[防毒] un7635.exe 是一個電腦病毒嗎？

在windows 的 暫存目錄下發現一個檔名為 un7635.exe 的檔案，
SHA256 為：ac389246cd45e69c1e41f88ef87f4083a817a97e0feaa153ba677ca703d36fab

virustoal 查詢：

hybrid analysis 查詢：

看起是個 false positive ，應該是個沒問題的檔案，刪去也沒關係，也可以利用 批次檔來刪除一些windows暫存的檔案。

下載：https://batch.fernheart.com/2025/07/batch-batch-file-for-system-cleanup-tool.html

[資安] Windows 內建防毒程式：簡單高效的保護方案

想保護電腦免受病毒和惡意軟體侵害？Windows 內建的防毒工具就能幫您！以下是 Windows Defender 和 Microsoft 惡意軟體移除工具（MRT） 的簡要介紹與使用方法。

Windows Defender：全能防護首選

• 功能：即時監控病毒、惡意軟體、間諜軟體；雲端更新；勒索軟體防護；內建防火牆。

• 優勢：免費、系統整合、資源佔用低，適合一般用戶。

• 使用方法：

  1. 搜尋「Windows 安全性」，進入「病毒與威脅防護」。

  2. 執行快速或完整掃描，確保開啟即時保護。

  3. 啟用「受控資料夾存取」保護重要檔案。

MRT：針對性清理助手

• 功能：移除特定已知惡意軟體（如 Blaster 蠕蟲），每月通過 Windows Update 更新。

• 限制：無即時保護，僅為 Windows Defender 的輔助工具。

• 使用方法：

  1. 按 Win + R，輸入 mrt。

  2. 選擇快速、完整或自訂掃描，查看並移除威脅。

其他安全功能

• SmartScreen：防範惡意網站和下載。

• Secure Boot：確保啟動安全。

• Device Guard：限制未授權應用程式（企業適用）。

結論

Windows Defender 提供全面防護，MRT 輔助清理特定威脅。保持系統更新並啟用即時保護，您就能輕鬆守護電腦安全！

[資安] 103/9/12中租控股、兆豐金控、彰化銀行、證交所 遭遇DDoS攻擊而面臨服務中斷、AOSP機上盒資安問題

 相關新聞：https://www.ithome.com.tw/news/165045

所謂 DDoS 攻擊（分散式阻斷服務攻擊，Distributed Denial of Service）是一種網絡攻擊，攻擊者試圖通過控制一個巨大的「殭屍網絡」（botnet）向目標伺服器、大量設備或網絡發送大量惡意流量，使其不堪負荷，從而導致系統或網絡服務無法正常運作。

DDoS 攻擊類型：

1. 流量型攻擊：透過向目標發送大量無意義的流量，耗盡目標的網絡帶寬。
2. 協議型攻擊：針對網絡層協議，如 TCP/IP 協議，利用其弱點來耗盡伺服器的處理資源。
3. 應用層攻擊：專注於消耗伺服器應用層的資源，這類攻擊通常看起來像合法流量，但會大量發送特定的請求（如 HTTP、DNS 查詢等）。

防範 DDoS 攻擊通常需要使用流量監控、流量過濾、防火牆及專門的防護服務（如 CDNs 或 DDoS 防護服務）。

一般 DDos 都是利用伺服器的漏洞未及時補上，進而感染主機，或利用後門程式來植入程式，控制電腦再進行上述的攻擊行為。新聞中有個吸引我的關注的設備是安裝AOSP的機上盒。

AOSP 是 Android Open Source Project 的縮寫，代表「安卓開源計劃」。AOSP 是 Google 維護的開源項目，目的是為安卓（Android）操作系統提供基礎架構，並允許任何人查看、修改和使用 Android 的源代碼。

AOSP 的主要特點包括：

1. 開源：AOSP 的源代碼是開放的，開發者可以自由下載、修改和重新分發。這是 Android 系統在全球廣泛採用的原因之一，因為設備製造商可以根據自己的需求對其進行定制。

2. 無 Google 服務：AOSP 本身不包括 Google 的專有應用程序和服務（如 Google Play 商店、Google 地圖等）。這意味著如果製造商或開發者使用 AOSP 創建一個新的 Android 版本，他們需要自行集成應用商店和其他應用程序，或者獲得 Google 授權來加入 Google 服務。

