随身安心碟白皮书
随身安心碟白皮书
随身碟病毒让许多使用者头痛不已,因为它防不胜防,杀了又中,中了 再杀,无止尽的变种病毒更是令人难以招架.到底该如何因应这样的威 胁,建构全面性的防护,我们将更深入解析随身碟病毒的危害,手法及 防御之道.
「自动执行」感染手法的恶意程式仍名列病毒排行首位
早在2006年间就开始陆陆续续的出现随身碟病毒感染新闻,例如某 知名速食业者所提供的10000台MP3播放器感染了恶意程式,一旦使用 者将该MP3播放器插入到电脑,恶意程式就会透过Auto Run功能被自动 执行,根据了解,当时该厂商所提供的映像档可能已遭感染,因此立 即将所有的赠品回收,同年九月,另一家知名厂商所制作的Video/MP3 Player也夹带Windows 蠕虫,同样也是 透过USB卸除式磁碟机四处散播.
目 录
「自动执行」感染手法的恶意程式仍名列病毒排行首位
■P1
零星的国外案例并未吸引大家的 重视,直到 2007年7月份台湾USB病 毒大量爆发,大家耳熟能详的KAVO 随身碟病毒肆虐,各大的新闻,媒 体,杂志,论坛才开始进行深入探
随身碟病毒感染的幕后黑手-自动执行 (Autorun) 功能
◆Autorun.inf文件的内容到底是什麼 ◆随身碟病毒的症状到底有哪些呢
P2 P2
■P2
讨.几乎人手一支的USB随身碟,转 眼间成为闻之色变的病毒散播媒介, 根据卡巴斯基2010 六月份最新的恶 意程式统计排名,具有利用Auto Run自动执行特性的恶意程式 Net-Worm.Win32.Kido,Trojan.Win32.AutoRun,Virus.Win32.Sality.aa 仍大量 的占据恶意程式Top 20排名.(如左图)
随 身 安 心 碟
如何对抗随身碟病毒,向Autorun说不
◆为什麼无法根除USB病毒 ◆如何删除随身碟病毒 ◆如何预防随身碟病毒
P3 P4 P5
■P3
随身碟病毒感染的幕后黑手-自动执行 (Autorun) 功能
说到USB病毒,就不得不提到微软作业系统的自动执行 (Autorun) 功 能.最初,Autorun功能主要是设计是用来增加程式安装或浏览CD/DVD 多媒体的方便性,当我们放入CD/DVD光碟后,会自动跳出一些互动式 的选单.该选单就是透过自动执行功能来检查所属媒体的根目录下, ■P7 是否有Autorun.inf的参照文件,若有该文件,自动执行功能会依据 Autorun.inf文件的内容叙述与语法来决定开启指定档案的方式. ◆以下,我们来解析一下Autorun.inf文件的内容到底是什麼:
■P1
白
皮
就是要让病毒看不到-随身安心碟
◆该如何解决这个问题呢
P7 P7
书
◆到底要怎麼样做,才能让病毒看不到随身碟的磁碟区呢
随身安心碟白皮书
[autorun] icon=shell32.dll(随身碟图示,可以是.ico,.bmp,.dll,.exe等等) label=temp(随身碟的名称) open=virus.exe(随身碟点两下时直接执行virus.exe的档案) shell\open\command=trojan.exe 在我的 (
电脑下双击该磁碟直接执行trojan.exe) shell\open\explorer=worm.exe 开启档案 ( 总管时执行worm.exe)
7.导致程式执行发生错误,无法进入安全模式,系统当机(BSOD), 系统日期错误…等. ▼破坏防毒软体: 1.导致防毒软体无法运作,部份元件失效无法执行. 2.无法进行更新. ▼网路装置元件故障: 1.无法浏览防毒公司的网站或更新病毒特徵码;此为病毒的自我保护机 制,避免被新版本的病毒码所侦测.(更进阶的加强型变种病毒,还 会自行上网去更新病毒的版本,藉此降低被删除的机率.) 2.网路连线资料空白,无法正常上网. ▼解毒后的异常: 1.无法直接开启磁碟机,系统会询问要以何种应用程式来开启. 2.出现程式执行错误的提示讯息. *一般来说,只要符合上述2～3项症状,十之八九就是中毒了.
USB病毒简易的感染流程如左图 : ◆随身碟病毒的症状到底有哪些呢 由於USB病毒类型众多,变种程度 难以估计,因此电脑感染后的症状也 不尽相同.常常有使用者认为只要不 影响电脑的正常使用就好了,但是中 毒毕竟就是中毒了,后面隐藏了很 多危机,到底感染后最典型的徵状 有那些呢 ▼破坏作业系统: 1.电脑所有磁碟的根目录下被写入 Autorun.inf文件与恶意程式,通常该档

下一页