[轉錄]隨身碟病毒的憂鬱
※ [本文轉錄自 AntiVirus 看板]
作者: hirokofan (笠原弘子 命!) 看板: AntiVirus
標題: 隨身碟病毒的憂鬱
時間: Fri Feb 29 00:19:02 2008
一、隨身碟病毒的憂鬱
前言
老頭我最近被隨身碟病毒煩死,明明很早之前就跟大家說這個東
西很麻煩,可是中的人還是中,到現在可說是「天天都中毒,就是
X樂福」。偏偏裝的防毒軟體是又弱又遲鈍,總是被kavo攻破繳械,
使用者又沒有警覺性,等到發現中毒已經不曉得把病毒傳到哪邊去了。
某天研習,跟大家要了隨身碟來掃毒,十幾枝隨身碟只有三枝沒中,
這幾天更是一台接著一台,清完之後又輪回來。
到這種地步怎能不怒呢?好在 PTT防毒版有很多強者開發出許多
好用工具免費供人使用(感謝無價),否則我早就怒到中風,哪可能
還來這裡廢話?
總之,我把最近跟隨身碟病毒對抗的一些心得分享出來,如果有
講錯誤人子弟的地方請盡量鞭^_^
HC的碎碎唸
很久以前我就不相信耶誕節收到的電子賀卡,儘管現在他們已經
會講中文了。摸著電腦這些年,我清楚的(?)瞭解到,這個窗戶系
統的安全性是千瘡百孔,縱使有個系統設計的完美無缺,由於科技始
終來自於惰性,這種東西遲早會被白痴的人機介面淘汰。不過我是到
了三年前才發現防毒軟體不是萬能的,算了,反正我不過是個人畜無
害的好人,身旁也沒有建立社團的神,如果有什麼宇宙 Cracker、未
來 Cracker和超能力 Cracker存在的話,求求你們別找上我就好了。
儘管我終於知道防毒軟體不是對小Me身體檢查之後藥到病除,但
仍阿 Q的希望他們是很好很強大,因此對於他們用掉大量的記憶體讓
電腦猛吃SWAP、耗費時間開機掃描讓CPU一直Loading、沒事還跳出來
擋我要去的(奇怪)網站,這些不便我都不放在心上。只是一碰到隨身
碟病毒,才讓我發現他任憑病毒予取予求,好不容易讓防毒軟體恢復
正常,去查他的病毒資料庫,啥?嚴重性低?....如果我有 CIH的本
事,我就....算了,反正我也沒那本事,只能夠嚷著:
「絕望啦!我對又弱又遲鈍的防毒軟體徹底絕望啦!」
卡夫卡:「不過看起來還沒徹底呀!」(mail-mail-)
(導播,這段正式來的時候cut掉....)
二、隨身碟病毒的真名
隨身碟病毒是什麼?
隨身碟病毒就是病毒嘛!(HC被人拖去打)
之所以被稱為隨身碟病毒,是因為他的主要傳染途徑是透過隨身
碟散佈,要注意的是,外接硬碟、數位相機、記憶卡等外接式儲存裝
置都要視為隨身碟(所以正式的名稱是 USB蠕蟲),因此這個傳染途
徑比想像中還要大。
此外,雖然被通稱為隨身碟病毒,但是這類病毒一樣會感染到內接的
磁碟機,不要因為名稱就被混淆了。
正式名稱為「USB蠕蟲」
根據國家資通安全會報技術服務中心的通報ICST-ANA-2008-0002,
一般通稱的隨身碟病毒叫USB蠕蟲,請參考
http://enc.cyc.edu.tw/modules/news/article.php?storyid=209
三、隨身碟病毒的症狀
感染症狀
感冒的病毒有很多種,隨身碟病毒也一樣,不過他們有一些共同
的症狀,只要使用者稍有警覺性就能很快發現你的隨身碟甚至電腦已
經中毒了。
以下是中了隨身碟病毒的症狀,請檢查你是否有這些現象,我碰
到十台有十台是中毒的。
* 隨身碟點兩下無法開啟
* 隨身碟剛插上電腦還能用,過一會兒就無法使用,拿去另一台
電腦又可以使用
* 從「我的電腦」滑鼠雙擊無法開啟磁碟機,按右鍵選「開啟」
才能打開
* 用「檔案總管」才能開啟磁碟機
如果你看到下面這個訊息,別懷疑,100%中毒。
* 電腦用到一半跳出一個視窗上面有「kavo」或「tavo」字樣。
四、隨身碟病毒的原理
傳播原理
如果你有拿過遊戲或軟體的光碟安裝的經驗,應該會記得,光碟
一丟進去會馬上跳出一個畫面準備安裝,這就是自動執行功能。只要
在根目錄下面寫好 autorun.inf,在裡面設定要執行的程式、光碟的
圖示等, Windows就會在你放入光碟時依照 autorun.inf的內容自動
執行,如安裝畫面。
隨身碟病毒便是利用這個方式,在 autorun.inf裡面寫上病毒所
在位置,讓 Windows自動執行病毒檔案,讓使用者在剛插上隨身碟的
時候就中毒了,這種方法很簡單也很實在,只要插上有毒的隨身碟,
剩下的就看你的防毒軟體是很好很強大還是又弱又遲鈍了。
