一、如何防毒並保護系統，有幾個基本步驟，您也做得到：

• 步驟一、取消「隱藏已知的檔案類型的副檔名」，並顯示隱藏檔及所有資料夾
• 步驟二、各磁碟的根目錄，建立免疫資料夾，請下載執行「Kavo_killer.exe」程式
• 步驟三、取消「可卸除式媒體的自動播放功能」(可透過 TweakUI 程式做設定)
• 步驟四、執行「Wow! USB Protector 防毒偵測」的保護程式，以防禦系統中隨身碟病毒

二、基本防駭招數：

• 不用懶人帳號。例如以生日及家裡電話作密碼，或者帳號與密碼一樣(這太好猜啦！)。
• 不同網站的服務，帳號密碼最好不同，以免Ａ網站被駭了，而在Ｂ網站的資料也不保。尤期別把E-mail帳號的密碼用於其他服務做為密碼。
• 收到要求更改密碼的電子郵件或傳來的連結網址，應多次確認再打開。還有電子郵件主旨標題太聳動的，千萬別太好奇打開來看，多半是有毒的。
• 安裝防毒防駭軟體，若有木馬程式企圖進駐，會即時提醒。
• 個資外洩時不要緊張，若帳號還可以登入，立即更改密碼。
• 最後，定期利用警政署所提供的「免費電腦健康檢查程式 NPASCAN」為您的電腦做防駭檢查。(相關資訊，請閱讀內政部警政署新聞「網災來襲 資安不影響治安」)
  

值得推薦：當發生這種情況的時候，就可以合理的懷疑:你被攻擊了

　　這本《碼書》翻譯自 Simon Singh 的原著，所談及的內容是密碼學方面的故事與主題。事實上，也可以說是一本有關密碼的演化史，讓大家讀完此書後會對密碼學的演變和目前的狀況，甚至未來的發展有相當的認識。

　　從原始的秘密書信開始談起，作者介紹替代法和平移法到頻率分析法。所介紹的各種方法，除了有一點些簡易的例子以外，且與當時的歷史事件相配合，相當引人入勝。較特別的是第五章談到古文字的解讀，是比較不同的一部分。

　　最後也談到公開金鑰系統(public key system) 和目前常見的RSA系統等，甚至對於量子密碼也有介紹。最後，作者也出了一些密碼挑戰的課題來考考讀者，讓讀者可以用書上所介紹的方法，享受破解密碼的樂趣。

還有，在這本書裡，有我最喜歡的三句話：

「OPEN 是一種人本的寬厚。」

「OPEN是一種自由的開闊。」

「OPEN是一種平等的容納。」

以上引用自「碼書(The Code Book)」，與大家分享之。

VirusTotal 是一款可疑檔案分析服務, 通過各種知名反病毒引擎, 對您所上傳的檔案進行偵測, 以判斷檔案是否被病毒, 蠕蟲, 木馬, 以及各類惡意軟體感染。

此外，ActiveScan2.0 也提供線上免費掃毒的服務，不需要安裝任何程式，只需在您想掃瞄您電腦的時候，連結到網際網路並簡單的敲擊滑鼠即可。
操作步驟，請參考右列網址：http://www.pandasoftware.com.tw/freescan/activescan.htm

漏洞型蠕蟲、變型病毒皆是攻擊系統預設開啟 port，例如:port 80,139,445,3389，亦或偽裝在網際網路通訊協定應用階層(application layer)裡面，企圖欺騙防火牆，進入企業或家庭內部區域網路，造成部分內部網路癱瘓亦或電腦主機當機。

但由於作業系統漏洞日益倍增，市面上系統只能對現有漏洞做填補效果，但不只微軟的作業系統有問題，其他平台亦或如此，然而駭客總會在取得系統漏洞資訊及攻擊工具後，大肆在網路上尋找可攻擊目標，入侵電腦主機，企圖使用電腦主機當成、散播木馬或病毒跳板，造成殭屍網路大量傳送病毒、木馬、蠕蟲、E-mail 病毒，例如當時紅極一時的 CodeRed 就是利用 Windows NT/2000 本身的漏洞來執行駭客行為。

針對國內企業電腦遭駭客大規模入侵植入木馬案，內政部警政署刑事警察局偵九隊提供基本快速發現及移除惡意程式方法，請大家自行檢查以防被入侵。

常見病毒相關資訊：

* Microsoft 資訊安全首頁
* 在 C:\Windows\system32 或 C:\WINNT\system32 常見的病毒程式：NAVSCANNER32.EXE, servicez.exe, kuamgrd.exe, wuamgrd.exe, WIN32SNC.exe, NAVSCAN32.exe, mssvc32.exe, mswinn16.exe, qualityx.exe→W32.Spybot.Worm；msgfix.exe→W32.Gaobot.SN；svchosts.exe, wauclt.exe→W32.HLLW.Gaobot.gen；winrun.exe→Backdoor.IRC.Zcrew;win932.exe→W32.Randex.gen;avserve.exe→W32.Sasser.Worm;avserve2.exe→W32.Sasser.B.Worm