3. 基礎系統：AOSP 是 Android 的基礎，但它只是系統的一個骨架。廠商或開發者往往會在 AOSP 基礎上進行大量定制，添加 UI、更改功能，甚至預裝應用來創建符合自己需求的版本。

4. 用於各種設備：AOSP 並不限於智能手機，它也可以運行在平板、智能手錶、電視和車載系統等多種設備上。

AOSP 的存在讓 Android 成為一個靈活且可自定義的平台，並促進了全球 Android 生態系統的多樣性。

隨著目前家用物聯網設備越來越多，若家中有聯網功能的設備，都要注意帳號安全上的問題，最好購買有台灣資通產業標準協會（TAICS）檢驗通過的設備，以免有資訊安全上的問題。

[資安] 關於國泰世華、台新銀行、中國信託的接二連三的網路約魚問題(Taiwan cathaybk taishin ctbcbonk Phishing)

pixabay

網路新聞：假國泰世華銀行釣魚簡訊 三天全國21人財損300萬元

網路新聞：假冒銀行釣魚簡訊詐騙規模擴大...

正值農曆春節到來，網路釣魚讓人防不勝防，這釣魚的手法與以前並無不同，以前手機不普遍時，是利用 EMail，現在則是利用手機簡訊。

案例一：

從DNS的紀錄來看，cathay-bk.com這個域名是2021年1月12日才註冊，註冊在Wild West Domains。有心人應已鎖定銀行一段時間，通常網路釣魚都是有計畫性的一次犯案，因為網址曝光之後，通常就無法再使用了，這個域名的截止註冊時間是2022年1月22日，所以也是有再度犯案的可能。

Registrar URL: http://www.wildwestdomains.com
Updated Date: 2021-01-12T12:33:27Z
Creation Date: 2021-01-12T12:33:26Z
Registry Expiry Date: 2022-01-12T12:33:26Z
Registrar: Wild West Domains, LLC

銀行官網公布正確網址：
國泰世華銀行官網：www.cathaybk.com.tw

案例二：

從DNS的紀錄來看，mytaishinbonk.com這個域名是2021年2月5日才註冊，註冊在ALIBABA.COM SINGAPORE。有心人應已鎖定銀行一段時間，通常網路釣魚都是有計畫性的一次犯案，因為網址曝光之後，通常就無法再使用了，這個域名的截止註冊時間是2022年2月5日，所以也是有再度犯案的可能。

Registrar URL: http://www.alibabacloud.com

Updated Date: 2021-02-05T12:16:08Z

Creation Date: 2021-02-05T12:16:08Z

Registry Expiry Date: 2022-02-05T12:16:08Z

Registrar: ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED

銀行官網公布正確網址

https://www.taishinbank.com.tw/TSB/personal/common/important-notice/TSBankImportantNotice-000232/

https://my.taishinbank.com.tw/TIBNetBank/

案例三：

從DNS的紀錄來看，ctbcbonk.com這個域名是2021年2月7日才註冊，註冊在ALIBABA.COM SINGAPORE。有心人應已鎖定銀行一段時間，通常網路釣魚都是有計畫性的一次犯案，因為網址曝光之後，通常就無法再使用了，這個域名的截止註冊時間是2022年2月7日，所以也是有再度犯案的可能。

Registrar URL: http://www.alibabacloud.com

Updated Date: 2021-02-07T16:33:11Z

Creation Date: 2021-02-07T16:33:11Z

Registry Expiry Date: 2022-02-07T16:33:11Z

Registrar: ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED

銀行官網公布正確網址

https://www.ctbcbank.com/

看到以上公布的網址，讓人不禁想到，難怪銀行會變成歹徒覬覦的對象，因為銀行目前服務越來越方便多元，很多事情都可以在手機操作完成。另外註冊的網域太混亂，沒有一致性，銀行端的網址若有修改，使用者也很難會注意到。

此次的釣魚事件，發現歹徒也在進化中，因為詐騙的網址也是使用 SSL，看加密鎖頭的方法，現在已不適用了。

以下提供幾個防止網路釣魚的方法：

1. 簡訊提供的網址要提高警覺，不要隨便亂點，若一點進去就要輸入重要的帳號密碼，一定有問題。若一定要點網址看連線內容，可以改用有防毒或還原的電腦來連線，再來判斷會比較安全。