隨身碟病毒的共同特點就是這個 autorun.inf,基本上他帶的毒
破壞力並不強,麻煩的是在後面。
病毒也會「更新病毒碼」
不論卡通還是電影,當賊的入侵之後第一件事情就是搞掛保全系
統,當隨身碟上面的「先行者」登陸到你的電腦之後,就會想辦法烙
大隻的過來,在開機的時候搶先執行,癱瘓防毒軟體。現在大部分的
電腦都有上網,對病毒而言根本沒有難度。等到病毒進來之後,要做
什麼就隨病毒高興了。
早期的隨身碟病毒會躲在資源回收桶裡面,因為隨身碟是不會有
資源回收桶的(包括記憶卡、數位相機等,外接硬碟不算),因此很
容易判斷(只是殺不掉-_-)。
後來病毒也不躲了,直接待在根目錄,只是改成跟系統檔案很像
的名字,沒弄好誤殺反而會把系統弄掛。有些是.com的檔案,這種多
少還能判斷說不是自己產生的,只是一般人的電腦都設定不顯示副檔
名,大概也分不出來。
於是就有人說不要隱藏副檔名有助於讓自己發現病毒,結果最近
的隨身碟病毒,副檔名已經變成.exe和.bat,名字幾乎是隨機產生
(如g.exe、6.bat)光從檔名很難判斷。
五、隨身碟病毒的感染
感染對象
作業系統:Microsoft Windows XP/2003/Vista
硬體:內接式硬碟、隨身碟、數位相機內建記憶裝置、記憶卡、外接
式硬碟等
高危險區
接觸的隨身碟越多,電腦就越危險,如
* 照相館讀取記憶卡的電腦
* 無人管理的公用電腦
重灌電腦不一定能解決隨身碟病毒!
有很多人中毒就重灌,但是重灌不見得能夠對付隨身碟病毒。因
為這類人通常是把磁碟印象檔(如 GHOST檔的.gho)放在資料碟,系
統重灌了但是其他磁碟機還是保留原狀,隨身碟病毒仍然存在電腦中,
重灌 N次還是一樣的結果。
用格式化清除隨身碟病毒只對隨身碟(外接硬碟、記憶卡等)有
效,真正麻煩的是受感染的電腦,「斬草不除根,春風吹又生」,沒
有對症下藥只是浪費時間。
還原系統不一定能除掉隨身碟病毒!
有些地方的公用電腦會裝還原系統,但是通常只對系統槽(如C:)
管理,而隨身碟病毒會藏在每一個磁碟機,即使系統還原了病毒仍可
能存在 D槽。
除非系統還原時是把所有磁碟都恢復成原始狀態,不然「野火燒
不盡,春風吹又生」,還原也只是還原心酸的>_<
六、隨身碟病毒的潛伏
感染初期難以發覺
如果中了毒會馬上發作,這樣的毒比較好控制,因為我們可以很
容易鎖定感染範圍即刻處理。但隨身碟病毒感染初期很難發現,因為
中毒的隨身碟剛插上去的時候還能正常使用,即使怪怪的仍然能靠右
鍵開啟或重新插入隨身碟,缺乏警覺性的人往往懷疑隨身碟或電腦故
障,把隨身碟拿去別的電腦使用,擴大受感染的範圍。
受到感染的隨身碟在缺乏警覺性的使用者手上不斷的把病毒傳播
到其他電腦,這些電腦再繼續感染接觸到的隨身碟,南北交流,城鄉
合作,有朋自遠方來,一起中毒。等到發現災情嚴重時已經不知該從
何查起,看到一台電腦中毒,就得當作有三十台電腦中毒,就算是好
人也會生氣的。
七、隨身碟病毒的破壞
竊取個人資訊
隨身碟病毒發作之後,最簡單易見的問題就是硬碟點不開,如果
你認為只要按右鍵開啟就解決的話,那實在很危險。設計病毒的人不
是吃飽沒事幹,他們的目的當然是錢。要怎麼讓一台中毒的電腦吐錢
出來?自然就是偷使用者的帳號密碼,然後把有價值的東西拿去賣。
目前我聽過的案例是線上遊戲的帳號密碼被偷光,虛擬寶物噴光
光,至於他會不會偷其他的,比如說電子郵件信箱、拍賣網站帳密,
這個我不知道。
另外他們會癱瘓你的防毒軟體,到時系統會死於何種病毒我也不
知道。
除了硬碟點不開這個問題之外,比較明顯的狀況是系統會跑得很
慢,時常發生錯誤,由於隨身碟病毒引進來的「大傢伙」各有不同,
毒性弱的還能簡單處理掉,毒性強的可能要搏鬥很久才能解決。
八、隨身碟病毒的刪除
救援中毒的電腦
現在有很多專殺隨身碟病毒的工具,這裡我介紹PTT防毒版的
junorn寫的EFix
http://reinfors.googlepages.com/efix
進入網頁後把EFix下載到自己的電腦,雙擊執行之後依照指示點
「是」按 「Enter」,跑完重開機。EFix可以把一些已經登記有案的
病毒檔案,以及從 autorun.inf找出病毒檔案名稱全部刪除,然後修
復Windows XP的登錄檔案,如果登錄檔案被病毒改過的話。
如果你擔心中毒很深,可以再跑ComboFix,過程比EFix稍微複雜
一點點,因為EFix是從ComboFix特製簡化來的。
http://reinfors.googlepages.com/Combofix
