网页正式版 USB蠕虫（随身碟病毒）的处理与防治 http://hirokofan.myweb.hinet.net/exe/usb_worm_std/ 网页碎碎念版 随身碟病毒的忧郁 http://hirokofan.myweb.hinet.net/exe/usb_worm/ 有错请鞭转载OK 一、随身碟病毒的忧郁 前言 　　随着各式储存装置售价降低， USB外接式储存装置越来越普及，这类装置体 积小、容量大、随插随用十分便利，这些好处对於个人、团体都有相当大的实用 性。 　　Cracker 自然不会放过这个管道，对一般人便利的东西，对他们而言也是便 利的。藏在随身碟中的病毒，就这样一台一台传染，如果机关对随身碟没有一套 管理政策的话，病毒很容易就会在内部蔓延，并趁着和其他团体交流的时候把病 虫传播出去。 　　比方说有个研习，讲师很好心的把资料复制给学员，可是某人的随身碟中毒 了，病毒就这样传给其他学员，这些人又把病毒传到自己所属机关的电脑、传给 自己的同事，然後又.... 　　某日研习，我向来自各地的研习人员借随身碟来检查，十几枝随身碟中只有 三枝没有中毒，虽说会拿来扫的人可能是认为有问题才拿给我，不过总人数才三 十人就有这麽多随身碟中毒，这个状况也是很恐怖。当天我把病毒清掉，但是我 悲观的认为回去之後还是会中毒的，因为「毒窟」是电脑而不是随身碟.... 　　好在 PTT防毒版有很多使用者上传检查 log、回报中毒情形；不少厉害的人 检视这些问题并开发出许多工具免费供人使用（感谢无价），我才能踏着前人之 路简单的处理掉这些问题。总之，我把最近跟随身碟病毒对抗的一些心得分享出 来，希望能对碰上相同问题的人有所帮助，并向在这个病毒灾害付出心力的人致 上敬意。 HC的碎碎念 　　很久以前我就不相信耶诞节收到的电子贺卡，尽管现在他们已经会讲中文了。 摸着电脑这些年，我坚信这个窗户的安全性是千疮百孔，由於科技始终来自於惰 性，纵使有个系统设计的完美无缺，这种东西迟早会被白痴的人机介面淘汰。尽 管如此，我还是到了三年前才发现防毒软体不是万能的，算了，反正我不过是个 人畜无害（？）的好人，身旁也没有要让世界变得更有趣的神，如果有什麽宇宙 Cracker、未来Cracker和超能力Cracker存在的话，求求你们别找上我就好了。 　　尽管我终於知道防毒软体不是对小Me身体检查之後药到病除，但仍阿 Q的希 望他们是很好很强大，因此对於他们用掉大量的记忆体让电脑猛吃SWAP、耗费时 间开机扫描让CPU一直Loading、没事还跳出来挡我要去的奇怪网站，这些不便我 都不放在心上，如果能让电脑免於病毒摧残，这点代价是可以接受的。只是一碰 到随身碟病毒，才让我发现他任凭病毒予取予求，好不容易让防毒软体恢复正常， 去查他的病毒资料库，啥？严重性低？....如果我有 CIH的本事，我就....算了， 反正我也没那本事，只能够嚷着： 「绝望啦！我对又弱又迟钝的防毒软体彻底绝望啦！」 卡夫卡：「问号的位置没有错吗？」（mail-mail-） （导播，这段正式来的时候cut掉....） 二、随身碟病毒的真名 随身碟病毒是什麽？ 　　随身碟病毒就是病毒嘛！（HC被人拖去打） 　　之所以被称为随身碟病毒，是因为他的主要传染途径是透过随身碟散布，要 注意的是，外接硬碟、数位相机、记忆卡等外接式储存装置都要视为随身碟（所 以正式的名称是 USB蠕虫），因此这个传染途径比想像中还要大。 　　此外，虽然被通称为随身碟病毒，但是这类病毒一样会感染到内接的磁碟机， 不要因为名称就被混淆了。 正式名称为「USB蠕虫」 　　根据国家资通安全会报技术服务中心的通报ICST-ANA-2008-0002，一般通称 的随身碟病毒叫USB蠕虫，请参考 http://enc.cyc.edu.tw/modules/news/article.php?storyid=209 三、随身碟病毒的症状 共同症状 　　感冒的病毒有很多种，随身碟病毒也一样，不过他们有一些共同的症状，只 要使用者稍有警觉性就能很快发现你的随身碟甚至电脑已经中毒了。 　　以下是中了随身碟病毒的症状，请检查你是否有这些现象，我碰到十台有九 台是中毒的，剩下一台是因为中过毒没清乾净（参考後面「随身碟病毒的余孽」）。 * 随身碟点两下无法开启 * 随身碟刚插上电脑还能用，过一会儿就无法使用，拿去另一台电脑又可以 　使用 * 从「我的电脑」滑鼠双击无法开启磁碟机，按右键选「开启」才能打开 * 用「档案总管」才能开启磁碟机 　　如果你看到下面这个讯息，别怀疑，100％中毒。 * 电脑用到一半突然跳出一个视窗上面有「kavo」或「tavo」字样说作业中 　止。（可能已经随机产生名称了） *随身碟病毒有很多种，上述现象可能只是各种症状中的一部分。 四、随身碟病毒的原理 传播原理 　　如果你有拿过游戏 /软体或硬体驱动程式光碟安装的经验，应该会记得，光 碟一丢进去会马上跳出一个画面准备安装，这就是自动执行功能。只要在根目录 下面写好 autorun.inf，在里面设定要执行的程式、光碟的图示等， Windows就 会在你放入光碟时依照 autorun.inf的内容自动执行，如安装设定画面。 　　随身碟病毒便是利用这个方式，在 autorun.inf里面写上病毒所在位置，让 Windows自动执行病毒档案，使用者在刚插上随身碟的时候就中毒了，这种方法 很简单也很实在，只要插上有毒的随身碟，剩下的就看你的防毒软体是很好很强 大拦下来，还是又弱又迟钝让病虫攻破了。 　　随身碟病毒的共同特点就是这个 autorun.inf，基本上他带的毒破坏力并不 强，麻烦的是在後面。 病毒也会「更新病毒码」 　　不论卡通还是电影，当贼的入侵之後第一件事情就是搞挂保全系统，当随身 碟上面的「先行者」登陆到你的电脑之後，就会开後门藏木马烙大只的过来，在 开机的时候抢先执行，瘫痪防毒软体。现在大部分的电脑都有上网，对病毒而言 根本没有难度。等到病毒进来之後，要做什麽就随病毒高兴了。 　　早期的随身碟病毒会躲在资源回收桶里面（如 info.exe、sxs.exe），因为 随身碟是不会有资源回收桶的（包括记忆卡、数位相机等，外接硬碟不算），因 此很容易判断是否中了毒（只是一般的方法杀不掉-_-）。 　　後来病毒也不躲了，直接待在根目录，只是改成跟系统档案很像的名字（如 ntdelect.com，这个和 Windows的重要开机档案ntdetect.com很像），没弄好误 杀反而会把系统弄挂。有些是.com的档案，这种多少还能判断不是自己产生的， 只是一般人的电脑都设定不显示副档名，大概也分不出来。 　　於是就有人说不要隐藏副档名有助於让自己发现病毒，结果最近的随身碟病 毒，副档名已经变成.exe和.bat，名字几乎是随机产生（如u.exe、6.bat）光从 档名很难判断。 五、随身碟病毒的感染 感染对象 　　作业系统：Microsoft Windows XP/2003/Vista 　　硬体：内接式硬碟、随身碟、数位相机内建记忆装置、记忆卡、外接式硬碟等 高危险区 　　接触的随身碟越多，电脑就越危险，如 * 照相馆读取记忆卡的电脑 * 无人管理的公用电脑 * 简报用的公用电脑 重灌电脑不一定能解决随身碟病毒！ 　　有很多人中毒就重灌，但是重灌不见得能够对付随身碟病毒。因为这类人通 常是把磁碟印象档（如 GHOST的.gho）放在资料碟，系统重灌了但是其他磁碟机 还是保留原状，随身碟病毒仍然存在电脑中，重灌N次还是一样的结果。 　　用格式化清除随身碟病毒只对随身碟（外接硬碟、记忆卡等）有效，真正麻 烦的是受感染的电脑，「斩草不除根，春风吹又生」，没有对症下药只是浪费时 间。 还原系统不一定能除掉随身碟病毒！ 　　有些地方的公用电脑会装还原系统，但是通常只对系统槽（如C:）管理，而 随身碟病毒会藏在每一个磁碟机，即使系统还原了病毒仍可能存在 D槽。 　　除非系统还原时是把所有磁碟都恢复成原始状态，不然「野火烧不尽，春风 吹又生」，还原也只是还原心酸的>_< 六、随身碟病毒的潜伏 感染初期难以发觉 　　如果中了毒会马上发作，这样的毒比较好控制，因为我们可以很容易锁定感 染范围即刻处理。但随身碟病毒感染初期很难发现，因为中毒的随身碟刚插上去 的时候还能正常使用，即使怪怪的仍然能靠右键开启或重新插入随身碟，缺乏警 觉性的人往往怀疑随身碟或电脑故障，把随身碟拿去别的电脑使用，扩大受感染 的范围。 　　