2. 有使用網路銀行的要特別留意，最好使用原生安裝的 APP操作，不要用手機的chrome瀏覽器登入。

3. 往來銀行不要申請太多，常往來的銀行，一定要特別留意正確的銀行官網網址，有時候銀行也會因為數位服務而改變網址，這部份也要特別小心留意。

4. 網址的加密鎖頭還是可以看一下，但並不是絕對。若銀行網址無加密鎖頭，應該就是釣魚網站。

參考網站：

https://www.fisac.tw/intelligence/article?id=ba5c2d33cc03fd4c839ab87583b3e356

WHOIS 查詢工具

https://lookup.icann.org/lookup

https://docs.microsoft.com/en-us/sysinternals/downloads/whois

Google 的資訊公開報告(安全瀏覽：惡意軟體和詐騙網站)

https://transparencyreport.google.com/safe-browsing/overview

從圖上可以看出，詐騙網站有增加的趨勢，這可能也是 google 關閉短網址的原因。

What is "fork bomb"?

最近在學生圈裡，在流行這個東西。可以翻譯成分叉炸彈，是一種惡作劇的病毒，這個是一個有趣的教學主題，透過適當的引導，可以讓學生學習了解程式語言及電腦的運作模式，也可以吸引學生的目光。
https://www.quora.com/What-is-0-0-7
https://en.wikipedia.org/wiki/Fork_bomb

檔案碎紙機 File Shredder

符合 美國軍方文件（Military Standard）檔案銷毀的自由軟體

下載網址 http://www.fileshredder.org/files/file_shredder_setup.exe

關於比特幣 (Bitcoin)

相關文章：

http://www.nownews.com/n/2017/05/28/2534226

https://zh.wikipedia.org/wiki/%E6%AF%94%E7%89%B9%E5%B8%81

快速掃瞄電腦漏洞的方法(wanna crypt 2.0)

在網路上看到快速掃瞄電腦漏洞的方法，就是使用 nmap這個簡易的工具，不過這個工具也是一般 hacker會使用的工具，它也可以檢查主機的漏洞，然後擇其弱點加以攻擊。工具本身是中立，端看使用者的心態，這個方法比較適合網管人員使用，一般使用者應該還是更新 Windows Update 就可以了。

nmap 下載頁面： https://nmap.org/download.html
GitHub  Script file ：https://github.com/cldrn/nmap-nse-scripts/tree/master/scripts
可下載 smb-vuln-MS17-010.nse 這個腳本檔，並置於 nmap\script 目錄底下來使用。
指令：nmap -p 445 --script smb-vuln-ms17-010 ip-range

nmap 其他指令參考：http://www.netadmin.com.tw/article_content.aspx?sn=1312030002&jump=1

另外趨勢科技(trend micro)也有個方便的快速檢測工具，這個倒是比較適合一般使用者來操作。
Using the Trend Micro WCRY Simple Patch Validation Tool






舊文章：

Wanna Crypt 2.0勒索病毒，請趕快下載更新檔!

Wanna Crypt 2.0勒索病毒，請趕快下載更新檔!

微軟甚至提供 XP的更新檔，想必問題應該有些嚴重，若不想付贖金，就趕快下載更新檔吧！

★Windows XP 32位元版：（KB4012598）
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe

★Windows XP x64 Edition 64位元版：（KB4012598）
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-jpn_9d5318625b20faa41042f0046745dff8415ab22a.exe

★Windows Vista 32位元版：（KB4012598）
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

★Windows Vista 64位元版：（KB4012598）
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

★Windows 7 32位元版：（KB4019264）
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu

★Windows 7 64位元版：（KB4019264）
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu

★Windows 8.1 32位元版：（KB4019215）
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

★Windows 8.1 64位元版：（KB4019215）
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

★Windows 10 32 & 64位元版：（直接使用Windows Update）


★觀看目前病毒影響情況

★PTT相關文章

apple 的釣魚網站

xn--80ak6aa92e.com   apple.com
XN--YETO6U4V4B.COM   陳小明.COM

利用xn--開頭的字碼，可能被有心人士拿來用做釣魚網站的用途。

參考來源：
http://www.ithome.com.tw/news/113520
https://www.hkirc.hk/idn_conv.jsp?lang=zho

檢測釣魚網站實作(ping指令)

