作者：Leo Yeh

每個人都很討厭收到垃圾郵件 (Spam)，所以選擇一個有良好過濾垃圾郵件 (Spam) 機制的電子郵件信箱，是非常重要的。而 Hotmail 除了提供良好過濾機制減少垃圾郵件出現在收件匣的數量，更重要的是越來越為客戶著想，如警政署與台灣微軟首次合作「緊急封鎖被盜用帳號」機制，讓台灣使用者用 Hotmail 時更安心。但您可能不知道有時候朋友寄的也會是垃圾郵件 (Spam)，其中的原因可能就是朋友的帳號被利用或電腦中毒了，此時該怎麼辦呢？以及您應該更想知道 Hotmail 有提供哪些安全的操作和防毒的機制，讓您更放心的使用吧！這期資安小常識將會告訴您確保電子郵件安全的六大心法，讓您使用電子郵件更安心。 

一、通知我朋友的電腦已被入侵

事實上微軟最近更新 Hotmail 新增「友人遭駭」通報機制，當您發現朋友發送奇怪的信件時，可能帳號早已被盜或被感染，可能被當成跳板大量的轉發垃圾信件 (Spam) 。而身為好朋友的您，此時就可以勾選該信件，並且選擇「標記為」中的「我朋友的電腦已被入侵」幫助他，通知他帳號早已被盜或被已經遭受病毒的感染，當然您的舉手之勞，能夠防止您的朋友不再繼續發送垃圾郵件  (Spam) 危害其它朋友。

雖然 Hotmail 有提供「我朋友的電腦已被入侵」和「網路詐騙」的功能，但您可能更想知道的是目前 Hotmail 對於垃圾郵件 (Spam)  的過濾的成效，根據這篇文章 90% less spam in Hotmail, 15% less spam on the Internet (英文) ，所提供的數據圖，讓您可以更清楚的了解，當微軟早在2006年就能有效的阻擋垃圾郵件 (Spam) 之外，也幫助全世界降低垃圾郵件  (Spam)  的數量，而目前 Hotmail 搭配的是 SmartScreen 安全機制的垃圾信件篩選功能。

圖片取自於 90% less spam in Hotmail, 15% less spam on the Internet

二、垃圾郵件過濾更安心

您可能認為垃圾郵件 (Spam) 的威脅很小，只不過很討厭或麻煩而已，但您可能不知道病毒也常常會透過垃圾郵件 (Spam) ，誘導使用者開啟郵件，此時電腦就會被中毒感染了，進一步您可能就會成為疆屍網路 (BotNet) 的一份子，建議您可以參考 How Bot-Herders Spam the World  (英文) 這部短短一分鐘的動畫影片，可以幫助您更快速的了解有效過濾垃圾郵件 (Spam) ，將能夠降低成為疆屍網路 (BotNet)的風險。

圖片取自於 How Bot-Herders Spam the World

三、線上聊天之防駭心法

當然透過 Hotmail 收信的同時，不僅能處理 E-mail ，還可以進行 MSN Messenger 和 Facebook Chat 的線上聊天，談到 MSN Messenger 您一定要知道三不一問，防駭心法，透過四小折和米滷蛋的漫畫，微軟讓資訊安全更有趣，讓您體會資訊安全的防駭不可怕，但人人都是主角，至於要如何有效的預防被駭，建議可以再參考之前的資安小常識「了解即時通訊上可能會遭遇到的攻擊行為」。

此外使用 Hotmail 進行 Facebook Chat 的社群聊天，微軟更提出幾點安全提示 (英文) 將能有效的幫助您更放心的使用：

1. 在聊天時請不要傳送密碼、金錢相關的資訊或其他敏感且機密資訊。
2. 在聊天時請小心不要點擊超連結，特別是如果你與陌生人聊天時。
3. 如果你允許你的孩子進行線上聊天或者使用社交網站，以確保它們符合最低年齡規定，一般來說是 13 歲以下不能使用。

遵守以上的安全提示，您將能更安心的進行社群聊天。

四、安全傳輸更放心

雖然 Hotmail 的功能變多了，但要如何確保傳輸是安全的呢？基本上是夠安全的，可是您不放心的話，可以透過 HTTPS 安全協定開啟 Hotmail 進行使用，至於什麼是 HTTPS 安全協定，若以密碼學的角度來看，可以將安全威脅類別一般可分為四類中斷 (Interruption) 、截取 (Interception) 、更改 (modification) 和仿造 (fabrication) ，透過 HTTP 搭配 SSL / TLS 傳輸安全，即可避免截取監聽和更改中間人攻擊等手段，操作如下：

在網址列輸入 https://www.hotmail.com
接著按下「一律使用 HTTPS 設定 (建議)」的按扭。

輸入密碼後，按下「登入」按鈕進行 Hotmail 以安全的方式進行登入。

 

當使用 HTTPS 連線時，您還可以點選網址列旁的圖示鎖
您就可以更清楚的知道這網站服務是否是被識別且被受信任
選擇「自動使用 HTTPS (請參閱上述注意事項)」，接著按下儲存
這樣一來，之後您不用特別輸入 HTTPS 就能夠以安全的方式使用 Hotmail。

但當您使用時，再按下網址列旁的圖示鎖，您可能會有疑惑，為何是藍色問號的圖示，而不是綠色勾勾的圖示，但不用擔心，只要簡單的步驟檢視憑證，即可使您得知是否要信任網站識別的憑證，操作步驟如下：

點選網址列旁的圖示鎖，再按下「檢視憑證」。


 


透過憑證的訊息對話框，您可以了解：
1. 憑證是發給 mail.live.com
2. 簽發者是 Microsoft Secure Server Authority
3. 有效日期是 2011 / 4 / 27 到 2013 / 4 / 26
4. 更詳細資訊，請切換至「詳細資料」和「憑證路徑」的項目檢視

五、安全登入多選擇

可是透過 HTTPS 加密傳輸密碼就真的很安全嗎？事實上公開金鑰的加密 (RSA) 已經夠安全了，但若您還是不放心的話， Hotmail 還有提供一次性的密碼保護，在不用輸入 Hotmail 密碼的情況下，進行登入，進行一次性代碼方式登入的步驟如下：
 

按下「取得一次性代碼進行登入」， 再按下「在此處取得」
一開始沒有人會知道一次性代碼，因為代碼是隨機產生的
所以您要取得一次性代碼，才能進行登入。

輸入您的 Windows Live ID ，以及 Windows Live ID 所設定的電話號碼
之後再按「傳送簡訊」的按鈕，若正確無誤，手機沒多久就會收到簡訊
簡訊中就會提到一次性的代碼。

 

沒多久您的手機就會收到 Windows Live 一次性代碼的簡訊。

 
輸入您的 Windows Live ID ，以及手機簡訊中的一次代碼
如果輸入正確即可進行 Hotmail 的登入。

可是您的手機可能會一直收不到簡訊，此時可能的原因有二個，第一個是您手機輸入錯誤，請重新輸入，記得手機號碼第一個 0 不用輸入以及選擇「台灣」，並且進行確認。第二個是您可能沒有設定 Windows Live ID 的行動電話，因此您只須要新增一筆行動電話號碼即可，操作步驟如下：

先以傳統帳號密碼的方式登入 Hotmail ，
再點選網頁右上角的姓名，接著按下「帳號」。
 

在密碼重設資訊下方的行動電話，按下「新增」。

 

輸入您的行動電話號碼之後，按下「新增」即可完成。

 

此時只需關閉此網頁，重新進行一次代碼的登入即可。

至於為何使用一次性代碼登入就會安全呢？簡單來說一次性代碼的除了是隨機產生，當要寄送簡訊時還必須符合 Windows Live ID 所設定的行動電話碼才會進行寄送，且最重要的是代碼只能用一次，下一次就不能使用，所以就算代碼被駭客中途欄截取得，駭客也無法再度使用該代碼進行登入了。

六、安全密碼更貼心

雖然您已經知道了 Hotmail 多元化的安全功能，安全的傳輸資訊和進行安全的登入機制，但是最後您的帳號還有一種可能會被盜，簡單來說，就是密碼被猜到了，而要如何有效的預防輕易被猜到呢？很簡單設定一個密碼安度強度達中或強的等級即可，而微軟 Hotmail 則提供更貼心的功能，在您輸入或更改密碼時就能得知密碼安度強度的等級，讓您更安心的使用密碼。

總結

微軟對於資訊安全的推廣不遺餘力，非常的積極，任何的軟體、服務和平台方面，皆整合微軟的使用和防毒機制達到多元化的防護，以 Hotmail 提供了上述所談到的至少包括六大心法保護使用郵件的安全：

1. 通知我朋友的電腦已被入侵
2. 垃圾郵件過濾更安心
3. 線上聊天之防駭心法
4. 安全傳輸更放心
5. 安全登入多選擇
6. 安全密碼更貼心

當然還有更多使用 Hotmail 的好處，但更重要的是微軟讓資訊安全融入人們的生活，不再只是資訊人才懂的常識，推廣至一般民眾了解資訊安全保護責任的重要性，更與政府合作讓台灣人民享受更優質的資訊安全網路生活。

