Notebook的反應是打開一個新browser,連上這條一點也不cooool的url,跟著forward 到好像PerfSpot.com的網站,這個網站應是假的,因為看佢用frameset特徵,而且其backend 屬兩個唔同的domain名,加上browser address 還是顯示這個coool咩咩,所以肯定有古怪!當然沒有理這個site(遇到這些site,切記不可做任何register或提供資料!),跟後立即查這是什麼一回事,以及delete晒所以browser 的temporary file、cookie、history、password(DeepC從不用自動完成功能的,所以不會有password 留下,但安全起見,還是按 delete auto password button),還有offline Full scan 整台notebook,run 左近三個鐘,好彩沒有Virus。還有一點很重要,就是將電腦離線!
而這個site,看似專偷IM user 資料,用來發放垃圾郵件及信息。(如上面提及的offine message)**所以大家收到這個網址時不要點擊它, 也不要理會相關信息**
而在網上的搜尋結果小得很,連McAfee都只有一個記錄,還是同一天貼上的,可見這個這隻東西是多新。McAfee還未有報告出來,但他們大約估計是spammer "distributed through email and instant messaging spam, uses browser exploits to distribute spyware etc",相信報告會在幾天後發出。
小心多點,今早在網上繼續找資料,以及跟IT人談談,得Alexander兄台出手支援,贈一良方處理spyware,並取得同意跟大家分享,方法如下:
| Since your computer might be infected with spyware, before you complete the following list do not use your computer for security-sensitive activities like online banking. Fastest way: System Restore (1). Change your MSN Messenger/Hotmail/MSN Passport password on another computer immediately (2). Restore your computer back to any time earlier than 《 the spyware detonation time 》, restart your computer as instructed (3). Download and install a anti-spyware software, update it; scan and clean your computer If you need more information on anti-spyware, you can try Spybot S&D or Spyware Doctor from Google Pack. If the system restore is disabled on your computer, then you will have to do it manually: Safest way: Scan and Clean [1]. Change your MSN Messenger/Hotmail/MSN Passport password on another computer immediately [2]. Download and install an anti-spyware software (as suggested above) [3]. Update it and immunize it (for Sypbot S&D you can immunize your computer for more protection) [4]. Scan your computer for spyware, clean and remove all threads [5]. Try restarting your computer, monitor for any unknown thread/process running [6]. Try to locate the unknown thread/process from Windows Explorer -> Search and confirm it they are something real and necessary for operations [7]. If something problematic found, locate the entry from Registry and remove it, delete the related files by [Shift]+[Del] to bypass Recycle Bin [8]. Return to step 6 until all possible problematic thread/process cleaned Let me know if you need more information on this. |
以上第(2)點是指,用「系統還原」功能,還原到估計觸發spamware時間前的時段;這個功能的位置在:「程式集」>「附屬應用程式」>「系統工具」>「系統還原」
DeepC現在用desktop出blog及email,MSN password 用不同的電腦改過兩次,而 Notebook呢,就還原到27 Mar 2008,另裝多一個 Spyware Doctor,以及用這個新software full scan左兩次,結果沒有大問題,多是廣告cookies 那類東東吧,將所有懷疑的東西己刪去,相信99%沒事了,但還會繼續觀察,跟平日一樣,而大家也要小心些啊。 :)
你言重了!能夠為你服務是小弟的萬幸才是!如果有任何需要,請隨時找我吧!
回覆刪除To Alexander, 謝謝您!
回覆刪除小心呵!有時真係防不勝防...
回覆刪除我有一個 adware 去 check spyware
但都要好小心。
所以若沒需要,免則可免...
hello! 你好!
回覆刪除其實 D anti spyware,喺咪就喺 spyware?
To linerak,
回覆刪除是啊, 所以大家都要小心!
不過呢, 定時 update anti spyware 及 scan電腦是有需要的, 如果不是的話, 中左招都唔知, 咁就唔好喇.
To 盈祉,
回覆刪除喜歡光臨!
Anti spyware 是防間諜軟件, 確實有利用諜軟的技術, 不過是用來作出防護, 所謂一物治一物, 知己知彼, 才有機會戰勝.
Anti spyware是被動性的, 用來保衛電腦及清理間諜軟件;
Spyware 是主動性的, 其技術日新月異, 可偷取電腦的資料及控制電腦, 亦有些專攪惡作劇, 多數唔係好嘢.
所以大家要好小心!
