隨身碟病毒已經「流行」了近兩年的時間,但是隨著微軟漏洞的修補、各式防毒軟體的更新,它仍然藉著快速的變種病毒繼續肆虐使用者的電腦及隨身碟,許多人感染了USB病毒而不自覺,因此讓感染的狀況不斷擴大。在這篇文章中筆者還是要老生常談一下,將USB病毒的感染原理和預防方式再次介紹一次,希望能增加各位讀者的隨身碟防毒知識跟技巧,解決惱人的USB病毒問題。
前言
隨著網路的使用日益普及,越來越多不肖分子會透過網路來從事不法勾當,從電腦病毒、個人機隱資料的竊取、到電腦的入侵,可能造成使用者不小的損失。因此使用者資訊安全觀念的建立也就日益重要,有正確的觀念加上防護技巧,可大大減低使用網路的風險。
從去年開始資策會舉辦了「資安週」的活動,目的在加強全民資安的概念,今年的資安週主題為「個人隱私資料保護」,阿正老師也參與了該活動,撰寫了兩篇文章,希望能讓讀者對USB隨身碟病毒的防治及瀏覽器的安全有基本的認識。大家也可以連上2009資安週的網站(http://cybersecurity.tw/),裡面有不少簡單易懂的資安觀念的教學,還設計了可愛的故事人物及生動有趣的Flash動畫網站內容,一定能得到不少收穫喔!
※2009資安週網站:http://cybersecurity.tw/
一、什麼是「隨身碟病毒」?為什麼防毒軟體擋不住?
「隨身碟病毒」是指經由隨身碟來感染、散播的病毒,只要一台電腦、或是一支隨身碟感染了病毒,在這部電腦上插入的其他隨身碟,或是中毒的隨身碟插過的電腦,全都會被感染,散播速度非常快,而且難以預防。
USB病毒是透過Windows本身的「自動執行」功能的漏洞來感染,一般都會在硬碟及隨身碟的根目錄產生一個autorun.inf檔,透過該檔案來感染,並修改Windows的登錄檔,讓病毒能夠隨著開機自動執行。
為什麼防毒軟體擋不住USB病毒呢?因為其實很多的USB病毒本身只是一隻下載器(downloader),它會自動上網去下載變種病毒(也就是會「自動上網更新」的病毒啦~),而且變種的速度極快,這對需要依賴病毒碼來偵測的掃毒軟體來說,是很難預防的,通常能偵測出來的USB病毒不超過50%,而且即使防毒軟體抓到了,也不見得能殺得掉這些USB病毒。
因此即使你安裝了最新的防毒軟體,也很難抵擋病毒的入侵!
二、中毒後會有什麼症狀?
中了隨身碟病毒的電腦,仍然能正常工作,但是可能會發生以下幾種狀況:
- ■ 電腦的速度明顯變慢
- ■ 某些磁碟機無法開啟
- ■ 某些程式無法執行,或自動不正常關閉
- ■ 自動關機等情況
- ■ 防毒軟體會不斷跳出警告視窗,但是選擇刪除病毒後卻仍然繼續出現該警告
這些幾種是常見的中毒症狀,但不僅限於USB病毒,其他類型病毒可能也會有類似的症狀。
三、如何判斷是否中毒?
要判斷是否中了USB病毒的方式其實很簡單,只要檢查你的硬碟或隨身碟中是否有可疑的隱藏檔就可以了。步驟如下:
1.打開「我的電腦」,進入「本機磁碟(C: )」,從上方的【工具】選單,點選【資料夾選項】。
2. 進入「檢視」頁籤,依下圖所示,取消勾選「顯示保護的作業系統檔案」,並點選「顯示所有檔案和資料夾」。
3.按下〔確定〕按鈕之後,正常應該會出現一些隱藏檔,如下圖中的AUTOEXEC、NTDECT、boot…等(檔案圖示為半透明)。
4. 如果你沒看到這些檔案,那就表示你的電腦已經中標了,而且是病毒把顯示隱藏檔的功能關掉了。這時候你可以先進入「命令提示模式」(按左下角的〔開始〕→【執行】,輸入 CMD 然後按〔Enter〕),接著輸入:
CD \
Attrib –h
檔名前面有SHR表示該檔案具有系統檔、隱藏、唯讀等三種屬性,如上圖中的autorun.inf跟mrsne.bat就是不該出現的檔案,八成就是病毒。
※常見病毒的副檔名: exe cmd inf cmd bat com pif scr
想要判斷病毒很簡單,只要輸入:
type autorun.inf
如果看到類似上圖的檔案內容,裡面有個open=xxxxxxx ,表示那個檔案就是病毒了。
5.有些病毒並不會關閉顯示隱藏檔的功能,此時你只要看看C磁碟機中有沒有個autorun.inf的檔案,並且有一個以上檔案大小為90~200KB左右的隱藏檔,表示你已經中毒了。