使用Ping 指令檢測
yahoo：
ping tw.yahoo.com
ping tw.yahooo.com
ping tw.yahoooo.com
ping tw.yah00.com
ping tw.yanoo.com

facebook：
ping www.facebook.com
ping www.faecbook.com

google：
ping www.google.com.tw
ping www.googe.com.tw
ping mail.google.com
ping mail-google.com

從連線的回應狀況，再判定是否為釣魚網站。

另外，也可以透過 virustotal網站 來輸入可疑網站的網址(URL)。

資訊安全教學-以巨集病毒程式模擬為例

就學生的經驗而言，實際遇到電腦有狀況的情況不多，也有可能是實際操作時間較少。探究其最後的原因，大多是使用者自己電腦操作習慣的問題。

對於這個單元，若只是講授的方式，想必學生應該會覺得枯燥乏味，對一些已有相當使用經驗的學生，勢必需要多一點刺激。所以實務上教學最好是用實際的例子或惡意軟體的檔案來操作示範。但在教學上當然不可能這樣子來操作。不過，也許我們可以利用批次檔(batch file)或巨集病毒(Macro)來模擬惡意軟體的動作。

所謂「病毒」不外是隱藏、複製、破壞(條件式)、傳播等，利用這4個特色，我們用模擬程式來帶進教學活動中。

教學活動：
1. 了解電腦檔案的放置的架構及檔案的屬性。
(實作：檔案隱藏屬性的的操作，可以利用表單來讓學生回答)

2. 了解惡意軟體或病毒的種類。
(實作：利用模擬程式來說明病毒的特性)

3. 防毒軟體的運用
(實作：virustotal、adwcleaner)

模擬程式簡要範例(以巨集病毒為例):

'建立一個word文件，新建立一個名為virus的巨集。測試巨集檔案時，巨集安全性可以設為開啟自動執行巨集，這樣教學效果更佳。

Sub virus()

Dim CmdStr As String, i As Interger

MsgBox ("我是巨集病毒!，請小心!")

For i = 1 To 50

CmdStr = "cmd /c mkdir c:\users\user\desktop\hello" & i

 retval = Shell(CmdStr1, 0)

Next

MsgBox ("我在你的桌面上建了" & i - 1 & "個hello資料夾!")

End Sub

' 利用 Scratch 模擬

自動執行巨集(Macro)的危險

MS Office word、MS Office Excel，很容易包含巨集，如果是自動執行，使用者不小心就會執行，因為開啟文件，就是執行，令人防不勝防。

Sub virus()
  kill ("Any File")
End Sub

開啟[檔案][選項][開發人員選項]
注意巨集的安全性，最好關閉巨集執行，或改為執行提示，比較安全。

https://support.microsoft.com/zh-tw/kb/983196
https://zh.wikipedia.org/wiki/%E5%AE%8F%E7%97%85%E6%AF%92

不小心刪除檔案(shift+delete)，怎麼辦！？(How to undelete the files?)

不小心刪除檔案要怎麼辦？怎麼救回來？

1.保持現場完整性：磁碟機千萬不要再有任有存檔的動作，即使你是使用Shift+Delete誤刪檔案，磁區內的檔案其實還在，只要有適合的工具，仍可救回。

2.下載反刪除軟體：undelete_plus：找一台可以上網的電腦，將undelete_plus程式下載到隨身碟中，再插入"誤刪檔案的電腦中"。

3.執行該軟體，掃描磁區，就可以找到檔案，並且復原。
軟體試用心得：中文介面的軟體，功能簡單易用，大部份的檔案都可救回，但是若目錄或檔案是中文檔名的話，復原後會變亂碼，這一點要注意一下!建議大家可以在隨身碟中擺一個這個程式，以備不時之需。

以下幾個網站也可以參考：
PhotoRec http://www.cgsecurity.org/wiki/PhotoRec
Recuva http://www.piriform.com/recuva
Recover http://www.aumha.org/a/recover.php

你的電腦裡有無木馬程式(svchost)?