受到感染的随身碟在缺乏警觉性的使用者手上不断的把病毒传播到其他电脑， 这些电脑再继续感染接触到的随身碟，南北交流，城乡合作，有朋自远方来，一 起中毒。等到发现灾情严重时已经不知该从何查起，看到一台电脑中毒，就得当 作有三十台电脑中毒，就算是好人也会生气的。 在随身碟上准备金丝雀 　　日本发生地铁毒气事件时，因为沙林毒气无色无嗅无味难以察觉，当时调查 人员都会带着一个鸟笼，如果里面的金丝雀发生异状就表示有毒。相同的原理， 我们可以在随身碟上面装上一个可以辨识的档案，如果这个档案遭到破坏就表示 随身碟中毒了。 　　先前提到随身碟病毒的共同特徵是 autorun.inf，而这个档案除了可以指定 要执行的程式之外，也可以设定随身碟的图示，就像游戏光碟会用他的游戏图片 来显示一样，我们也可以帮随身碟指定一个喜欢的图示。 　　1.找一个或做一个你喜欢的图示档（假设这个图示名称是usb.ico） 　　2.开启记事本贴上下面两行，存档类型改成「所有档案」，然後储存成 　　　autorun.inf [autorun] icon=usb.ico 　　3.将图示档和 autorun.inf都复制到随身碟上，重新插入之後就能看到图示 　　　已经变了。 　　像学校可以把自己的校徽改成图示档，随身碟插上去就会看到校徽，如果校 徽不见就表示中毒了。虽然还是会中毒，你可能觉得没什麽用处，但透过这个机 制可以早期发现早期治疗，因为随身碟上的毒好杀，电脑上的毒难除，病毒要偷 的东西是在你的电脑里，而不是在随身碟上。 七、随身碟病毒的破坏 窃取个人资讯 　　随身碟病毒发作之後，最简单易见的问题就是硬碟点不开，如果你认为只要 按右键开启就解决的话，那实在很危险。设计病毒的人不是吃饱没事干，他们的 目的当然是钱。要怎麽让一台中毒的电脑吐钱出来？自然就是偷使用者的帐号密 码，然後把有价值的东西拿去卖。 　　目前我听过的案例是线上游戏的帐号密码被偷光，虚拟宝物喷光光，至於他 会不会偷其他的，比如说电子邮件信箱、拍卖网站帐密，这个我不知道，但如果 发生这样的情形我也不意外就是。 　　另外他们会瘫痪你的防毒软体，到时系统会死於何种病毒我也不知道。 　　除了硬碟点不开这个问题之外，比较明显的状况是系统会跑得很慢，时常发 生错误，由於随身碟病毒引进来的「大家伙」各有不同，毒性弱的还能简单处理 掉，毒性强的可能要搏斗很久才能解决。 八、随身碟病毒的删除 救援流程 1. 跑EFix後重开机 2. 跑ComboFix後重开机（如果需要的话） 3. 防毒软体完整扫描 救援中毒的电脑 　　现在有很多专杀随身碟病毒的工具，这里我介绍PTT防毒版的junorn写的EFix （因为我都靠这个当好人的） http://reinfors.googlepages.com/efix 　　进入网页後把EFix下载到自己的电脑，双击执行之後依照指示点「是」按 「Enter」，跑完重开机。EFix可以把一些已经登记有案的病毒档案，以及从 autorun.inf找出病毒档案名称全部删除，然後修复Windows XP的登录档案，如 果登录档案被病毒改过的话。 　　用过EFix之後，系统的自动执行功能会被关掉，如果想要再度开启，请注意 桌面会有个EFix的捷径，找 Tools资料夹下执行 Autorun.reg档案後重开机後功 能就会恢复。 　　如果你担心中毒很深，可以再跑ComboFix，过程和EFix差不多。 http://reinfors.googlepages.com/Combofix 　　不过这样子还不算完成，重开机後要用防毒软体完整扫描一次，因为EFix是 用档名来判断，前面说了现在的随身碟病毒档名千奇百怪，要抓的话得要靠防毒 软体抓特徵才行。我碰过有人中了好几个随身碟病毒（这是在炼蛊呀....）， EFix抓到了大部分的有名病毒和 autorun.inf记载的，但还有一只随机名称的病 毒留下来。 　　此外，防毒软体被随身碟病毒瘫痪之後可能还有其他病毒钻进来，完整扫描 是必须要做的。要注意的是中毒期间防毒软体可能也不会更新病毒码，这个也要 检查才行。由於EFix会把删除的档案备份起来，防毒软体扫到备份区出现警告是 正常的。（扫过去没有抓到毒的话，你可能要考虑一下换防毒软体....） 