更新日期:"2009/01/22 18:07" Yahoo！奇摩特约记者　薛怡青　综合外电报导 由於Downadup蠕虫病毒近来肆虐，造成全球Windows作业系统用户至少有900万台电脑遭受 感染，而更有资安业者Panda Security更提出警告，目前感染的情况可能比想像中的严重 。 由於Downadup蠕虫病毒会透过Windows作业系统里的「自动播放（AutoRun）」功能来扩散 病毒，因此美国网路资讯安全防护机构US-CERT为防犯病毒疫情扩大，就建议使用者先暂 停使用Windows里的「自动播放」功能。 由於目前许多装置包括USB随身碟、数位相机、MP3随身听、记忆卡等等都支援「随插即用 」的功能，但这也使得 Downadup蠕虫病毒更容易扩散。资安业者赛门铁克就发现， Downadup这类的蠕虫病毒至少有超过20种以上的新变种，而US-CERT最近也呼吁使用者在 插入随身碟等随插即用的移动型装置时，不要执行「自动播放」功能，以免遭受 Downadup蠕虫病毒的感染。 资安业者指出，使用者一旦感染到Downadup蠕虫病毒，其会在硬碟上自动新建立 autorun.inf文件，当使用者对硬碟进行任何动作时，该恶意程式会自动运行。并且， Downadup蠕虫病毒还会监控是否有其他的移动型装置连接到电脑里，如果别的使用者的 随身碟插到已受病毒感染的电脑，Downadup蠕虫病毒就会立刻也在该随身碟上也建立一 个autorun.inf文件，继续感染下一台电脑。 Panda Security执行长Ryan Sherstobitoff也提出警告，目前Downadup蠕虫病毒的感染情 况可能还在继续升高，因此也建议使用者，无论是放入光碟片或是插入随身碟、记忆卡时 ，请不要执行Windows作业内的「自动播放」功能，将危害降到最低。 後记： 自动以系统内建autorun.inf的功能来执行病毒复制到储存媒界上的手段，早就不是现在 才有的产物了，不知早在多久以前，就有人利用系统这个设定来达到蠕虫传播的手段了。 而且以一般人来说都很容易中到这个毒 个人建议： 除了像本新闻提到的暂停自动播放的功能外，也请更改windows的一个设定。 打开任一个 我的电脑或是档案总管 点选「工具」、「资料夹选项」、「检视」 将"隐藏保护的作业系统档案(建议使用)" disable(不打勾) 及 点选 显示所有档案和资料夹 如果随身碟或是硬碟真正中了这个毒，以随身碟来举例，在根目录下除了会有一个 autorun.inf档外，还会有个"具隐藏属性"的执行档。 通常autorun.inf内容就是会为 open=?????.exe ?????.exe就是具隐藏属性的执行档 解法： 如果自己的C:\ 真的有 autorun.inf 及 一个隐藏的执行档 那可能.... C:\NTDETECT.EXE 也具隐藏属性，它不是毒，但是一但砍了它，电脑就开不了机了。 但是之前有个病毒，作者很贼把蠕虫档案命名为：NTDELECT.EXE (仔细看，跟系统档不一 样) 於autorun.inf点选右键编辑，进去看inf的内容，把?????.exe复制下来， 开始、执行、regedit (enter) 、ctrl + F 贴上关键字 ????? 让程式去找 (regedit的程式写得不好，不会把关键字要的东西通通找足，只会一次找一笔，所以找 到第一笔後，除删除後，还要继续按F3让程式继续找到它跟你说己经找不到才算数) regedit里面会记录蠕虫分别把档案存在什麽地方，以及有没有设定你windows一启动 就执行该蠕虫档(这个常有的设定) 除了照regedit内提及有存放蠕虫资料路径除以删除外，建议也用windows内建的搜索功 能去把蠕虫档都找出来。 都找出来之後就重开机，开完机後再执行一次regedit找该蠕虫档案名称，如果有成功删 除，那regedit就不会再内存蠕虫的路径。如果有，就表示你上一次重开机前你没有删乾 净，导致他一重开机就被系统启动了。 如果要再安心一点，也可以花大把时间让anti-virus去扫描硬碟。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 编辑: idphenix 来自: 118.171.70.162 (01/24 04:16) 可参照这二篇文章任一篇皆可以。 http://briian.com/?p=3569 http://alic63.pixnet.net/blog/post/25554497 ※ 编辑: idphenix 来自: 118.171.77.124 (01/29 10:55)