想請問有冇Mac用家,因我有朋友說收到我的message是如你所說的,在very前還有我的名字,不知會去到什麼情況。
回覆刪除pil_pil,
回覆刪除這個東西由 IM (即Instant Messaging, 例如 MSN) 發出, 不分 PC 或 Mac user 都可以中招.
而處理這個問題, 跟上文提及的要點做就可以.
簡單一點,
先改 IM 戶口的 password,
安裝 anti-spyware software (如己安裝就不用再裝),
更新 anti-spyware 的定義資料,
離線,
刪除所有Browser(如: IE, Firefox) 的Temporary files 和 Cookies,
Scan Virus,
Scan spyware,
而 restore/還原 Mac方面, 要視乎相關的Mac機有無restore software/function.
如果打算用重裝 Mac OS 方法, 也要改 IM 的password.
** 最緊要的是, 你的 IM password 也要改, 因為源頭的 IM 戶口繼續被竊用, 其他人會繼續收到相關message **
回應 pil_pil,
回覆刪除可能你有按網址, 不過基本上, 如果你是用 Safari 的話, 是不會送出任何資料。
有機會是你用別的中招電腦登入...
詳細的使用情況只有你自己才知道哦...
回應 DeepC,
我都有按連結,可是跑出來的是 Safari 本身的 page not found~
相信沒有 Virus / spyware 是能夠同時在 Mac / PC 運作罷...
在下午 26Apr2008 以匿名回應的朋友,
回覆刪除這個very cool stuff 的東西, 要份2部分看,
(1) 被人偷取 IM 的account 及 password;
(2) 按 message 後 forward 到有問題的網頁.
Re(1), 被偷取IM戶口資料途徑有許多, 有可能是在有問題的網頁進行過註冊, 又或電話被入侵 (如仲了spyware). 一旦被偷取IM戶口資料, 就可以按用戶口上的通信資料發放這些有連結的問題message, 而這message 可以在 PC / Mac 收到及啓動連結.
Re(2), forward 到有問題的網頁後, 如果最後的畫面是 page not found, 這不代表網頁沒有進過任何動作, 因為 forward到某個 webpage 後還是可以再forward 到其他 webpage, 期間有可能己啓動了些東西而不被察覺的, 所以不可以以最後的畫面作準.
另外, 假如成功打開連結網頁, 看到的是一個像 PerfSpot.com的網站 (這是我上次的經驗), 以及要求進行用戶注冊. 假如真的按指示註冊及提供戶口資料, 那就很容易會被偷資料.
還有一點, 就是暫時不多Virus / Spyware 可以同時在 PC & MAC 上運作, 但這技術是存在的, 所以不可輕視.
而very cool stuff 這個東西是以message 發放連結, 這些連結是隨時可以變動, 很難預知攻擊的對象是 PC 還是 MAC.
當然, 我也希望相關的朋友沒事, 但安全起見, 還是改password 及 scan 下台電腦好些, 以防萬一.
回應 DeepC,
回覆刪除同意你最後的一段,最好是在安全的電腦更改 Password。
畢竟 太多東西都是在破壞 Microsoft 的軟件...
PS: 我是用 Mac 的 AdiumX 上 MSN 的。=)
PS2: 問一下... 在 Mac 的世界裡,可以用的掃毒/防木馬軟件其實有多少?
我所知的Mac 用anti-virus 不太多, 不過推介以下的 web page, 內含Top 6 Macintosh Antivirus Software 介紹.
回覆刪除http://antivirus.about.com/od/antivirussoftwarereviews/tp/aamacvir.htm
有機會是你用別的中招電腦登入...
回覆刪除詳細的使用情況只有你自己才知道哦...
商務中心
公司註冊
樓上那位先生/女士,
回覆刪除不是你所說的那樣, 也許你沒有真實遇過, 也未看清楚上文。
最基本的一點是, 這東西(URL)不是virus, 是透過 MSN server 傳送message連URL給 MSN 用戶, 不關那些問題電腦的事。
還有一點更重要的是, 這隻東東己變種, 相關網頁己被封.
網誌管理員已經移除這則留言。
回覆刪除我所知的Mac 用anti-virus 不太多, 不過推介以下的 web page, 內含Top 6 Macintosh Antivirus Software 介紹.
回覆刪除kevinericwilliamandrewjuliancarsoncalebmasonrobert
hunterjoshuadanielethanhenryjacobdavid
michaeljose
blakejosephjesusnathansamuelisaacstevenjocely
網誌管理員已經移除這則留言。
回覆刪除