參考文章

• 警政署與台灣微軟首次合作「緊急封鎖被盜用帳號」機制
• 了解即時通訊上可能會遭遇到的攻擊行為
• 三不一問，防駭心法
• 微軟最近更新 Hotmail 新增「友人遭駭」通報機制
• 90% less spam in Hotmail, 15% less spam on the Internet (英文)
• Safety tips for chatting with Facebook friends in Hotmail (英文)
• Hotmail: Three new security improvements (英文)

安全研究人員說：「一個新的和演進的殭屍網路 （ Botnet ），已經感染超過 400 萬台個人電腦，相當難以摧毀。」，以” TDL - 4 ”為名的這個感染電腦的木馬程式以及被入侵的電腦所組成的殭屍網路，是目前最複雜的威脅所在。

分析：

殭屍網路 （ Botnet ） 雖然已經被發現，但這會持續成為安全專家所探討的一個議題。有一些新的方法來打擊殭屍網路（ Botnet ） 以及駭客 （ Hacker ） ，這些駭客通常會利用無知或不關心資訊安全的無助使用者來乘虛而入。其中的一個方法是使用 DNS 作為惡意軟體和殭屍網路的戰鬥工具。這個工具可以阻止受感染的機器 “phoning home ”到命令和控制 ( C & C ) 伺服器。安全專家也沒有看到使用這工具與 DNSSEC 發生衝突且相信這將會是一個幫助殭屍網路問題日益成長的方式。

網路安全真的越來越好嗎？在思科 2010年度安全報告中，思科系統公司的研究人員認為是的。在 “ Adversary Resource Market Share ”（報告的第 37 頁）追蹤受到影響系統的數量，包括全球殭屍網路的規模和數量。在 2010 年結束時，其 Cisco Global Arms Race Index 的數值為 6.8，低於 2009 年 12 月的水平 7.2 。

根據美國聯邦調查局 （ FBI ） 的調查，談到了有關自從消滅 Coreflood 殭屍網路的現況。報告顯示出自從消滅 Coreflood 殭屍網路之後，受感染的機器數量已經下降（從四月開始，數量已經從 80 萬降到不到 10 萬）。

另外值得注意的是，微軟現在提供 25 萬美元獎勵懸賞緝捕負責 Rustock 殭屍網路的駭客。

Massive Botnet ‘Indestructible,’ Say Researchers

Computerworld

A new and improved botnet that has infected more than 4 million PCs is “practically indestructible,” security researchers say.

“TDL-4,” the name for both the bot trojan that infects machines and the ensuing collection of compromised computers, is “the most sophisticated threat today,” said Kaspersky Labs researcher Sergey Golovanov in a detailed analysis Monday [June 27, 2011].

Analysis:

Botnets have been reported in this publication and most likely will continue to be an issue for security professionals. There are new ways to combat botnets and hackers who take advantage of helpless users who don’t know/don’t care about security. One of those ways is to use DNS as a malware and botnet fighting tool. This tool prevents infected machines from “phoning home” to the command-and-control servers. Security expert Dan Kaminsky has seen no conflict with using this tool with DNSSEC and believes it will be a way to help [stem] the ever growing problem of botnets.

Is Internet security getting better? The Cisco 2010 Annual Security Report [PDF] from the researchers at Cisco Systems says yes. The “Adversary Resource Market Share” (page 37 in the report) tracks the number of compromised systems including the size and number of worldwide botnets. At the end of 2010 their [Cisco Global Arms Race Index] reading was at 6.8, down from December 2009 at a level of 7.2.

According to a declaration [PDF] from Kenneth Keller of the U.S. Federal Bureau of Investigations (FBI), who talks about the current conditions since the takedown of the Coreflood botnet. Of special interest is the chart (page 3) showing the amount of beacons (infected machines) that have gone down since the takedown of the Coreflood botnet (from almost 800,000 to less than 100,000 since April).

Also of note, Microsoft is now offering a US$250,000 reward for information leading to the arrest and conviction of those responsible for the Rustock botnet.

作者：資安顧問 Taien 、 Leo Yeh

Windows Live 程式集中有一個對於家庭有小孩非常好用的功能但是鮮為人知 ，它就是家長監護服務 （Windows Live Family Safety）。

一般的家長常見的問題有：

1. 擔心小朋友使用電腦太久。
2. 怕小朋友在沒有家長的情況下去上不該上的網。
   （你知道我在說什麼的，網路發達阿！）
3. 遊戲含有暴力、色情等
4. 程式不適合小孩或有安全隱憂。

這些 Windows Live 家長監護服務都可以幫大家解決，以往家長要達到這樣的目的需要額外安裝第三方的軟體，因為運作方式的關係，它可能是後門，讓你的電腦門戶大開。微軟致力於兒童安全的部分，因此早在 XP 時代就有 Windows Live OneCare Family Safety ，在產品裡內含美國兒科醫生學會基於年齡的網際網路使用指引，讓這個功能是受過驗證且可以真的協助家長。 

家長監護服務

基本上有以下幾個大功能：

• 網站篩選
• 時間限制
• 遊戲限制
• 程式限制
• 活動報告
• 連絡人管理

操作過程

• 前置作業
  （下載安裝家長監護服務、設定家長與小朋友用戶）
• 設定監控用戶
• 家長監護服務監控設定
  （1. 網站篩選、2. 時間限制、3. 遊戲限制、4. 程式限制、5. 活動報告） 

前置作業

下載免費家長監護功能，讓孩子無虞悠遊在網路世界！

http://www.microsoft.com/taiwan/citizenship/news/news_110624.aspx

請到MSN網站下載 Windows Live 程式集內含有家長監護服務，大多數人比較常用的應該是 Windows Live Messager ，如果大家有空不如把他全部安裝，裡面有很多實用的軟體 如：Movie Maker。

如果你在繁體頁面下載安裝後是英文版的，
請在全球下載這裡選擇中文 繁體下載。

在安裝的時候你可以發現這包內含許多軟體。

官方敘述 － Windows Live 程式集 2011 包含以下軟體：Messenger、影像中心、 Movie Maker、Mail 郵件軟體、Writer、家長監護服務及 Windows Live Mesh，再加上 Bing 工具列、Messenger 分享元件、 Microsoft Silverlight 及 Outlook Connector 套件 （Microsoft Outlook Hotmail Connector 和適用 Windows Live Messenger 的 Microsoft Outlook Social Connector Provider）。

設定家長與小朋友用戶

如果您的電腦是家裡人共用，請先新建一個給家長帳號 （系統管理員），如果已經有了則不用。

家長

控制台 > 使用者帳戶和家庭安全 >
使用者帳戶中的新增或移除使用者帳戶 > 建立新的帳戶

 帳號請自行取，建議家長最好是系統管理員
記得設密碼避免小朋友來使用。

 
小朋友

控制台 > 使用者帳戶和家庭安全 >
使用者帳戶中的新增或移除使用者帳戶 > 建立新的帳戶

帳號請自行取，建議小朋友最好是標準使用者，
方便小朋友使用就不用另外設密碼。

選擇爸爸 （家長）的帳號進入做設定。

Windows Live 家長監護服務提供線上網站來給您做設定與監控，
您必須要有 Windows Live 帳號。

登入後選擇要監管的小朋友帳號。

設定小朋友監管的 Windows Live 帳號，服務會從該帳號更新規則
有時候你設定完後，發現系統尚未按造你的規則是因為尚未同步，
等一下就會正常了。

這樣就完成本機的設定，可以看到網站篩選與活動報告都是關閉的
我們要去網站做設定，點選圖中的移至家長監護服務網站：
familysafety.live.com

 登入你的Windows Live帳號。

可以看到目前的設定狀況，讓我們一個一個開啟這些功能。

家長監護服務監控設定

1. 網站篩選功能

點選開啟網站篩選功能，這裡有多項規則提供家長快速使用，家長可以看介紹自行選用您的小孩適合怎樣的規則，我為了測試效果這裡選擇最高等級 （僅限允許清單），讓小朋友只能看我手動允許的網站，選這個選項一定要自己去網站篩選清單允許才可以上網。

在網站篩選清單加入 tw.msn.com ，只允許使用者上 MSN 網站來測試效果。

網站篩選功能效果
 
根據我們的規則小朋友可以上 tw.msn.com 網站。

點選其他網站 如： tw.yahoo.com ，可以發現是被封鎖的，如果小朋友做作業需要上該網站可以發出請求。

• 以電子郵件發送要求：家長可以網站上評估是否允許。
  
• 親自詢問：程式會出現視窗讓家長直接授權。
  

以電子郵件發送要求
 
出現以下畫面後，在管理員的帳號會收到要求授權的訊息。

此時你會看到你受監護的人發的要求，你可以自行選擇要不要允許，一但允許後小朋友。就可以使用該網站了。

2. 時間限制

選擇開啟時間限制，藍色的區塊是封鎖，設定的方法很簡單，只要去點選你不希望小孩使用的時間就好了，如果要取消請在點一次。這裡我示範十二點禁止小孩上網 ，因為該吃飯了。

