布雷克人生 Black Life

今天聽聞某個機構全辦公室中毒，經過掃毒後發現是 Win32/PSW.QQRob.NAQ，這是屬於QQRob的變種，變種的病毒碼是在4/15日才發行，而QQRob的變種非常迅速，而目前只有幾套掃毒軟體掃到，而我使用Nod32也剛好是可以掃到的那一套軟體。

而會導致全辦公室中毒的原因在於TrendMicro OfficeScan Server 遭到感染，當用戶端開機執行OfficeScan Client 時，會被導引至一個網頁(http://zft.testkl.cn/2.exe)自動下載執行該木馬程式，因此感染速度非常的快速，瞬間會癱瘓整個辦公室電腦。

而中 QQRob.NAQ 的現象，會在用戶端開機後，不斷開啟瀏覽器，最後會導致電腦關機，在這過程中QQ的帳號密碼也被傳送出去。

解決方式，請先關閉 TrendMicro OfficeScan Server，避免用戶端繼續感染下去，建議先移除 TrendMicro OfficeScan Client/Server ，然後再改安裝Nod32試用版，然後進行掃毒既可排除，排除後再重新安裝  TrendMicro OfficeScan Client/Server ，恢復原本的架構環境。

以上是理想的作法，不過我非該機構的員工，只是一個小小的志工，無法去動到Server，所以我嘗試排除了兩台電腦，我的作法如下：

1. 移除 TrendMicro OfficeScan Client
2. 安裝防火牆，隔絕會散播病毒的  TrendMicro OfficeScan Server ，並且預防自動安裝 TrendMicro OfficeScan Client
3. 安裝 Nod32後重新開機
4. 進行 Nod32 病毒碼更新
5. 關閉系統還原
6. 進行 C:\windows 掃毒與解毒
7. 進行 C:\Documents and Settings 掃毒與解毒

大概完成了上述步驟後，用戶端電腦已經正常運做，不過暫時讓這兩台PC脫離 TrendMicro OfficeScan Client，等到TrendMicro OfficeScan Server 不再散佈病毒後，再重新加入TrendMicro OfficeScan。

而向這樣的中央型控管的防毒軟體，已經不是第一次遭到病毒入侵，成為病毒散播的管道，在去年的時期就曾聽聞另一個機構使用 Symantec AntiVirus ，也發生同樣的集體感染事件，導致全辦公室癱瘓，對於中央行控管的價值，可能有待商榷了，雖然便於MIS管理，但卻又造成集體感染的主因。

不過今天賺了五個小時的志工時數，也算值得了，再次又邁向榮譽志工的更近了一步。

註：榮譽志工是指依造志願服務法規，志工服務年資滿三年，服務時數達三百小時以上者，可以向地方主管機關申請志願服務榮譽卡。

詳細志願服務請參閱：內政部全球志願服務資訊網

反思：

• 國內知名資安防毒廠商趨勢，造成企業資安出現嚴重的漏洞～
• 趨勢看門狗，竟然也學起了關羽華容道放曹操的舉動～
• 趨勢看門狗，竟成了資安防火牆的吳三桂～

若想知道更多的消息，歡迎加入布雷克人生粉絲專頁！