最近發現 Windows7 系統中，在目錄 c:\windows\system32\有個奇怪的 important目錄，裡頭竟然有個svchost.exe的檔案，上網搜尋之後，發現應是木馬程式，隨即將之刪除，並移除相關的registry，研判是透過隨身碟傳染而來，不可不慎啊！

參考資料：http://forum.icst.org.tw/phpbb/viewtopic.php?t=9226

隨身碟或硬碟檔案格式變成RAW

隨身碟或硬碟檔案格式變成RAW，會造成原有檔案無法讀取，而且會詢問要不要格式化，這時不要冒然做格式化的動作，應該用復原軟體來修復，就可以救回資料，修復軟體可以至以下網址下載：
1. easy recovery 免費專業版可以使用30天
http://www.z-a-recovery.com/digital-image-recovery.htm
2. zar digital image recovery
http://www.z-a-recovery.com/download.htm
檔案資料最好養成備份或同步化，這樣才能萬無一失啊!

國中資訊安全-教學大綱及實作內容

單元一：如何防範電腦病毒？
教學內容

第一節課 45分鐘
核心目標：了解什麼是電腦病毒，並能簡易實作判斷電腦是否中毒。

1.影片欣賞 5分鐘
2.簡報講解10分鐘
3.播放木馬屠城影片5分鐘
4.回顧影片師生問答5分鐘
5.簡報講解10分鐘
6.學生實作10分鐘

實作：如何看見電腦的隱藏檔？

單元二：認識防毒軟體
第二節課 45分鐘
核心目標：認識惡意軟體工具及免費防毒軟體，並能下載、移除及安裝。

1.回顧上星期內容3分鐘
2.防毒軟體投影片介紹5分鐘
3.教師操作示範-惡意軟體工具下載及安裝5分鐘
4.教師操作示範-掃毒軟體下載及安裝5分鐘
5.學生實作20分鐘
6.USB及可攜式硬碟病毒影片5分鐘
7.回顧影片內容2分鐘

單元三：認識駭客入侵及網路釣魚
第三節課45分鐘
核心目標：認識駭客的定義及了解如何防止網路釣魚

1.駭客入侵投影片介紹5分鐘
2.駭客年會新聞介紹5分鐘
3.網路釣魚投影片紹5分鐘
4.網路釣魚互動測驗10分鐘
5.學生實作電腦資訊安全線上測驗20分鐘(選擇題及問答題)

jpg照片檔變成jpg.vbs檔

最近有個同事說他電腦裡的照片jpg檔，變成jpg.vbs，mp3也不見了，上網查了一下，發現這是一個年代久遠的病毒VBS.loveletter.X，最近似乎又透過p2p流行回來了，這是個殘忍的病毒，因為jpg檔會被病毒以jpg.vbs檔覆寫，mp3檔的屬性會變成隱藏，這個還容易解決，不過jpg檔要看情況才能救回來 (若你的硬碟中毒後，有存取的動作，要救回來，就比較麻煩一點)。
萬一中了，要怎麼辦：
1.若是電腦裡的硬碟，趕快關機，將硬碟拔出；若是隨身碟，趕快拔出，不要再使用。
2.找台乾淨且沒裝掃毒軟體的電腦，安裝recovery的軟體，看看可否找出硬碟或中被刪除的照片檔，有些應可以，有些可能就沒辦法了。
ps:若記憶卡也中毒，也許部份目錄的jpg檔案是正常的，部分變成jpg.vbs，所以也可以搶救回來一些圖片。

若你的硬碟有很多照片檔，真的要特別注意，不要只放一個地方，最好再多個可以備份的硬碟，這樣會比較保險一些；另外在p2p上真的有很多病毒，能不用就不用囉！

解毒參考http://www.symantec.com/zh/tw/business/security_response/writeup.jsp?docid=2000-122209-4441-99
http://www.pcinspector.de/Sites/file_recovery/download.htm?language=1#
http://tw.myblog.yahoo.com/poortechman-37to73/article?mid=1454&sc=1

kavo 病毒造成無法上網

最近有個同事說他的電腦不能上網，檢查了瀏覽器設定有無誤設proxy、而且也可以自動取得ip，應不是硬體的軟體，判斷應該是中毒，檢查啟動檔內，果然有kavo病毒，但是應該是解毒了，雖然解毒了，不過病毒似乎影響到winsock網路程式的運作，所以只要修復winsock應該就可以了。
解決方法如下：
點選[開始]->[程式集]->[附屬應用程式]->[命令提示字元]->輸入指令 netsh winsock reset->完成
(以上方法適用於winxp sp2)

或直接下載執行 winsockfix批次檔 kavo病毒解毒後造成無法上網批次檔