時間限制效果

在非使用時間小朋友無法登入系統使用。

3. 遊戲限制

選擇開啟遊戲限制，如果該遊戲有加入遊戲分級系統，這時候小朋友如果執行不屬於自己的分級就會被封鎖動作。

4. 程式限制

選擇開啟程式限制，點選你不希望小朋友使用的程式，如果小朋友點選到就會看到封鎖警告。

程式限制效果
 
我們限制了 Windows  Media Player 避免小朋友讀書聽音樂分心，如果小朋友開啟就會出現程式被封鎖的警告，同樣得如果小孩要使用可以透過請向管理者取得權限來請家長來授權。

5. 活動報告
 
在此我們可以看到小朋友的上網行為與相關電腦活動，讓您即時掌握小朋友的動態，提供小朋友健康的電腦環境。

後記

家長監護服務 （ Windows Live Family Safety ）免費的提供了家長控管小朋友的電腦活動與上網行為，讓他們可以在健康的環境下使用電腦資源。微軟在其他產品中也有針對小朋友安全的一些設計像 Microsoft® SmartScreen 可以協助家庭過濾威脅、Xbox 360 and Kinect Safety 家庭安全功能、PhotoDNA 追蹤兒童色情物件技術協助掃除有害兒童的色情資訊…等。使用者可以關注微軟家庭安全來取得相關安全的資訊。

其他資料

• 家長監護服務網站篩選功能如何運作？
• 使用家長監護服務保護孩童

 作者：資安顧問 Taien

目前帳號被盜為當前網際網路所廣泛面臨的挑戰，其潛在危機深切的影響所有網路郵件服務、電子商務服務、即時通訊安全、與社交分享服務。在即時通訊軟體上攻擊者透過詐騙、釣魚網站的方式騙取受害者的金錢與帳號已成為一個嚴重的問題。繼 3 月份資安小常識：您是即時通訊上詐騙手法的受害者嗎? 購買點數前請務必停、看、聽！，儘管最近大家的防備心提高了，但仍有惡意人士持續地進行詐騙行為，本篇文章將以最新收集到的 MSN 詐騙案例為例作分析，讓使用者可以提高警覺。有許多使用者會收到幫忙點擊衝人氣的訊息，除了不要理會該連結外，建議您也通知一下該用戶「帳號可能被盜，請盡快在其他安全電腦更改密碼且將自己的電腦進行全面的掃毒，以防止修改密碼之後還是會發送惡意連結」。因為 Windows Live Messenger 登入時帳號密碼在傳輸過程中皆有加密。因此，如有更改密碼還是會散佈惡意訊息者，極有可能是因為電腦中已經被安裝了後門程式。

案例一：離線訊息，引誘點擊網頁

案例二：委託你買點數卡

買點數不成，更改策略要求你點擊他給的網址

本案例中，僅僅是釣魚網站，如果是含有惡意程式網頁甚至可以主動植入後門程式，因此只要是來路不明網頁建議都不要點擊。

分析：

此惡意連結經追蹤都是連到 IP 位址 98.126.160.243，有多種變形，如：msn.wretchcmyblog.com、mail.wryochcccmyblog.com … 等。連上網站後會出現登入 Windows Live 的畫面，一旦輸入自己的帳號密碼登入，系統便會將您的帳號密碼透過網頁下的 /cn/add.asp 程式記錄下來，並在記錄完後將畫面導回正確的 Windows Live 登入畫面，讓您以為登入失敗，但已達成他竊取帳號密碼的目的。

惡意釣魚網站 (請注意：請勿在本網站輸入帳號密碼)

網頁帳號密碼傳送位址

MSN詐騙事前預防方法，「三不一問」網路防駭四守則：
　• 不點來路不明的連結（常見案例: 要求點擊連結衝人氣）
　• 不裝非官方網站上允許的外掛程式（常見案例: 要求安裝一樣的酷炫外掛才可以與對方一起對話或是進行遊戲）
　• 不用相同帳號密碼登入不明網站（常見案例: 不在官方合法網站上進行登入）
　• 問清楚即時通訊好友傳來的要求 (常見案例: 買點數，購買虛擬貨幣或是寶物)

遭受詐騙後處理方法：
　• 如收到該訊息，除不理會外，請通知該發送用戶電腦可能中毒
　• 發送訊息端用戶，請盡速在安全的電腦更改密碼，並將中毒電腦進行全面掃毒或重新安裝
　• 如無法變更密碼，請立刻到帳號密碼恢復網址填寫資料，線上客服人員會在第一時間協助您處理帳號問題

更多詳細方法，請參考：[資安小常識] 您是即時通訊上詐騙手法的受害者嗎? 購買點數前請務必��、看、聽！

 作者：資安顧問 Taien

當年某男星送修電腦的事情彷彿一場夢一樣轉眼間快三年了，這個教訓讓許多人在修電腦的時候都特別注意自己的私密資料是否安全，麻煩的是需要透過特殊的抹除軟體或是第三方加密軟體來達到保護的效果，為什麼 Windows 沒有這個功能，而 BitLocker 正好在大家期望下所問世…

BitLocker

以往 Windows 使用者如果要保護電腦資料，只能透過內建加密檔案系統或是第三方軟體來保護電腦資料，可惜的是 Windows 內建加密系統不能對整個硬碟做加密，因此如果有心人士想要破解還是有地方可以鑽，然第三方廠商所開發的加密軟體則是因為各家不同的實作，因此最常遇到的問題就是如果要讀取資料還需另外安裝外掛造成不便。
因此微軟在 Windows Vista 內建了磁碟加密解決方案也就是 BitLocker，而 BitLocker 也在 Windows 各個版本中也持續的改進，如下

現在的 BitLocker 已經能提供相當完整的功能，它有幾個特色

1. 完整磁碟機加密，透過 BitLocker 可以對整個硬碟做加密，有心人士無法藉由透過其他作業系統，或是其它軟體來讀取到機密資料。

2. 早期開機元件的完整性檢查 ( Integrity checking of early boot components )，BitLocker 為在 BIOS 開機時期進行檢查，以確保系統不被竄改，待完整性檢查無誤與拿到正確的金鑰後系統才會開始解密。

3. 冷開機攻擊保護 (cold boot attacks)，透過 PIN 碼或是有金鑰的USB裝置來讓系統開機或從休眠甦醒。

4. 簡化硬碟回收作業，在以往硬碟更換時，總是要小心硬碟機敏資訊被還原回來，按造美國國安局 NSA 規範至少要複寫 7 次才算安全，而對於被 BitLocker 加密過的硬碟只需要將解密的金要移除即可，回收到的人沒有解密金鑰完全無從下手。

5. 擴大加密裝置，除了加密保護本機硬碟還可以加密 USB 快閃磁碟機及外接式硬碟。

Windows7BitLocker 介紹

1.本機系統碟加密

在磁碟上按右鍵點選開啟 BitLocker

BitLocker 系統準備檢查畫面，如果您的電腦是出現找不到 TPM 模組，請參考最後的附件，這個部分檢查完會重新開機才正是進入加密的設定

這裡我們示範沒有 TPM 模組的加密方式，因為沒有 TPM 所以我們目前不能設定PIN，而且我們必須準備一支 USB 裝置來儲存啟動金鑰，而因為我們是將啟動金鑰儲在 USB，因此之後開機都必須有支設備，否則便會出現「需要 Windows BitLocker 磁碟機加密金鑰-插入金鑰儲存媒體」的訊息，好那…我們準備好 USB 就可以開始了

選擇儲存的 USB 設備

選擇[將修復金鑰儲存到 USB 快閃磁碟機中]

加密磁碟前需要檢查系統的狀況是否都設定好

接下來重新啟動系統，加密的動作就會開始

加密完成後，我們可以看到 C 磁碟多了一個鎖，便完成了加密動作，這是就算是拿到其它硬碟沒有金鑰也無法存取裡面資訊。

2.加密隨身硬碟

在 USB 隨身碟按右鍵點選啟用 BitLocker

設定解除 BitLocker 鎖定的密碼，千萬要記得這個密碼，以後要透過這組密碼才可以存取加密的磁碟

修復金鑰正是用在您忘記密碼的時候，所以務必把這組金鑰存好，假設連這組都忘記，那微軟也沒辦法幫你了

加密完硬碟後，可以看到隨身碟上多了鎖，這時只有輸入正確密碼才可以存取設備

加密完的硬碟可以在 Windows Vista 與 Windows 7 正常的存取，在 Windows XP 需要安裝更新才可存取加密的相關檔案。

Windows XP BitLocker To Go 讀取裝置更新檔：
http://www.microsoft.com/downloads/details.aspx?FamilyID=64851943-78c9-4cd4-8e8d-f551f06f6b3d&DisplayLang=zh-tw#filelist