* PortScan 445、會自動重新開機→W32.Sasser.Worm、W32.Sasser.B.Worm：請安裝微軟修正程式，並使用防毒軟體掃描檔案，或是執行賽門鐵克移除工具(若遇到要重新開機，請「執行」shutdown -a，即可取消重新開機)

小心伺服器上的重要資料庫遭病毒竊取、遙控

趨勢科技今日22發佈JS_SQLSPIDA.B的病毒警訊，發現一種新型態病毒特別針對SQL sever為攻擊目標。此JavaScript蠕蟲病毒透過一種全新的傳染途徑，利用感染安裝有Microsoft SQL之伺服器，並在被感染之伺服器內產生特定的檔案，使得系統會將內部資料傳送到一特定之郵件信箱，藉此竊取受害者的重要資料，另外，一旦此IP 成為攻擊目標被感染之後，網路流量便會爆增，降低效能，而且會成為另一個隨機產生IP位置而去散佈病毒的工具。趨勢科技建議用戶請小心並且即刻更新最新病毒碼至289，並且掃瞄系統所有檔案，將掃描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的檔案全部刪除。

此外，趨勢科技TrendLabs更進一步指出，根據分析報告，該病毒會利用其本身會隨機產生的許多IP位置，並連線至這些IP位置之TCP port 1433(此為SQL server 使用的port)。也就是說，病毒隨機產生的IP會去搜尋同時有SQL server 使用的port，搜尋到之後，它們便成為病毒下手攻擊的目標，而細究其造成上述三個危害症狀主因為，第一、該病毒會使用 "ipconfig /all" 指令取得被感染機器之所有網路設定資料並儲存於SEND.TXT檔案中，此外亦將執行PWDUMP2.EXE所產生的帳號、密碼檔案儲存於同一份檔案中。同時病毒使用CLEMAIL.EXE email軟體將所產生的檔案寄到IXLDT@POSTONE.COM此特定帳號中，其信件主旨為 “SyetemData”。第二、這些被攻擊的IP位置會產生10000個thread來存取該特定的port並建立10000個連線，使得網路流量增加，降低效能。第三、該病毒會將各IP所回應的資料存於RDATA.TXT中，並在該檔案中搜尋“1433/tcp” 字串。如果某IP回應的資料中有此字串，則病毒會使用此IP及隨機產生的密碼當作參數執行 SQLINSTALL.BAT(此批次檔趨勢科技偵測為BAT_SQLSPIDA.B)，將病毒程式安裝至使用該IP之機器上。此後，病毒會停止運作並伺機將RDATA.TXT 檔案刪除，再重新開始產生一新的IP位置進行攻擊。也就是說，被攻擊感染的伺服器也就成為下一個散佈攻擊病毒的源頭。由此一傳十、十傳百已驚人速度散開來。

解決方案：
請更新病毒碼至289並掃瞄系統所有檔案，將掃瞄到感染BAT_SQLSPIDA.B and JS_SQLSPIDA.B. 之檔案全部刪除。如果在您的機器上有偵測到該病毒，趨勢科技建議您再執行下列步驟：

1.取消來賓(guest)帳號，如果因此病毒而無法取消該帳號的話，請使用下列方法在命令提示字元模式
下取消該帳號：net user guest /active:no

2.將 本機管理者群組 和 網域管理者群組中之來賓帳號(guest)移除，可請使用下列方法在命令提示字元　 模式下取消該帳號· net localgroup administrators guest /delete · net group “Domain Admins” guest /delete

3. 在命令提示字元模式下執行下列指令，將TIMER.DLL從memory中移除：regsvr32 /u TIMER.DLL

4.在命令提示字元模式下執行下列指令，移除所有病毒產生的檔案：

· attrib -h %SysDir%\drivers\ser
· attrib -h %SysDir%\sqlexec.js
· attrib -h %SysDir%\clemail.exe
· attrib -h %SysDir%\sqlprocess.
· attrib -h %SysDir%\sqlinstall.
· attrib -h %SysDir%\sqldir.js
· attrib -h %SysDir%\run.js
· attrib -h %SysDir%\timer.dll
· attrib -h %SysDir%\samdump.dll
· attrib -h %SysDir%\pwdump2.exe
· del %SysDir%\drivers\services.exe
· del %SysDir%\sqlexec.js
· del %SysDir%\clemail.exe
· del %SysDir%\sqlprocess.js
· del %SysDir%\sqlinstall.bat
· del %SysDir%\sqldir.js
· del %SysDir%\run.js
· del %SysDir%\timer.dll
· del %SysDir%\samdump.dll
· del %SysDir%\pwdump2.exe

附註: 上述之 %SysDir% 通常是 C:\Windows\System or C:\WinNT\System32.

