南大資安電子報 第一期 @ 南大資通安全防護網  發行日期:2008225


我的隨身碟中毒了,該怎麼辦?


 


2007年是USB病毒頻頻肆虐的一年, USB裝置的便利性, 讓病毒在電腦與USB裝置間彼此互相感染,並擴大影響到區域網路的範圍。以下將說明何謂USB病毒以及相關的預防、解毒手法。


   


一、 何謂 USB 病毒



病毒透過
USB 可攜式裝置散播,受感染的電腦在各磁碟機會產生 autorun.inf 檔案,當使用者在磁碟機的圖示上點兩下,便會執行 autorun.inf 與病毒檔案,倘若在受感染的電腦上使用 USB 可攜裝置,便會將病毒檔案與 autorun.inf 複製到 USB 裝置內,當該裝置插入其他電腦使用時,因為自動播放功能會自動執行 autorun.inf ,病毒便可再次感染其他電腦。


  


二、 USB 病毒特性



常見的病毒檔案為
kavo.exe ntdelect.com kavo1.dll 1 可能為其他數字)、 ubs.exe ,並在各磁碟機下產生 autorun.inf 檔案,而 autorun.inf 通常為隱藏檔。感染病毒後系統無法勾選顯示隱藏檔的選項,藉以避免使用者發現病毒檔案。



除了透過
USB 介面的儲存裝置感染外, Windows 系統的「網路磁碟機」也是另一種感染途徑。因為 Windows 系統也會將網路磁碟機視為「本機磁碟」,若很多使用者都將區域網路上分享的資料夾,設定成網路磁碟機時,病毒就可以大量傳播,比單純依賴 USB 儲存裝置感染速度還快。 



奕瑞科技客服專員陳怡吉指出,近來
USB 病毒多半是以 Kavo.exe 入侵電腦,但這只是混淆視聽的作法,讓大眾誤認為只有 Kavo.exe 是病毒檔案,其實真正的幕後黑手是 taso.exe ,它是一支木馬程式。最早這類型程式用於竊取線上遊戲帳號及密碼為主,但演變至今,可能也會盜用其他 Windows 帳號及密碼、或取得 Cookie 等私人資料,或許不會破壞電腦檔案,但儲存在電腦中的資料,惡意程式都可一覽無遺,危險度高,更需要注意。 


  


三、 中毒特徵


 仔細觀察你的電腦是否發生以下狀況:


1. 無法開啟磁碟機


2. 點選磁碟機時會出現另一個新視窗顯示


3. 點選磁碟區時會顯示「請選擇開啟檔案的程式」


4. 程式出現執行錯誤


5. 特定檔案的屬性被刻意設為隱藏


6. System32 資料夾有異常


 


以上這些狀況都是有可能感染了 USB 病毒的異常情形,另外後期較新的變種大多無上述現象,而僅作感染。


  


四、 解決方案(如對系統操作不熟悉,請委由他人代為處理)


        
目前 Kavo Killer USBCleaner 是網路上針對 USB 病毒開發的程式,都能免費使用這些程式 ( 點選連結可連至下載點參閱,使用該程式時請自行注意風險 )


        
USBCleaner
是由中國人所開發的程式,處理效果不錯,而且還能修復異常機碼、偵測 USB 儲存裝置及啟發式掃描功能,還有 auto.exe 掃毒工具,能找出許多隱藏於電腦系統中的 USB 病毒資料。 不過這種程式主要是偵測病毒名稱,一旦名稱改變就無法掃描,所以需要時常更新解毒程式,才能因應新種病毒的威脅。


         
為此,Kavo Killer的作者開發可自行解決的解毒程式,如果你知道電腦被特定類型的USB病毒攻擊,並能自行分析出程式名稱及路徑,就可以自己打造專用解毒程式。


  


五、 預防方案(如對系統操作不熟悉,請委由他人代為處理)



 
1. 
允許使用 USB 但停用(關閉) AutoRun



(1)
放入隨身碟時請趕緊壓按 shift 鍵以暫時 ( 非永久 ) 取消 autorun 的功能。


(2) 開啟隨身碟請用 " 滑鼠右鍵 " " 內容 " 或以 " 檔案總管 " 瀏覽,切勿用滑鼠左鍵雙擊。


(3)  選擇有防寫開關的隨身碟產品,在他人電腦上使用前即先將隨身碟切至防寫模式。


(4) 使用本機群組原則關閉( 適合單機使用,也可使用於 AD 的群組原則 GPO)



A.
開始 執行 輸入 gpedit.msc (Windows XP Home Edition 不適用 ) 確定


B. 出現 " 群組原則 " 視窗 ,依序選左邊視窗的 電腦設定 系統管理範本 系統


C. 找到右邊視窗的 關閉自動播放 ,滑鼠左鍵雙擊


D. 出現 " 關閉自動播放 內容 " 對話窗 , 點選 " 已啟用 "


E. 接著在 " 停用自動播放在 : " 的下拉選單 ,選擇 " 所有裝置(磁碟機) "


F. 最後按確定完成, 插上隨身碟或其它外接裝置就不會再自動執行了




  


2. 自行建立名為 autorun.inf 資料夾



優點:能防止病毒藉由
autorun.inf 載入 



限制:所有磁區都要建立,只防護自動載入病毒,無法防護手動執行


此種作法還是有限制。例如電腦主機的各磁區都已新增 autorun.inf 的資料夾,而後接上有病毒的 USB 隨身碟時, Windows 系統還是會自動執行 autorun.inf ,並載入相關病毒,到 C 磁區中的 Windows 系統資料夾中,該電腦依然會中毒,然而當該病毒要寫入其他磁區的根目錄時,因為這些地方都已經存在 autorun.inf 資料夾,而無法感染,中毒範圍僅局限在 Windows 系統資料夾中。 



需要注意的是,此方式僅防範病毒利用
autorun.inf 自動執行的功能,若使用者不慎點選病毒檔,還是會中毒。



  


註: 1. 由於隨身碟病毒變種繁多,本文提供的解毒程式不能保證可完全清除。已中毒的電腦若無法完全清除,請委由電腦公司人員解毒。


2. 隨身碟病毒可能會感染本機所有磁碟,重新安裝C槽作業系統時,請注意到這點。



資料來源:
iThome online:天啊!我的隨身碟又中毒了
趨勢科技 2008 技術通報 - USB病毒防治要點
網路攻防戰:USB大作戰


























    公告時間
主旨
    2008-02-25第1期:我的隨身碟中毒了,該怎麼辦?
    2008-04-28第2期:ARP欺騙攻擊說明
水平分隔線
    2008-09-23第3期:校園使用P2P分享軟體宣導
    2009-03-17第4期:使用者密碼設定與管理原則


全站熱搜

Ben 發表在 痞客邦 留言(0) 人氣()