系統安全分析

為了證明加密磁碟的安全性，我透過自己作的電腦鑑識分析光碟裡面的兩套商業軟體 FinalData 與 R-Studio 來嘗試看看是否可以讀取加密碟的檔案，不幸的是 FinalData 連加密硬碟的格式讀取都有點問題，我試著用 R-Studio 來解析加密碟，好不容易掃完的結果卻無法挖掘上面的任何檔案，這也簡單得確認了它的安全性，並印證他說得如果沒有金鑰硬碟就像是新的一樣也簡化了回收程序。

R-Studio 掃描分析被 BitLocker 加密的磁碟

可以看到分析完後在 R-Studio 找不到加密碟裡面的任何資料

補充附件：在沒有 TPM 模組的環境啟用 BitLocker

如果在 USB 裝置按右鍵找不到開啟 BitLocker，或是出現找不到 TPM 請作以下兩個步驟

開始功能表搜尋輸入 gpedit.msc 開啟本機群組原則編輯器

電腦設定>系統管理範本> BitLocker 磁碟機加密

1. ［設定磁碟機加密方法與加密長度］狀態更改成「已啟用」並選擇加密方法「具有 Diffuser 的 AES 128 位元(預設)」
2. 作業系統磁碟機>［啟動時需要其他驗證］狀態更改成「已啟用」並確認在「不含相容 TPM 的情況下允許使用 BitLocker」被勾選

完成這兩個設定後，便可以在沒有 TPM 模組的環境下透過 USB 來加密存取系統碟

結論

BitLocker 幫助使用者從裡到外完整的保護資料，因此如果您的電腦有這個功能，千萬不要吝嗇使用它，它可以幫您保護公司重要機密與私密檔案的最佳拍檔。

參考資料

• Windows 7 BitLocker Executive Overview
• BitLocker 磁碟機加密啟動金鑰如何提供較高等級的保護？

為什麼又要老生常談這個攻擊呢？因為今年開始各手機廠商已經進入戰國時代，手機商為了要與眾不同可以看到現在紛紛推出了社群網站專用機，而社群網站與 Web2.0 平台就是最容易遇到所謂的 XSS 攻擊，可以遇見的是在手持裝置支援越來越多，XSS 也將更無遠弗屆，你也許覺得這個東西離你很遠，那就讓我們來回顧一些相關的新聞：

2006/11/21 無名小站遇「駭」 個資流入中國
2007/07/03 Yahoo! 郵件 (XSS 攻擊) - 影片
2009/04/11 17 歲少年：Twitter 的 XSS 蠕蟲是我做的
2009/06/22 FB HIveg 聲稱破解 Facebook 可以讀取設定不共享資料用戶的資料
2009/06/27 誰在看我的噗？第一回：DOM 沙盒 vs 跨網站腳本漏洞（XSS）- Plurk XSS
2010/03/13 Apache.org 被 XSS 攻擊，造成密碼外洩
2010/07/27 攻擊 Facebook 的 XSS 弱點-影片
2010/10/03 Facebook 的 XSS 攻擊，如何建構破壞性的蠕蟲-影片 ...

攻擊 Facebook 的 XSS 弱點-弱點驗證影片

由上我們可以看到常見的社群網站 (Facebook, Plurk, Twitter…)、Web 相關服務 (Yahoo Mail, Yahoo! Login) 等甚至是 Apache 官方受到 XSS 攻擊而吃上悶虧，它與以往的攻擊不太一樣，有句跨站腳本名言說『廠商出包，駭客真爽』，也就是說儘管今天是服務提供者出了問題，但實際造成損失的大多是一般的使用者，雖然官方有時也會有損失。駭客會透過精心建構的攻擊語法放置在網頁上、郵件中甚至是網址等各個你會碰觸到的地方。它主要都是透過執行網頁程式時觸發攻擊，一不注意的結果下場就是隱藏相簿外流、帳號遭挾持、電腦被控制、視訊被偷看，因此建議在瀏覽不信任網頁的時候，請關閉 JavaScript 的功能，或是全面使用Internet Explorer 8 (IE8) 甚至是最新的 Internet Explorer 9(IE9) 內建的跨網站指令碼篩選器來自動保護您。

其實 IE8 已經設計多項資安功能(跨網站指令碼篩選器、InPrivate 瀏覽、SmartScreen 篩選、網域醒目提示)，而 IE9 更進一步的提供了(追蹤保護、附加元件效能警告器、ActiveX 篩選、索引標籤隔離與復原)，並透過更簡單的介面來全面提升一般使用者的網路安全，接下來讓我們來看看這 8 個為了使用者安全設計的功能

IE9 資安功能1 - 跨網站指令碼篩選器

這個功能最先講的原因是因為它可以有效保護我們在社群網站遇到隱藏的 XSS 或是 CSRF 的攻擊，IE8 開始內建的跨網站指令篩選器便不須額外啟動就會自動保護，唯一的缺點是以往程式設計師不安全的寫法需要自行做修正，以免造成使用者的不便，對一般使用者幾乎沒有任何影響。以下我們設計了幾個攻擊語法來實際測試各版本的防禦效果：

XSS 測試攻擊語法 1：
<IMG SRC="javascript:alert(document.cookie+', This XSS Attck');">

Internet Explorer 9 防禦效果

IE9 成功防禦 XSS 攻擊, 攻擊失效

Internet Explorer 8 防禦效果

IE8 成功防禦 XSS 攻擊, 攻擊失效

Internet Explorer 6 防禦效果

IE6 沒有防禦功能, 可以看到攻擊觸發彈出視窗

XSS 測試攻擊語法 2：
index.php?get=<img src="javascript:alert('xss')">

Internet Explorer 9 防禦效果

IE9 跨站腳本過濾器提示，並自動將攻擊語法替換為<img src=?javasc#ipt:alert(?xss?)?>

 

Internet Explorer 8 防禦效果

IE8 跨站腳本過濾器提示，並自動將攻擊語法替換為<img src="javasc#ipt:alert('xss')">

Internet Explorer 6 防禦效果

IE6 完全沒有做防禦, 測試攻擊又被觸發

IE9 資安功能2 - InPrivate瀏覽

IE9 工具列＞工具＞安全性＞InPrivate 瀏覽功能 (Ctrl+Shift+P)

開啟 InPrivate 瀏覽模式後，網址列出現 InPrivate 字樣

InPrivate 瀏覽協助您實現隱私瀏覽的功能，當在別人的電腦，或是您有一些私密的上網行為不希望被紀錄或是有心人士取得您的上網紀錄與資料，請使用這個功能它可以讓您走過不留痕跡。詳細的運作請參考：http://windows.microsoft.com/zh-TW/windows-vista/What-is-InPrivate-Browsing

InPrivate 瀏覽在關閉瀏覽器後絕對不會紀錄您的上網資訊

這時候有女朋友的你就不用擔心偷看正妹圖被正宮女友抓包了，真的是保護愛情必備良藥阿。

IE9 資安功能3 - SmartScreen 篩選

IE9 工具列＞工具＞安全性＞啟動 SmartScreen 篩選工具(預設是開啟的)

在 SmartScreen 篩選啟動的狀況下如果網站是釣魚網站 (Phisging website)，IE9 便會自動警告您這是一個釣魚網站並出現警告頁面避免使用者遭受攻擊(當然如果您發現是誤報可以回報給官方)

釣魚網頁警告

如果網站是惡意網站 (Malware website)，IE9 一樣會自動警告您這是一個惡意網站，並提示您這個網站可能遭受病毒或是有惡意程式連結，提醒您再次檢查無誤後再瀏覽。

惡意網頁警告

在 SmartScreen 篩選關閉的狀況下您也可以自行檢查網頁是否有問題

IE9 工具列＞工具＞安全性＞檢查此網站

SmartScreen 的檢測報告

IE9 資安功能4 - 網域醒目提示

IE9 貼心的為你把網域名稱作提醒，避免您不小心掉入了釣魚網站中，有了這樣功能下次在瀏覽網頁的時候，就可以一眼看穿有問題的網址了

IE9 資安功能5 - 追蹤保護

一般網站為了要分析使用者的使用習慣或是其他需求需要取得使用者資料來作行銷或其他分析，這時候網頁中會有一些紀錄程式來追蹤您的資訊及行蹤，據統計目前有 2.55 億個網站使用 cookie 來儲存或是監控使用者資料，因此 IE9 提供了追蹤保護功能，您可以限制這些要追蹤您行為的網站保護您的隱私。

IE9 工具列＞工具＞安全性＞追蹤保護

在追蹤保護的編籤，需要自己起用個人化清單

這裡可以看到追蹤您狀態的提供者，您可以在這裡封鎖/允許它們

IE9 資安功能6 - 附加元件效能警告器

以往使用者會自行加入許多的附加元件造成瀏覽器整體效能下降，IE9 提供附加元件效能警告器會持續監控各元件，主動通知您停用有問題的元件或是修正問題，讓您的瀏覽不會再找不到變慢的原因。

