打開。如果是的話，則說明要麼是該檔啟動木馬程式，要麼是該檔捆綁了木馬程式，只好再找一個這樣的程式，重新安裝一下了。網路釣魚(Phishing)根據反網路釣魚工作小組（APWG）定義，「Phishing」（網路釣魚）是利用偽造電子郵件與網站作為誘餌，愚弄使用者洩漏如銀行帳戶密碼、信用卡號碼等個人機密資料。利用知名品牌所建立的信賴感，幾可亂真的偽造網站與郵件也讓此類詐騙行為成功機率達5%。網路釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由於駭客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了”Phishing”,Phishing發音與Fishing相同。2023/1/12電腦病毒99如何辨識網路釣魚郵件大多數人都能夠在現在意識到不能在網際網路上隨意透露個人資訊。但是對於新型態的phishing電子郵件騙局來說，大多數網友卻很難加以判別真偽，因為詐騙者所捏造的收件人與寄件人跟合法公司所寄的一模一樣。Phishing有一個很好的中文直譯典故：「姜太公釣魚，願者上鉤」正如字面所告訴我們的，phishing是透過垃圾郵件來詐騙網友的個人資料，一般多半是藉口他們的資料需要更新，或者基於安全理由需要重新進行身份驗證，如此便可騙取網友的帳號ID與密碼。網友則在毫無懷疑的情況下提供了他們的資訊，然而就在數小時甚至幾分鐘的短時間內，那些未經授權的交易就可能造成受騙者巨大的損失。2023/1/12電腦病毒100phishing通常也會使用HTML格式的網頁電子郵件除了捏造資料外，這類郵件通常也會使用HTML格式的網頁電子郵件。乍看之下，不管是商標、標識、圖形，以及公司的鏈結全都應有盡有，像是值得信任的。事實上，在很多情況下，他們都直接使用了正牌網站的圖檔也就是仿冒的一模一樣。曾有網友收到過仿冒線上刷卡公司網頁的phishing電子郵件，所顯示的網址似乎是真實的，似乎只需要輕輕點下這些鏈結就能夠登錄線上刷卡公司的網站。然而這些鏈結卻正是網頁所設置的陷阱，它們實際上鏈結的是一個無法解讀的IP網址，而非真實的線上刷卡頁面。參考資料/news/new21/new_21_14_1.htm

上述文章來至"不一樣新聞電子雙周報"2023/1/12電腦病毒101102免費線上病毒掃瞄防毒軟體名稱：Kaspersky/service?chapter=161739400

防毒軟體名稱：Norton/sscv6/home.asp?langid=ch&venid=sym&plfid=23&pkj=LNUVWYDMGJCDBXWVPGC

防毒軟體名稱：PC-cillin/housecall/start_corp.asp

基本的防毒常識四不兩要不使用來源不明之磁片不開啟來源不明之電子郵件不安裝不確定來源之軟體(遊戲、算命、螢幕保護程式…等)不任意分享資料夾要先掃毒才將外界的檔案傳至電腦要隨時保持最新的防毒引擎與病毒碼笑話兩則小白這天去換駕照，路經一個十字路口時，瞧見有位媽媽背著一個小孩，前面還載一個大一點的小孩被條子攔下來...條子說：「這位太太，你的小孩沒帶安全帽也就算了，你怎麼自已也不戴？這樣說不過去哦。」媽媽：「小朋友的這麼小買不到ㄇㄟ。」條子：「但你自已應該要戴啊！」媽媽：「我戴幹嘛？萬一我的孩子出了什麼事，我也不想活了！」有一天，志維超速被警察攔下警察：「嘿嘿！我從一大早就在這裡等你了！」志維：「我知道，我怕你等太久，所以才一路狂飆的趕來了。」防毒軟體的關鍵－

病毒碼與掃瞄引擎病毒碼像是犯人的指紋，當防毒軟體公司收集到一隻新的病毒時，他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的程式碼，來當做掃毒程式辨認此病毒的依據，這段獨一無二的程式碼就是所謂的病毒碼。掃瞄引擎可以說是防毒軟體中最精華的部份。事實上，當您操作防毒軟體去掃描某一個磁碟機或目錄時，它其實是把這個磁碟機或目錄下的檔案一一送進掃瞄引擎來進行掃描，真正影響掃描速度及偵測率的因素就是掃瞄引擎，它被放在防毒軟體所安裝的目錄之下，就好像汽車引擎平常是無法直接看見的，可是它卻是影響汽車性能最主要的關鍵。病毒的種類及型態一直在改變，新病毒也每天不斷的被產生，如果不經常更換最新的病毒碼以及掃瞄引擎，再強悍的防毒軟體也會有失靈的一天。因為病毒碼和掃毒引擎是防毒工作中相當重要的一環，只單單更換病毒碼或掃毒引擎是不夠的，必須兩者都進行更新。

電腦病毒和駭客所謂電腦駭客(Hacker)指的是”以非法手段侵入別人電腦，來竊取或修改電腦中重要資料的人，或利用系統本身漏洞，來攻擊散播駭客工具”。電腦病毒與駭客，原本不可混為一談，但紅色警戒病毒（CodeRed）將兩者的特性結合，進而繁衍出強大的破壞力。