是不是直接砍掉這些病毒檔案就能解毒呢?答案是不行的,因為病毒已經常駐到記憶體中,是無法刪除這些檔案的,即時透過檔案解鎖軟體將檔案刪除,一下子又會產生出來,必須透過殺毒軟體來清除。
目前有些隨身碟掃毒程式具備「免疫」的功能,但是僅對少數病毒有效,因此目前對付隨身碟病毒的唯一方法,就只有靠我們「手動」去掃毒了。
EFix的官方網站已經改了喔,http://reinfors.blogspot.com/ 這個才對,老師您貼的是舊的了。
[…] This post was mentioned on Twitter by 阿正老師, Bruce Liu. Bruce Liu said: [RSS feed] [2009資安週] 隨身碟病毒小常識,讓你跟USB病毒說Bye Bye!: 隨身碟病毒已經「流行」了近兩年的時間,但是隨著微軟漏洞的修補、各式防毒軟體的更新,它仍然藉著快速的變種病.. http://bit.ly/qGxJl […]
已經修正囉~ 謝謝指正
[…] [2009資安週] 隨身碟病毒小常識,讓你跟USB病毒說Bye Bye 十一月 9, 2009 Posted by e8401083 in 資安專區. trackback [2009資安週] 隨身碟病毒小常識,讓你跟USB病毒說Bye Bye […]
謝謝你提供的資訊喔~^^讓我更了解USB病毒^^
那的確是很麻煩的病毒呢@@
隨身碟病毒已經「流行」了近兩年的時間,但是使用者的sense幾乎一點都沒有提昇!= =”
無論安裝再強的防毒軟體,沒有好的使用習慣及觀念,還是裝心酸的!
這就好像有打H1N1的疫苗了!但偏偏跑去和帶原者共用衛生用品,不中獎也難!
病毒真的很麻煩,尤其對不是高手的普通人來說,哎~~
隨身碟病毒真難纏,每次用完都格式化~~
不知道拆組達人所說~好的使用習慣和觀念指的是什麼?
Hi~你好:
我是位於東區-真愛貝齒牙醫診所的蔡忠翰醫師
看到你的部落格,覺得你經營的好精美豐富!
內容也很喜歡!我目前也有在經營部落格~
想與你交換連結部落格~不知道可以嗎? ^___^
可以來我的部落格及網站看一下喔!
奇摩Blog: http://tw.myblog.yahoo.com/jw!6BjBPZ6YHx9bP157Gzxf7QvIUQ–
網站:http://www.loveteeth.com.tw/
PS. 不是商業廣告目的喔!只是想單純的分享好的部落格! ^_^
提供一下我的預防隨身碟病毒方法。
1. 關閉 Windows 系統的 autorun 功能,方法可以到 Google 去搜尋關鍵字『關閉自動播放』,最後記得選『已啟用』及『所有磁碟機』。
2. 安裝阿正老師在最後在備註所寫的 patch。
步驟一是當 USB 隨身碟插進電腦時,Windows不會自動去讀 autorun.inf 的內容,所以就不會自動開啟隨身碟中的病毒程式(or downloader)。
但是如果使用者從在『我的電腦』或是檔案總管的右邊區域,在USB隨身碟的ICON上點兩下開啟隨身碟,這時笨笨的Windows就還是一樣會去開啟 Autorun.inf,如果隨身碟帶毒的話就會病毒就會執行啟來。
步驟二的 Patch 就是為了解決這個問題,安裝 Patch 之後,關閉自動撥放後在我的電腦中點兩下USB碟,Windows也不會去讀Autorun.inf的內容了。
以上的方法在防止有毒的 USB 硬碟插到電腦時,電腦不會自動被隨身碟內的病毒感染。並不能作到〝這隻隨身碟〞不會被感染,也不能防止『使用者自己去點病毒執行檔』造成的病毒發作。
自己的一點淺薄經驗,提供大家參考。
[…] 一份一千 三份八折 其他相關的usb病毒安全防護知識請參考以下網址 http://blog.soft.idv.tw/?p=639 […]
我照著老師交的方法輸入了,結果出現亂碼耶@@~
感謝阿正老師無私的分享,但我的情況比較特別,希望阿正老師能指點迷津。
感謝阿正老師無私的分享,但我的情況比較特別,希望阿正老師能指點迷津。我懷疑我的電腦中了usbc病毒,一個外置的HDD內的資料被攪亂了。但跟老師的方法卻未能在C:內找到中毒的證據,而usbc file 卻在外置的HDD內出現了兩個,我應該怎辦?到底有否中毒?敬希賜教,感激不盡!!