IE9 資安功能7 - ActiveX 篩選

ActiveX 是網頁常用的一種技術，它可以讓開發人員對網頁作更豐富更流暢的操作，許多銀行也用 ActiveX 來開發相關的登入程式，但控制的多，危險也相對許多，而 ActiveX 篩選可以讓您封鎖所有網站的 ActiveX 控制項，然後僅開放您信任的網站，讓您可以有效的對付這些危險又不可靠的 ActiveX 控制項。

IE9 工具列＞工具＞安全性＞ActiveX 篩選

ActiveX篩選開啟

 

IE9 資安功能8 -索引標籤隔離與復原

以往在 IE 的標籤頁崩潰壞掉的時候總是連帶得讓其它一起的標籤頁掛掉，這次微軟修正了這個問題讓壞掉的頁面不會影響其它的分頁而且系統會自動重新載入讓您回到當機前瀏覽的畫面，真正達到瀏覽不中斷。

後記

看到了這次 Internet Explorer 9 這麼多的資安功能，您可以檢查看看手邊的瀏覽器是否有這功能，如果沒有請盡快更換，因為駭客的攻擊永遠不會等你，多一分小心就多一分保障，希望大家都可以安全地享受網路世界，IE9 其他高效能與強大的瀏覽效果就留給大家玩了。

其它資料：

台灣IE9官網：http://windows.microsoft.com/zh-TW/internet-explorer/products/ie-9/home

IE9與其它瀏覽器比較：http://windows.microsoft.com/zh-TW/internet-explorer/products/ie-9/compare-browsers

原文：Taien's blog - IE9可成功阻擋99%來自社交網站惡意軟體的攻擊

相信各位對於以下的線上即時傳訊對話內容可能相當熟悉，可能是你周遭的親朋好友甚至是你自己經身經歷過這樣令人不悅的線上詐騙經驗。這樣的線上詐騙事件已經是過去這段時間以來「最常見的詐騙管道之一」。

是的，詐騙集團早就將詐騙的管道從以往常見的電話詐騙如以下：

• 偽裝有人委託黑道要斷你手腳或是殺千刀，要你轉帳擺平消災
• 電話中傳來哭很慘的聲音，說小孩或是你的誰正在被苦毒要你付贖金
• 喬裝警務人員說你帳戶有問題，要你配合調查凍結戶頭不然抓去關
• 電視／線上購物有消費與溢收問題要你提供個資與帳戶做處理，不然虧很多

隨著提款機的操作越來越受到限制，轉帳金額每日限制也更嚴謹的當下，犯罪集團將焦點轉移到一塊犯罪新天堂「線上社群／線上遊戲／線上即時對話」。因為對上述的傳統管道來說犯罪者的風險可能有

• 現金交付，可能鈔票被做記號／號碼被追蹤、可能被當場抓
• 轉帳付款，可能在取款時被逮，其他管道可能露餡

因此線上社群／線上遊戲／線上即時對話擁有犯罪者最愛的環境條件可以供其發展犯罪的手法與管道，譬如隱密性，線上遊戲寶物／點數卡的金額可觀與上線者時間很彈性等，更增加得手成功的可能性與犯罪誘因。更重要的是現在犯罪者更加上了以往在現實環境中才會發生的「社交工程」手法來誘騙當事人的信任感導致詐騙成功機會倍增。

其實線上詐騙並不侷限於哪平台，在筆者的調查與分析中，主要的線上即時通訊管道均有發生；唯一不變的是，往往有一些特徵會出現，在這邊提供各位做參考以避免遭詐騙卻渾然不自知；

• 友人從線上對話中，邀你衝人氣前往未知的網址進行瀏覽
• 友人從線上對話中,請你幫忙購買線上遊戲點數卡之類的有價虛擬貨幣
• 陌生不明帳戶要求加入你的MSN友人清單
• 友人或是不明來源的聯絡人，要求你使用MSN外掛程式

上述的情境，是目前大多數發生線上詐騙事件時，相當常見的狀況：因此如果當你在線上交談時，發生這些情境時，務必遵守以下「三不一問」網路防駭四守則：

• 不點來路不明的連結（常見的案例是莫名要求充點閱人氣）
• 不裝非官方網站上允許的外掛程式（常見案例是要求安裝一樣的酷炫外掛才可以與對方一起對話或是進行遊戲）
• 不用相同帳號密碼登入不明網站（常見案例是不在官方合法網站上進行登入）
• 問清楚即時通好友傳來的要求(常見的案例買點數，購買虛擬貨幣或是寶物)

而最重要的是，如果你真的想要幫助你的朋友，請您切記在真實環境中與您的友人透過熟悉可信任的管道聯繫確認（如電話），以確認他／她的需求。小小的一個動作，一通電話不僅可以避免您遭受詐騙的風險，也順便連繫起彼此的友誼其實一舉數得不是嗎？

萬一你發現帳號被盜，或者出現帳號無法登入的問題，請不要慌張，立刻到帳號密碼恢復網址填寫資料，線上客服人員會在第一時間協助您的帳號問題，同時間您也可以參考 帳號密碼恢復教學。保護帳號密碼安全，防範勝於治療，您可以透過以下的連結獲得更多有關於如何防止線上詐騙的小訣竅： http://ent.msn.com.tw/plus/msn/OnlineSafety/ ；同時如果您在線上對談時，發現任何可疑的連結網址，都可以寄送至微軟的個資保護中心（mstcppc@microsoft.com），作為我們後續在網路犯罪偵查上的資訊，讓我們一起共同對線上詐騙Say No!

作者：資安顧問Taien

DEP（Data Execution Prevention）資料防止執行是微軟在 Windows XP SP2 加入的一項安全性功能，之後的每個版本如（Windows 7、Windows Vista、Windows Server 2008 R2…）都有 DEP 資訊安全功能。到底什麼是DEP呢？

資料防止執行（DEP）

它將處理程序中的所有記憶體位置標示為不能執行，除非位置明確包含可執行的程式碼，而許多的病毒程式就是利用這裡來獲取執行權限或是更高的權限。以後如果嘗試執行這些區塊 Windows 便會自動關閉程式。因此您可以知道，假設今天病毒想攻擊某隻程式散布或入侵，如果利用到的區段是受到DEP保護，則它的攻擊就會失敗，這與一般的防毒軟體檢查病毒的行為與特徵碼是不同的。

DEP 在哪裡？

• 如果您是 Windows 7/Vista:在[電腦]圖示上按右鍵，選擇內容＞進階系統設定＞進階標籤＞效能設定＞資料防止執行
• 如果您是Windows XP: 我的電腦按右鍵>內容＞進階標籤＞效能設定＞資料防止執行

運作方式有兩種

硬體：需要CPU處理器的支援，不過近年市面上的處理器大部份都是有支援DEP的。

軟體：若您的 CPU 是不支援的，則 Windows 會透過軟體來模擬，它會在記憶中為儲存的資料自動增加一組特別的指標來協助表示，但防護效果可能就不如硬體來得有效。

DEP保護的模式有兩種：

1. 只為基本的 Windows 程式和服務開啟 DEP：雖然 DEP 在預設都是啟用的，但在這裡僅保護 Windows 核心二進位檔案和程式，不保護 Windows 中執行的其它微軟或第三方軟體。
2. 為所有的 Windows 程式和服務開啟DEP（建議使用）：在這個等級會為系統保護所有執行檔案，因此像在微軟的伺服器平台Windows Server 2008 R2便會預設選擇這個選項。

開啟 DEP 可以大大提高駭客攻擊的難度，尤其是選擇為所有程式與服務開啟 DEP 的功能，但是有些遊戲或是大型軟體如 ERP、CRM...軟體，可能透過某些程式技巧提高效能，但由於DEP開啟狀態下導致無法正常執行，這時候請點選新增設定例外清單，如下圖示範將 KMPlayer 增加為例外清單，但請注意這時 KMPlayer 就不受 DEP 的保護，因此使用者必須慎選加入例外清單的項目。

見下圖：尚未開啟DEP，可以看到許多第三方程式還未受到DEP保護。

見下圖：開啟DEP並重新開機後，可以看到所有程式皆受到DEP保護。

故意散布惡意程式碼的人，一定不會錯過能讓他們傳播惡意程式碼的各種機會。而新年度的來臨，更是能讓他們大顯身手，將創意發揮在不知情使用者電腦上的好機會。我們也已經看到有人惡意濫用這個全球都在歡慶跨年節日的時間。在大多數情況下，這些垃圾電子郵件看起來像是正常的「新年快樂祝賀郵件」或以「新年」為主題的問候。

以下是最近發生的一個案例：

正如您所看到，影片必須使用假冒的Adobe Flash Player 版本，才能夠播放。您可能已經意識到，這只是誘騙您下載惡意程式的一個技巧，這個案例就是著名密碼偷竊程式 Win32/Zbot (SHA1：6C5B80A73B4B728D7DF8BFBB142E10A6A29A0950) 的變種。這個程式一旦執行，會將本身投射到 Explorer.exe 位址空間，企圖繞過資訊安全防護。當程式與網際網路連線時，會觸發類似如下的資訊安全警報：