九、随身碟病毒的余孽 残留的autorun.inf 　　有时随身碟上的病毒会被防毒软体发现，防毒软体自然就很尽责的把病毒杀 掉，但是 autorun.inf本身只是个记载着要执行什麽程式的纯文字档案，并不是 病毒，因此很可能被留下来。当这样的随身碟插上电脑之後，就会依照 autorun.inf里面记载的内容来跑，也就是要执行病毒档案，但病毒档案已经被 杀了一定找不到，这时系统就会跳出讯息说他不知道怎麽办才好。 　　当然还是可以用档案总管或用右键开启，不过问题只是在 autorun.inf，只 要把他清除就可以了，可以用命令提示字元（ DOS视窗）执行 「del /a:shr X:\autorun.inf」（ X:随身碟的磁碟机代号）。 　　如果嫌这样麻烦，也可以拿 EFix Lite处理（请参考EFix网页）。 十、随身碟病毒的预防 让电脑提高警觉 　　如果你的防毒软体不是很好很强大，可以考虑PTT的blman写的 「Wow! USB Protector」或「Wow! USB VirusKiller」。 　　这两者不能混用，功能基本上都差不多，他们会定时更新病毒资料库，当有 毒的随身碟插上电脑时会发出警告或直接杀掉。 　　Wow! USB Protector http://antbsd.twbbs.org/~ant/wordpress/?p=1044 　　Wow! USB VirusKiller http://antbsd.twbbs.org/~ant/wordpress/?p=1043 *由於版本可能会升级，这两个网址不一定会指向最新版本页面，不过网页中的 档案连结仍会是最新版的。 关闭「自动执行」 　　要预防随身碟病毒，关闭自动执行是一个基本方式，可以参考国家资通安全 会报技术服务中心提供的方法 * 关闭自动执行（PDF档） * http://enc.cyc.edu.tw/modules/news/visit.php?fileid=46 　　另外，执行了EFix之後也会关闭自动执行。 选用有防写功能的装置 　　现在随身碟要找有防写功能的好像不容易，而SD卡有个防写的开关可以调整。 　　不过就算有防写功能，要去跟别人复制东西的时候还是要打开，会死的终究 会死-_-.... 十一、随身碟病毒的侦测 病毒快速判别 　　就算防毒软体被缴械，我们还是有很多种方法可以判断是否中了随身碟病毒。 * 打开「我的电脑」，在磁碟机的图示上按右键，如果你看到「自动执行」 　而且是粗体，十之八九是中毒。 * 进入「命令提示字元」（ DOS视窗），输入「dir/a c:\」（ 看你要检查 　的磁碟机代号），如果看到 autorun.inf，有很高的机率是中毒。 * 承上，输入「 type c:\autorun.inf」，看看里面写了什麽东西，如果里 　面有执行档（.exe、.com、.bat等），这时候可以请EFix出来了。 *注：有些人会建立一个 autorun.inf的「资料夹」来防止随身碟病毒，用type 　　是看不到的，这不是中毒 十二、随身碟病毒的消失 时间会解决.... 　　除非电脑系统改朝换代，想根绝随身碟病毒不容易，两年前出现到现在，中 过毒依然中毒，没中的也跟着中了。加上随身碟便宜的跟水一样，越来越多人有 随身碟，这叫人怎麽能乐观？只要人有惰性，只要人缺乏警觉性，这些病毒就能 「生生不息」，要随身碟病毒消失，可能得等随身碟被淘汰吧-_- -- ◢███◣ ◤ ≡ ______________________________________ ─⊙-⊙- / \ 皿　 _/ 把台湾那些可悲的节目收一收 该吃饭了 / ◣ ︶◢ \______________________________________/ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.165.128.241 补救援流程 ※ 编辑: hirokofan 来自: 218.165.132.138 (03/02 10:21) ※ II33:转录至看板 NTPU-STAT95 03/02 20:27 ※ II33:转录至看板 KS95-318 03/02 20:32 ※ 编辑: hirokofan 来自: 218.165.132.138 (03/02 21:10)