這隻病毒若有其他資訊, 我們會持續更新台灣趨勢網站, 請隨時注意網站內容

此外趨勢科技也建議用戶採用「ServerProtect檔案伺服器防毒軟體」，是有效的內部網路防毒管理應用軟體，可以有效地捍衛檔案伺服器和網域內的資訊安全，免於電腦病毒的攻擊，並且能利用新一代的防毒中央管理軟體(TVCS)特色，讓管理者從單一的主控台來安裝並且管理 ServerProtect。「ServerProtect檔案伺服器防毒軟體」目前可支援如：Windows NT/2000、NetWare、RedHat Linux等多種平台。

相關網站：
趨勢科技　http://www.trendmicro.com.tw/

此病毒，蠻慘的，因為大部分的防毒軟體都偵測不到，而且，此病毒幹了很多壞事。
執行之後，有下面的行為：

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\upx.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\cmdbcs.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\msccrt.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\windds32.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\windhcp.ocx (注入檔案總管的執行程序)
C:\WINDOWS\system32\wsttrs.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\wsvs.dll (注入檔案總管的執行程序)

[Added service]
NAME: Win32DDS
DISPLAY: Win32 Display Driver
FILE: C:\WINDOWS\system32\\rundll32.exe windds32.dll,input

NAME: WinDHCPsvc
DISPLAY: Windows DHCP Service
FILE: C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,input

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\upx.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\upx.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\zaqxsw[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq10[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq5[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq9[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\zaq4[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\zaq7[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\zaq1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\zaq3[1].exe
C:\Program Files\Common Files\System\IDrivers.pif
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\drivers\usbue.sys
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsvs.dll
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\wsvs.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=wsvs,Data=C:\WINDOWS\wsvs.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=wsttrs,Data=C:\WINDOWS\wsttrs.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=upx,Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upx.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=msccrt,Data=C:\WINDOWS\msccrt.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=cmdbcs,Data=C:\WINDOWS\cmdbcs.exe

cmdbcs.exe
[ Trend ], "TSPY_ONLINEGA.SF"
ctfnom.exe:
[ Trend ], "TROJ_Generic"
IDrivers.pif:
[ Trend ], "TROJ_DLOADER.HRG"
msccrt.dll:
[ Trend ], "TSPY_ONLINEGA.ZT"
msccrt.exe:
[ Trend ], "TSPY_ONLINEGA.ZT"
upx.dll:
[ Trend ], "TSPY_ZHENGTU.CZ"
upx.exe:
[ Trend ], "TSPY_ZHENGTU.CZ"
windds32.dll:
[ Trend ], "TROJ_AGENT.KNG"
windhcp.ocx:
[ Trend ], "TROJ_AGENT.KNH"
wsttrs.dll:
[ Trend ], "TSPY_ZHENGTU.BO"
wsttrs.exe:
[ Trend ], "TSPY_ONLINEGA.SE"
wsvs.dll:
[ Trend ], "TSPY_LEGMIR.ALO"
wsvs.exe:
[ Trend ], "TSPY_ONLINEGA.GM"
zaq1[1].exe:
[ Trend ], "TSPY_ZHENGTU.CZ"
zaq2[1].exe:
[ Trend ], "TSPY_ONLINEGA.ZT"
zaq3[1].exe:
[ Trend ], "TROJ_AGENT.KEP"
zaq4[1].exe:
[ Trend ], "TSPY_ONLINEGA.GM"
zaq5[1].exe:
[ Trend ], "TSPY_ONLINEGA.SE"
zaq7[1].exe:
[ Trend ], "TROJ_Generic"
zaq9[1].exe:
[ Trend ], "TROJ_AGENT.KEQ"
zaq10[1].exe:
[ Trend ], "TSPY_ONLINEGA.SF"
zaqxsw[1].exe:
[ Trend ], "TROJ_DLOADER.HRG"
1[1].exe:
[ Trend ], "Possible_Infostl"
cmdbcs.dll:
[ Panda ], "Trj/Legmir.AMG"
[ Nod32 ], "a variant of Win32/PSW.Agent.NCC trojan"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Legendmir.DZP"
usbue.sys:
[ Symantec ], "Trojan Horse"
[ HBEDV ], "TR/Rootkit.Gen"

=================================================================================
預防重於治療：
1. TweakUI 上了沒，電腦記得要事先停掉「可缷除式媒體」的自動播放功能
2. kavo_killer.exe 及 HiJackThis.exe 隨時拿出來執行檢查

步驟一、請在命令提示字元下輸入以下指令

netstat -ano

例如：查詢到 123 port 被 PID 1060 服務佔用，若想得知究竟是那項服務佔用，則必須執行第二、第三步驟。

步驟二、打開工作管理員，並按「檢視(view)/選擇欄位(select columns)」，將 PID 欄位打勾，並按下確定(OK)。

步驟三、透過 PID 欄位即可得知，原來 123 port 是被什麼軟體佔用。