另一個利用新年的惡意程式碼案例，與另一篇稍早的網路文章 (英文) 有關。Exploit:Win32/CVE-2010-3333 (00d9af54c5465c28b8c7a917c9a1b1c797b284ab) 其中一個會植入惡意程式碼的樣本，偵測為 TrojanDropper:Win32/Meciv.A 和 Backdoor:Win32/Meciv.A。為了隱藏植入惡意程式碼的活動，它還會放入乾淨的 DOC 檔案，裡面包含下列新年賀詞：

這段文字是俄文，意思是：「親愛的同事和朋友！新年快樂！」

雖然這不是新的技術，但是所採行的社交工程，實際上可能會欺騙使用者執行這些惡意程式碼，因為人們認為迎接新的一年是喜事，通常寧願認為他們看到的是祝福，而不是欺騙。

我們一如往常的建議您保持警覺，並仔細檢查包含問候和以節日為主題電子賀卡的所有連結和電子郵件，尤其是您從未接觸過的陌生人或企業的來信。

非常感謝反垃圾郵件團隊同事 Kai Yu 為我們提供樣本。我們誠摯地祝您「新年快樂！」，並且享受一個沒有惡意程式碼騷擾的新年！

 Andrei Saygo、Patrik Vicol 與 Rodel Finones(本篇文章原文)

不論您是在線上查看銀行帳戶餘額、繳納帳單費用、付款、購物或銷售商品，以下 6 大法則可協助您將風險降至最低。

1. 協助電腦抵禦來自網際網路的威脅

使用防火牆、防毒及反間諜軟體來協助保護您的線上交易。將家用的無線連線加密。透過自動更新，讓所有軟體 (包括網頁瀏覽器) 保持在最新狀態。如需詳細資訊，請參閱協助保護您電腦的 4 步驟 (英文)。

2. 建立「強式密碼」

「強式密碼」是指您自己容易記住但別人很難猜中的密碼。強式密碼的長度至少需有 14 個字元 (建議密碼長度越長越好)，並需包括數字、符號及大小寫的英文字母。如需詳細資訊，請參閱了解如何建立強式密碼 (英文)。如果您已有想用的密碼，可以透過此網站檢查您的密碼強度 (英文)。

• 請審慎保護您的密碼和 PIN (個人識別碼)。請勿在電子郵件、立即訊息或電話中分享該資訊。
• 針對銀行帳戶和其他重要財務資訊，請使用獨特的密碼。請避免在每一處使用相同的密碼。如果有人竊取該密碼，則該密碼保護的所有資訊均有風險。

3. 自行尋找所需的網址

電子郵件訊息、簡訊、立即訊息或快顯廣告中所含的連結，可能會將您導向至看起來合法但其實不然的網站。若要瀏覽網站，請自行輸入網址，或使用您自己的書籤或 [我的最愛] 以連結至該網站。

4. 尋找能證明您資訊安全的標誌

您在網頁上輸入機密資料之前，請先確認：

• 該網站是否使用加密。加密是指在您的資料跨越網際網路時，可協助加以保護資料的一項安全措施。加密的跡象包括含 https ("s" 代表「安全」) 的網址，以及旁邊有一個關閉的鎖頭 (鎖頭的標誌也可能出現在視窗右下方)。
   
• 假設您進入正確的網站，例如您網路銀行的網站，而非假造的網站。如果您正在使用 Internet Explorer，其中一個能證明這是可信賴網址的證據就是如上圖所示的綠色網址列。

5. 僅在您的家用電腦進行金融交易

切勿在公用或共用的電腦或在使用公用無線網路的裝置上 (例如筆記型電腦或行動電話)，繳納帳單費用、進行網路銀行操作或進行其他金融交易。這些方式的安全性並不可靠。

6. 運用常識進行判斷

若要保護自己避免遭到詐欺，請留意詐騙郵件。例如，對於下列情形必須特別小心：聽起來過於有利的交易；從您的「銀行」發出的提醒，指出除非您採取一些立即行動，否則您的帳戶將被關閉；通知您已中了樂透彩；或是對方拒絕親自見面進行本地交易。

不論是透過電腦或電話傳送，這類訊息的目的通常都是要引誘您瀏覽虛構的網站，犯罪者則會透過該網站收集您的財務資料 (如果您懷疑該訊息的真實性，請透過普通市內電話之查號台，查詢該公司正確電話號碼後，以電話與該公司聯繫確認。)。了解如何偵察與防禦網路釣魚詐騙 (英文)。

Facebook 一直是惡意程式作者偏好的熱門目標，然而我們發現有另一項惡意程式種類也使用此熱門社交網路進行傳播。我們偵測到的惡意程式主要元件為 Trojan:Java/Boonana，它是以 Java 編寫而成，因此具有跨平台的感染能力，可感染 Windows、Mac 和 Linux 使用者。

Trojan:Java/Boonana 是透過視訊連結傳送給 Facebook 使用者。藉由按一下連結，使用者將會收到執行 "JPhotoAlbum" 應用程式的提示，這是一個在 JAR 檔案內的 Java 類別 (JPhotoAlbum.jar SHA1：159e6bc0616dec2062c92a7dd918c8179b2de640)。如果是在獨立的瀏覽器或平台上，透過按一下滑鼠允許執行此應用程式，剩餘檔案將會被下載並在電腦上執行。

隨後下載的元件為：

• cplibs.zip：用於加密/解密 Mac 中類別檔案的公用程式
• OSXDriverUpdates.tar：偵測為 Trojan:MacOS_X/Boonana 的 MacOS X 元件 (SHA1：7f0f3ec0460c117e299960a47cac27c7a6d96b32)
• Nircmd.chm：用於從 cmd 列執行檔案的公用程式
• ofex.exe：偵測為 TrojanSpy:Win32/Boonana.A 的鍵盤記錄木馬程式元件
• pax_wintl：Java 開放原始碼網路類別
• rawpct.jar：IRC 外掛程式類別，可能也用於傳播至 IRC 使用者
• rvwop.jar：包含 Facebook 傳播類別且偵測為 Worm:Java/Boonana.A 的 Java 類別
• siv.exe：偵測為 TrojanDownloader:Win32/Boonana.A 的下載器元件
• VFXdSys.exe：偵測為 TrojanDownloader:Win32/Boonana.A 的下載器元件
• VfxdsysAdm.exe：偵測為 TrojanDownloader:Win32/Boonana.A 的下載器
• WinStart.exe：用於在隱藏模式中啟動的公用程式

值得注意的是，此威脅種類也包含攻擊目標為 Macintosh 作業系統多種元件之 MacOS X. Boonana 更新的惡意檔案，會提供攻擊者根層級的權限。我們偵測到這些威脅為 Trojan:MacOS_X/Boonana。我們可偵測到 1.93.1067.0 (含) 以上的此類威脅。

如果您是《最後一戰》的玩家，那麼您大概就會知道，限量版「火焰盔甲」是非常稀有的盔甲裝備，只有《最後一戰》的製作群、Bungie 公司，還有已經完成這款遊戲過去幾個版本中所有電玩大師挑戰的玩家才可以取得。在最新的《最後一戰：瑞曲之戰》中，有許多玩家想盡各種辦法要破解程式以取得這一套裝備。很明顯的，惡意程式編寫者也抓住這個機會，藉機四處散發包裝成火焰偵查頭盔以及《最後一戰：瑞曲之戰》遊戲程式碼產生器的惡意程式。

圖片 1 - 偵查盔甲

我們遇到兩個案例，分別為偵測出 PWS:Win32/Fignotok.A 的 Mod V3xD.exe (Sha1:1855974d848568968f4c97871a70fa42aff8fbc8) 以及 Halo Reach Flaming Recon.exe (Sha1:775c62aa8530eb616ff5444298d3dc4cff5c823e)。這兩個執行檔都會開啟一個名稱為 haloreachflamingrecon.exe 的檔案，宣稱可以產生火焰盔甲的程式碼。但是，這個檔案不但無法產生程式碼，還會利用詢問使用者的登入詳細資料 (請參閱下圖 2)、然後將資料透過電子郵件傳送至遠端攻擊者的方式，進而竊取使用者的 Xbox Live 遊戲資料。這個檔案還會連線至一個遠端位置 (目前已無法存取)，並從這個位置取得其他設定檔案。

圖 2 - 輸入您的 XBox Live 帳號詳細資料以啟用您的火焰盔甲！但是實際上卻是，您只能眼睜睜地看著您的帳號資料被盜。

另外一種利用《最後一戰》來獲利的惡意程式種類中，有一個叫做 Halo Reach Generator.exe 的檔案 (Sha1:7ab2f6cbacd967aa72360af76e666e3c6cbf56ec) 已偵測出有 Worm:Win32/Rebhip.A。這種蠕蟲病毒會透過卸除式磁碟機四處散佈，並且也會竊取機密資訊。

