6042

自3月的第一個禮拜開始，台灣地區已陸續發現PDF的病毒檔。但防毒軟體都是3/13之後才可偵測到，也就是說，大約有5天左右的空窗期(0-Day)。 若使用個人電腦開啟，打開之後可能會出現錯誤訊息，然後就是一片空白；此外也無法透過線上PDF程式來開啟。 截至目前為止，共只有1/4的防毒廠商可掃出，因此使用Adobe PDF Reader v9.0(含)之前的版本，都需提高警覺。 針對某樣本在Virustotal的掃描結果:http://www.virustotal.com/analisis/fb1d420643e629a1e53ed274919310bb Antivirus Version Last Update Result a-squared 4.0.0.101 2009.03.16 – AhnLab-V3 5.0.0.2 2009.03.15 – AntiVir 7.9.0.114 2009.03.15 – Authentium 5.1.0.4 2009.03.15 – Avast 4.8.1335.0 2009.03.16 JS:Pdfka-BX AVG 8.0.0.237 2009.03.15 Exploit.PDF BitDefender 7.2 2009.03.16 Exploit.HTML.Agent.AQ CAT-QuickHeal 10.00 2009.03.14 – ClamAV 0.94.1 2009.03.15 Exploit.PDF-29 Comodo 1057 2009.03.15 – DrWeb 4.44.0.09170 2009.03.16 – eSafe 7.0.17.0 2009.03.15 – eTrust-Vet 31.6.6388 2009.03.09 – F-Prot 4.4.4.56 2009.03.15 – F-Secure 8.0.14470.0 2009.03.15 – Fortinet 3.117.0.0 2009.03.16 – GData 19 2009.03.16 JS:Pdfka-BX Ikarus T3.1.1.45.0 2009.03.16 – K7AntiVirus 7.10.671 2009.03.14 – Kaspersky 7.0.0.125 2009.03.16 – McAfee 5554 2009.03.15 Exploit-PDF.i McAfee+Artemis 5554 2009.03.15 Exploit-PDF.i … Continue reading 利用PDF弱點的病毒檔現身

 日前安裝Visual Studio 2008時，就在快完成的時候，防毒軟體忽然跳出紅色視窗，說攔截到病毒 Trojan.generic.Riskware。 原本以為是有人攻擊我的電腦，但仔細一看，發現攔截到的是光碟中”setup.exe”檔案。   但這是正版光碟，且其他人裝都沒事ㄟ……所以，當下初步判斷是場誤判，接著按下允許，直到安裝結束。 事後我查了一下，發生此問題似乎不多，但為了謹慎起見，今早我仍詢問防毒公司， 並請他們釐清真相，看究竟是我電腦問題、還是防毒軟體問題。 當天下午，對方某資深工程師回覆，說這個警告是錯的，並將於新版本修正。   <結語> 最後，果然防毒軟體誤判。 不過話說回來，一般人應該會認為， 想也知道是個誤判啊。 看來，我有點太緊張了。   

最近常與病毒打交道，回報多了，就產生一些心得；以下就是是站在非用戶的角色、所做的報告。但畢竟小弟只是業餘人員，如有同好也歡迎交流!  Name Method Limit Reply Link Speed Note Avast! Email may no limit N/A click here N/A 回報後仍掃不到,是回報方式錯誤? Avira Email,Web <8MB Yes click here Medium 處理速度極佳!就免費軟體來說,相當不錯! BitDefender Email,Forum <2MB N/A click here Medium 有時會回覆,有時不會 Eset Email may no limit N/A click here N/A 回報後仍掃不到,是我回報方式錯誤嗎? F-Secure Web may no limit Yes click here Fast 處理速度極佳!需注意的是上傳時會有檔名限制 Kaspersky Email may no limit Yes click here Fast 處理速度極佳!一般來說會在2hr內回覆 Kingsoft Web <5MB<10files Yes click here Fast 處理速度不錯,不過有檔案上傳數量限制 McAfee Email,Web <3MB Yes click here Fast 回報限制較多,有時無法讀取對中文檔名 Microsoft Email,Web <10MB Yes click here Fast 處理速度極佳!但回報時若網路不穩常會失敗 Rising Web <5MB Yes click here Fast 處理速度不錯,但檔案限制有點太小 Sophos Web <50MB Yes … Continue reading 各家病毒回報方式與心得

今早(11/7)一口氣發現六隻新病毒；都是RAR格式的執行檔，透過EMail散布。稍微分析之後，我大約在11:00回報給5家防毒廠商: Kaspersky、NOD32、AVAST、Antivir和Symantec。 附夾檔檔名:MM.com 夢中ㄌ對話.com小人照片.com小姐笑話下.com我換信箱了囉….com歐美寫真.com自拍.com討厭鬼.com謎底.com香港三級.com Kaspersky約在下午16:00首先回覆，並說明將新增以下6隻到新病毒碼:Trojan-PSW.Win32.Magania.bdhTrojan-PSW.Win32.Magania.bdiTrojan-PSW.Win32.Magania.bdjTrojan-PSW.Win32.Magania.bdkTrojan-PSW.Win32.Magania.bdlTrojan-PSW.Win32.Magania.bdm 另外，Avira(俗稱小紅帽)也回覆將加入病毒定義檔中，新病毒名稱為DROPPER。 下班前更新並測試一下Kaspersky，發現2007/11/7 17:37的病毒碼，已可成功刪除病毒，真是太有效率了。