不過這樣子還不算完成,重開機後要用防毒軟體完整掃描一次,
因為EFix是用檔名來判斷,前面說了現在的隨身碟病毒檔名千奇百怪,
要抓的話得要靠防毒軟體抓特徵才行。我碰過有人中了好幾個隨身碟
病毒(這是在煉蠱呀....),EFix抓到了大部分的有名病毒和
autorun.inf記載的,但還有一隻隨機名稱的病毒留下來。
九、隨身碟病毒的餘孽
殘留的autorun.inf
有時隨身碟上的病毒會被防毒軟體發現,防毒軟體自然就很盡責
的把病毒殺掉,但是 autorun.inf本身只是個記載著要執行什麼程式
的純文字檔案,並不是病毒,因此很可能被留下來。當這樣的隨身碟
插上電腦之後,就會依照 autorun.inf裡面記載的內容來跑,也就是
要執行病毒檔案,但病毒檔案已經被殺了一定找不到,這時系統就會
跳出訊息說他不知道怎麼辦才好。
當然還是可以用檔案總管或用右鍵開啟,不過問題只是在
autorun.inf,只要把他清除就可以了,可以用命令提示字元(DOS視窗)
執行 「del /a:shr X:\autorun.inf」(X:隨身碟的磁碟機代號)。
當然如果嫌這樣麻煩,也可以拿EFix處理。
十、隨身碟病毒的預防
讓電腦提高警覺
如果你的防毒軟體不是很好很強大,可以考慮PTT的blman寫的
「Wow! USB Protector」或「Wow! USB VirusKiller」。
這兩者不能混用,功能基本上都差不多,他們會定時更新病毒資
料庫,當有毒的隨身碟插上電腦時會發出警告或直接殺掉。
Wow! USB Protector
http://antbsd.twbbs.org/~ant/wordpress/?p=1044
Wow! USB VirusKiller
http://antbsd.twbbs.org/~ant/wordpress/?p=1043
關閉「自動執行」
要預防隨身碟病毒,關閉自動執行是一個基本方式,可以參考國
家資通安全會報技術服務中心提供的方法
* 關閉自動執行(PDF檔)
* http://enc.cyc.edu.tw/modules/news/visit.php?fileid=46
另外,執行了EFix之後也會關閉自動執行。
選用有防寫功能的裝置
現在的隨身碟要找有防寫功能的好像不容易,而SD卡有個防寫的
開關可以調整。
不過就算有防寫功能,要去跟別人複製東西的時候還是要打開,
會死的終究會死-_-....
十一、隨身碟病毒的偵測
病毒快速判別
就算防毒軟體被繳械,我們還是有很多種方法可以判斷是否中了
隨身碟病毒。
* 打開「我的電腦」,在磁碟機的圖示上按右鍵,如果你看到
「自動執行」而且是粗體,十之八九是中毒。
* 進入「命令提示字元」(DOS視窗),輸入「dir/a c:\」
(看你要檢查的磁碟機代號),如果看到 autorun.inf,有很
高的機率是中毒。
* 承上,輸入 「type c:\autorun.inf」,看看裡面寫了什麼東
西,如果裡面有執行檔(.exe、.com、.bat等),這時候可以
請EFix出來了。(註:有些人會建立一個 autorun.inf的「資
料夾」來防止隨身碟病毒,用type是看不到的,這不是中毒)
十二、隨身碟病毒的消失
時間會解決....
除非電腦系統改朝換代,想根絕隨身碟病毒不容易,兩年前出現
到現在,中過毒依然中毒,沒中的也跟著中了。加上隨身碟便宜的跟
水一樣,越來越多人有隨身碟,這叫人怎麼能樂觀?只要人有惰性,
只要人缺乏警覺性,這些病毒就能「生生不息」,要隨身碟病毒消失,
可能得等隨身碟被淘汰吧-_-
--
◢███◣
◤ ≡ ______________________________________
─⊙-⊙- / \
皿 _/ 把台灣那些可悲的節目收一收 該吃飯了 /
◣ ︶◢ \______________________________________/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.165.134.63
推
02/29 00:28,
02/29 00:28
推
02/29 00:46,
02/29 00:46
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 60.198.6.205
→
02/29 00:46, , 1F
02/29 00:46, 1F