所以，在您利用程式碼產生器來提升遊戲主角裝備等級的同時，請務必三思，因為換來的可能是帳號被盜。沒有人喜歡作弊的人，公平地進行遊戲才是真正的高手。

一種新的流氓軟體出現了，目前命名為：流氓軟體:MSIL/Zeven。我們在收到這個程式的樣本和 URL 之後，即開始進行相關調查。

設計出這種流氓軟體的人，「非常」喜歡抄襲。他們一開始先自動偵測使用者正在使用的瀏覽器，如果是 Internet Explorer、Chrome 或 Firefox，就假造出惡意程式警告的頁面。這是一種利用社交工程的詐欺手法，目的是要利用使用者對於其常用瀏覽器的信任，誘騙使用者下載並安裝該流氓軟體。這些假造的頁面看起來幾可亂真，甚至還可以矇騙專業技術人員。舉例來說，在 Firefox 的頁面中，您會發現這並不是真正的警告頁面，因為頁面中的英文「out」拼錯了，寫成「Get me our of here」。

但是就上述三種瀏覽器而言，一般來說您不會注意到的是，在真正的瀏覽器警告中並不會提供所謂的「更新」或是「解決方案」。所有此類「更新」連結都指向保證提供「能偵測最新惡意程序的防護程式」。一般正常狀況中任何一種瀏覽器如Internet Explorer、Firefox 和 Chrome 在封鎖一個網站時，並不會提供此類解決方案。

安裝 MSIL/Zeven 後，產品看起來幾可亂真：讓您可以掃描檔案、通知您更新在背景中仍繼續執行，並且讓您可以自行更改安全性和隱私設定。在許多合法的防毒解決方案中也通常都會有這些功能可以使用，但是在 MSIL/Zeven 中，這些功能完全沒有作用；一切都只是假象而已，也不會提供任何防護的功能（就像其他流氓軟體防毒程式一樣）。

當然，當這個程式掃描過您的電腦以後，就會宣稱已在您的電腦中找到恐怖的惡意程式，如下圖所示：

依照慣例，流氓軟體掃描器就算是「找到」惡意檔案，程式也會宣稱除非您進行更新，否則就無法刪除這些惡意檔案。這也就表示，您必須付費購買完整版本的程式，才可以下載更新。但是，這些掃描器所找到的惡意檔案其實是假的；在使用者的電腦裡根本沒有這些檔案。

如果您決定要購買此產品，這個 流氓軟體 就會開啟一個啟用「安全瀏覽模式」和高強度加密功能的 HTML 視窗，在您購買產品時「協助」及「保護」您。當然，這些功能一點用處也沒有，而且無法保護您信用卡詳細資料的安全。

流氓軟體 防毒程式的首頁外觀也與 Microsoft Security Essentials (MSE) 網頁十分相似 – 這也是這些罪犯仿造的手法。設計出這個流氓軟體的人甚至還剽竊 Microsoft Security Essentials 獲得的認證以及與 Microsoft 惡意程式碼防護中心 (MMPC) 的連結 - 非常狡猾。

這是此流氓軟體首頁的螢幕擷取畫面：

以下才是真正的 Microsoft Security Essentials 網頁螢幕擷取畫面，提供您比對：

看起來這些人似乎是想要利用 Microsoft Security Essentials 的名聲和成功獲利 - 但是我們會提醒我們的客戶，Microsoft Security Essentials 下載完全免費，而且可以真正保護您的電腦，不受惡意程式危害！

附註：此種流氓軟體下載器和流氓軟體均偵測為流氓軟體:MSIL/Zeven。

在近期的安全事件追蹤中，微軟發現了駭客透過蓄意偽造之惡意連結圖示（LNK），導致使用者電腦遭感染後自動下載木馬等相關攻擊程序感染之手法；在持續追蹤中，繼 Stuxnet、眾多的 .LNK惡意程式等之後，在近期又出現影響層面最為廣泛且破壞性最高的 Sality引起Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center，MMPC)，以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴高度關切；這些惡意程式從原先透過USB等外接設備對使用者進行感染之外，也透過多種其他管道譬如混雜在影音，壓縮檔案中誘騙使用者點選導致觸發感染程序．

針對這些相關攻擊行為，微軟已經在2010年8月２日公佈了 CVE-2010-2568 (於 Microsoft 知識庫文件編號 (2286198) 中說明) 的非例行性更新解決辦法發佈計畫。Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center，MMPC)，以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴一直在密切注意這個利用此風險進行惡意攻擊的 .LNK 檔案。正如許多新的攻擊技術，後起的攻擊者都可以快速地將新的技術整合在一起。雖然已有許多種病毒都使用這種傳播方式，但是在本週，其中一種叫做 Sality 的病毒特別引起了我們的注意，尤其是 Sality.AT。Sality 是一種具有高度破壞性的病毒；目前已知此種病毒會感染其他檔案 (感染後即完全移除)、自行複製至卸除式媒體、停用安全防護功能，然後下載其他惡意程式。同時，這也是一種非常大型的病毒種類，可以說是今年最廣泛的種類之一。加入 .LNK 的傳播方式後，受到惡意 .LNK 和 Sality.AT 結合病毒攻擊的電腦數目很快就超過了受到 Stuxnet 病毒攻擊的電腦數目。不久之後，一定會有更多病毒種類利用這種技術方式進行散佈傳播。下列 *圖表可以說明這個趨勢：

這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront Client Security、Windows Live OneCare、Forefront Threat Management Gateway 以及 Windows Live Safety Platform) 中遭受的感染攻擊次數 (Infection Attempt)。雖然這些數字並不代表實際的病毒感染數量，卻也警告了我們威脅有擴大的趨勢。

而病毒攻擊的地理位置 (Geolocation) 變更，也是其他病毒種類開始利用這個風險的另一個警訊。在發現 Stuxnet 的初期，巴西 (Brazil) 僅有少數病毒攻擊的案例；但是在 CVE-2010-2568 病毒攻擊的地理位置分析報告中顯示，巴西及其他國家 (Others) 現在也出現了更多病毒活動。在巴西，更是不斷地有 Sality 的攻擊案例。

目前Microsoft Security Essentials、Microsoft Forefront、Windows Live OneCare、以及 Windows Live Safety Platform 的使用者均可以有效攔阻／過濾這些惡意程序。另外在本月釋出的MSRT中也已經針對下列惡意程序進行清除程序：

• Win32/Stuxnet
• Win32/CplLnk 
• Worm:Win32/Vobfus.gen!A 
• Worm:Win32/Vobfus.gen!B 
• Worm:Win32/Vobfus.gen!C 
• Worm:Win32/Vobfus!dll 
• Worm:Win32/Sality.AU 
• Virus:Win32/Sality.AU 
• TrojanDropper:Win32/Sality.AU 

提醒使用者除了盡快完成安全性更新程序之外，還可以透過以下的鏈結下載微軟惡意軟體移除工具（MSRT）進行掃描與清除，以維護您電腦使用時的安全性。
http://www.microsoft.com/taiwan/security/malwareremove/default.mspx　
http://www.microsoft.com/taiwan/security/malwareremove/families.mspx

這個通告為您簡介 2010 年 8 月 3 日 (非例行性) 發行的新資訊安全公告。

新資訊安全公告概觀

Microsoft 發行一個新的資訊安全公告 (非例行性)，解決最近發現的資訊安全風險：

提要

這個資訊安全更新可以解決 Windows Shell 中公開揭露的資訊安全風險。如果出現使用者檢視蓄意製作捷徑的圖示，這個資訊安全風險可能會允許遠端執行程式碼。如果攻擊者成功利用這項資訊安全風險，就可以取得與本機使用者相同的使用者權限。在系統上帳戶使用者權限較少的使用者受到的影響，比擁有系統管理使用者權限的使用者小。

對於所有支援的 Microsoft Windows 版本，這個安全性更新的嚴重性等級為「重大」。這個資訊安全更新會更正捷徑圖示參照的檢驗，藉此解決資訊安全風險。

這個安全性更新解決了首次在 Microsoft 資訊安全摘要報告 2286198 中說明的弱點。

公開資訊安全公告網路廣播

Microsoft 將舉辦一場網路廣播，為客戶解答有關這個資訊安全公告的問題：

標題：Microsoft 在 2010 年 8 月 (非例行性) 發行之資訊安全公告的相關資訊

日期：2010 年 8 月 02 日星期一下午 1:00 太平洋時間 (美國和加拿大)

網址：https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032456779

本通告相關公開資源

· 資訊安全公告 MS10-046 - 處理常式中的弱點可能會允許遠端執行程式碼：http://www.microsoft.com/taiwan/technet/security/bulletin/ms10-046.mspx

· 資訊安全摘要報告 2286198 - Windows Shell 中的資訊安全風險可能會允許遠端執行程式碼： http://www.microsoft.com/taiwan/technet/security/advisory/2286198.mspx    