防止電腦駭客的入侵方式，最常見的就是裝置「防火牆」(Firewall)，這是一套專門放在Internet大門口(Gateway)的身份認證系統，其目的是用來隔離Internet外面的電腦與企業內部的區域網路，任何不受歡迎的使用者都無法通過防火牆而進入內部網路，而利用系統漏洞來政擊或散播駭客工具的程式，最好的防止方式就是更新”修正程式”。一般而言，電腦駭客想要輕易的破解防火牆並入侵企業內部主機並不是件容易的事，所以駭客們通常就會用採用另一種迂迴戰術，直接竊取使用者的帳號及密碼或者利用系統的漏洞，如此一來便可以名正言順的進入企業內部。而CodeRed即是利用微軟公司的IIS(InternetInformationServices)網頁伺服器作業系統漏洞，大肆為所欲為。

InternetInformationServices(IIS)formerlycalledInternetInformationServer–isawebserverapplicationandsetoffeatureextensionmodulescreatedbyMicrosoftforusewithMicrosoftWindows.ItisthesecondmostusedwebserverbehindApacheHTTPServer.AsofMarch2010[update],itserved24.47%ofallwebsitesontheInternetaccordingtoNetcraft.[1]TheprotocolssupportedinIIS7.5include:FTP,FTPS,SMTP,NNTP,andHTTP/HTTPS.2023/1/12電腦病毒110CodeRed的入侵CodeRed是首宗駭客結合電腦蠕蟲、特洛依病毒的新型態強勁攻勢，它專門針對安裝微軟IIS網頁伺服器的作業系統進行感染如WindowsNTServer及Windows2000Server，用戶遭到CodeRed入侵可能會造成網頁被置換，網路壅塞或是伺服器當機。當駭客破解了IIS伺服器門禁（此為駭客行徑）則以100、300或600的等比級數尋覓下毒目標電腦（此為電腦蠕蟲特性）並透過80PORT來散播和複製自己（此為特洛伊木馬程式特性），從此這些傀儡電腦便得任意被駭客操縱了，無論是發動攻勢攻擊指定網站、或染指亂數產生的IIS用戶，皆使得網路頻寬資源大受影響，甚至無法運作。2023/1/12電腦病毒112如何阻絕CodeRed型態的病毒電腦病毒結合網路駭客技術，已成為一種強大威脅性的可怕工具，CodeRed與Nimda都屬於此類針對此類的攻擊，企業用戶可說是防不勝防。雖然CodeRed的傳播方式是利用電腦蠕蟲與特洛伊木馬程式的特性，然而它最主要的攻擊點，本質上是針對某些特定應用程式(如IIS)的弱點或後門來做攻擊。若想阻絕此類病毒，唯有從這些應用程式的安全上著手。換句話說，隨時更新各類應用程式的修補程式(patch)，便是資訊安全上相當重要的一項課題。2023/1/12電腦病毒113如何阻絕CodeRed型態的病毒（cont.）台灣微軟便在微軟網站提供【CodeRed病毒嚴重威脅網站伺服器，請即刻安裝修復程式】的網頁，針對IIS的安全提出相關說明，因此資訊相關人員除了安裝防毒軟體外，更要加強以下動作：定期更新軟體程式，如微軟IIS等的相關修正程式。除了安裝防火牆(Firewall)外，還應搭配入侵偵測軟體(Scanner)及弱點評估軟體(Intrusiondetection)，並在伺服器端安裝防毒軟體，並確定掃瞄引擎及病毒碼也必須同時更新。

2023/1/12電腦病毒114真正的防毒之道防毒軟體的關鍵－病毒碼與掃瞄引擎病毒碼像是犯人的指紋，當防毒軟體公司收集到一隻新的病毒時，他們會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼(BinaryCode)，來當做掃毒程式辨認此病毒的依據，這段獨一無二的二進位程式碼就是所謂的病毒碼。那麼，什麼叫二進位程式碼呢?在電腦中所有可以執行的程式(如*.EXE,*.COM)幾乎都是由二進位程式碼所組成，也就是電腦的最基本語言--機械碼。就連當紅的文件巨集病毒，雖然它只是包含在Word文件檔案中的巨集，可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。2023/1/12電腦病毒115真正的防毒之道(cont.)掃瞄引擎可以說是防毒軟體中最精華的部份。當您使用一套防毒軟體時，不論它的畫面是否精美，操作是否簡便，功能是否完善，這些其實都還不足以證明一套防毒軟體的好壞。事實上，當您操作防毒軟體去掃描某一個磁碟機或目錄時，它其實是把這個磁碟機或目錄下的檔案一一送進掃瞄引擎來進行掃描，也就是說您所看到的漂亮畫面其實只是一個使用者介面(UI,UserInterface)，真正影響掃描速度及偵測率的因素就是掃瞄引擎，掃瞄引擎是一個沒有畫面，沒有包裝的核心程式，它被放在防毒軟體所安