· Microsoft 安全反應中心 (MSRC) 部落格：http://blogs.technet.com/msrc/

· Microsoft 安全性研究與防禦 (SRD) 部落格：http://blogs.technet.com/srd/

· Microsoft 惡意程式碼防護中心 (MMPC) 部落格：http://blogs.technet.com/mmpc/

· Microsoft 安全開發週期 (SDL) 部落格：http://blogs.msdn.com/sdl/

新資訊安全公告詳細技術資訊

下表列出受影響的軟體，未列出的軟體版本表示已超過支援週期。請瀏覽 Microsoft Support Lifecycle，以判斷您的產品及版本的支援週期。

關於資訊一致性

我們會致力於透過靜態 (郵件型式) 和動態 (網頁式) 內容為您提供精確的資訊。公佈於本網站中的 Microsoft 資訊安全公告內容會臨時根據最新資訊予以更新。此處和 Microsoft 網頁式資訊安全公告的資訊若發生不一致情形，Microsoft 網頁式資訊安全公告內容為已授權的資訊。

我們經常從重大新聞事件中讀到處心積慮的惡意人士如何強行徵用搜尋引擊，在我們尋找新聞事件的詳細資訊時，結果把我們導向提供某些惡意程式碼的頁面，那些通常是假造的防毒程式。但是，壞人是如何欺騙搜尋引擎，使他們的網站在搜尋中的排名如此之高，進而說服人們按一下連結呢？這邊將以濫發訊息的鞋子賣家做為此技巧的範例進行說明。

首先，我們設立一個 Twitter 帳戶，並透過這個帳戶發送資訊安全相關新聞。為了尋找這類新聞作為Twitter的訊息來源，我們設定了幾個網頁通知(Alert)，來幫忙尋找網路上的資安相關新聞，發現其中一個網頁如下：

這則新聞看起來像真的。它是一個部落格，說明零售業的員工如何從信用卡獲得詳細資料，進而製作一樣的卡片來盜刷。唯一會令人感到奇怪的是，裡面提到知名品牌運動鞋的名字。

但是當您進去閱讀文章時，它看起來如下：

文章來源不明，因為網際網路上的搜尋是根據其他採用這篇文章做為 SEO 定位且有利於其他網站的案例而彙集的。

不過，您還是會注意到 (上面紅框的部分)，這個文章版本分佈著許多販售鞋子的網站連結(您可以在螢幕擷取的左下角看到部分 URL)。

那麼 SEO 如何運作呢？

網路行銷的人，為了賺取更多的獲利，會努力盡量讓產品曝光，將他們的商品呈現在您眼前。現今最佳的方式之一就是提高他們網站的知名度，以名列於您在搜尋他們所販售之項目時會出現的網站清單中。因此，他們了解到無論如何都要在搜尋引擎計分公式中得到高分。職業道德較低者，如您所見，甚至會嘗試劫持與他們所販售之項目無關的熱門主題，就為了要得到高分以名列於搜尋結果中。

在這個範例中，我們看到：

從受歡迎的主題開始：信用卡詐騙。人們會選讀這類文章，進而提高這些頁面的價值 (於是，很不幸地，當我們按一下並閱讀這些頁面就會提高它們的價值)。

在該頁面上，有一些可連到販售他們鞋子的網站連結。由於這個頁面如此有趣，而且多次指向他們的銷售頁面，所以，那個銷售頁面也一定非常有趣，搜尋引擎當然也會這麼認為。

搜尋 Nike 的人很可能也會搜尋 Puma，因此，若內容同時包含兩者，那麼這個頁面甚至會變得更加引人注目。

以上的結果就是，販售他們鞋子的頁面得到很好的分數。

現在，當您搜尋 “puma shoes” 會出現什麼呢？

許多熱門搜尋引擎顯示的第一個結果是一組贊助的網站、已付錢給搜尋引擎以便名列第一的公司，接著是 Puma 的官方網站。其餘是誰排第一？就是它啦！就是剛才說明與 SEO 有關的網站 (上述結果的擷取時間為 2010 年 7 月 8 日清晨)。在另一個搜尋引擎上，第一和第二結果相同 (不出所料)，而這個網站是其餘中的第二個。

我們試過使用 Bing 進行相同搜尋，發現定位的結果降到第 6 頁才出現。雖然在這個特定情況中未與 Bing 團隊配合，但是我們會確實與他們合作，並通知他們任何發現惡意程式碼的情形，所以，他們不會將那些網站提供給他們的客戶，就如同我們與 SmartScreen 人員合作，協助 Internet Explorer 封鎖惡意程式碼網站一樣。

剛才示範的 SEO 範例不是導向惡意程式碼的範例，但技巧是相同的。若要和目前熱門主題相關而達到高得分的搜尋結果排名，要散佈的詞彙就要和目前的熱門關鍵字相同 (也可以從搜尋引擎趨勢來尋找可能的片語) ，這些實際上都是以相同方式達成的。

Microsoft 最近發現，在部分的新手機所內含配備的 microSD 卡，受到惡意程式碼的感染。惡意程式碼本身不會在手機上執行，但會嘗試感染您的電腦。其中一個可能的感染原因，推測是用來製造第一版 SD 卡影像的電腦受到了感染，進而將感染散播到客戶電腦。

這個惡意軟體似乎只散發給少數客戶，而影響範圍限定為西班牙東部到波蘭西部這塊特定地理區域。

我們偵測到這個惡意程式碼為 Worm:Win32/Verst.A。

除了形成蠕蟲以外，Verst.A 還會搜尋各種應用程式的認證和軟體註冊詳細資料，其中包括 Miranda ICQ、WebMoney、QIP Infium 和 Multi Password Recovery。有趣的是，我們發現這個威脅會從其他密碼復原工具搜尋已儲存的認證。如需詳細資訊，請參閱我們的詳細分析，網址為：
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Verst.A

Verst.A 利用 Windows 中的自動執行功能進行散佈。如果執行，蠕蟲就會發佈威脅，持續地嘗試將它自己複製到所有磁碟機 (從 A 到 Z)。幸好 Windows 7 在叫用自動執行之前會先提示使用者。此外，您也可以依照這裡的指示來更新其他 Windows 版本的自動播放功能。

如果您懷疑自己的電腦已受到感染，建議您使用 Microsoft Security Essentials 等可靠的掃描程式掃描您的系統，以偵測是否存在惡意程式碼。

台灣微軟公司今(九)日發佈2010年六月份的資訊安全公告，本次的資訊安全公告有 10 個新的安全性更新程式 MS10-032 到 MS10-041，嚴重性等級為重要與重大。

·  編號 MS10-033 更新程式可避免當使用者開啟蓄意製作的媒體檔案，或者從網站或任何提供 Web 內容的應用程式接收蓄意製作的串流內容時，攻擊者利用弱點取得使用者權限。

·  編號 MS10-034 更新程式，針對Internet Explorer ActiveX 的弱點進行修正，當使用者使用 Internet Explorer 檢視蓄意製作而產生特定 ActiveX 控制項時，此安全性更新可設定 Kill Bit (刪除位元)，避免攻擊者取得受影響系統的完整控制權，進而建立具有完整使用者權限的新帳戶。

·  編號 MS10-035 更新程式，針對Internet Explorer進行修正，避免攻擊者蓄意架設惡意網頁，竊取使用者資訊，解決使用者在瀏覽網頁、存取資訊時資訊洩漏問題。

台灣微軟公司強烈呼籲所有客戶立即使用「Windows Update自動更新」功能隨時更新程式，避免惡意程式攻擊，或是立刻下載更新程式，以確保電腦使用的安全。 >> 參考本月的資訊安全相關摘要說明。

台灣微軟於十二日發佈 2010 年五月的資訊安全公告，本次的資訊安全公告有 2 個新的安全性補充程式 MS10-030~MS10-031。 我們呼籲民眾應盡速下載補充程式，並強烈建議所有客戶立即使用「Windows Update 自動更新」功能隨時更新程式，避免惡意程式攻擊及提升電腦資訊安全，詳細本月份資訊安全公告資訊摘要請參考：
>>本月份安全摘要

本月2個安全性公告與解決最近發現的弱點內容：

Microsoft 發行下列兩個新的資訊安全公告，解決最近發現的弱點：

台灣微軟於十四日發佈 2010 年四月的資訊安全公告，本次的資訊安全公告有 11 個新的安全性補充程式 MS10-019~MS10-029。 我們呼籲民眾應盡速下載補充程式，並強烈建議所有客戶立即使用「Windows Update 自動更新」功能隨時更新程式，避免惡意程式攻擊及提升電腦資訊安全，詳細本月份資訊安全公告資訊摘要請參考：
>>本月份安全摘要

Microsoft 發行下列十一個新的資訊安全公告，解決最近發現的弱點：

(圖一：Waledac殭屍網路在全球蔓延的狀況) 

(圖二：Waledac殭屍網路寄送惡意郵件來源IP統計)  

台灣微軟今日發佈「台灣微軟發佈三月定期資訊安全公告」與編號MS10-016~MS10-017共 2 個安全補充程式，這兩個安全補充程式的嚴重性等級為重要等級。我們呼籲民眾應立即使用「Windows Update自動更新」功能隨時更新程式，避免惡意程式攻擊，或是立刻下載補充程式，以確保電腦使用的安全。

>>本月份安全摘要

本月2個安全性公告與解決最近發現的弱點內容：

Microsoft 發行下列兩個新的資訊安全公告，解決最近發現的弱點：