更新日期:"2009/01/22 18:07" Yahoo！奇摩特約記者　薛怡青　綜合外電報導 由於Downadup蠕蟲病毒近來肆虐，造成全球Windows作業系統用戶至少有900萬台電腦遭受 感染，而更有資安業者Panda Security更提出警告，目前感染的情況可能比想像中的嚴重 。 由於Downadup蠕蟲病毒會透過Windows作業系統裡的「自動播放（AutoRun）」功能來擴散 病毒，因此美國網路資訊安全防護機構US-CERT為防犯病毒疫情擴大，就建議使用者先暫 停使用Windows裡的「自動播放」功能。 由於目前許多裝置包括USB隨身碟、數位相機、MP3隨身聽、記憶卡等等都支援「隨插即用 」的功能，但這也使得 Downadup蠕蟲病毒更容易擴散。資安業者賽門鐵克就發現， Downadup這類的蠕蟲病毒至少有超過20種以上的新變種，而US-CERT最近也呼籲使用者在 插入隨身碟等隨插即用的移動型裝置時，不要執行「自動播放」功能，以免遭受 Downadup蠕蟲病毒的感染。 資安業者指出，使用者一旦感染到Downadup蠕蟲病毒，其會在硬碟上自動新建立 autorun.inf文件，當使用者對硬碟進行任何動作時，該惡意程式會自動運行。並且， Downadup蠕蟲病毒還會監控是否有其他的移動型裝置連接到電腦裡，如果別的使用者的 隨身碟插到已受病毒感染的電腦，Downadup蠕蟲病毒就會立刻也在該隨身碟上也建立一 個autorun.inf文件，繼續感染下一台電腦。 Panda Security執行長Ryan Sherstobitoff也提出警告，目前Downadup蠕蟲病毒的感染情 況可能還在繼續升高，因此也建議使用者，無論是放入光碟片或是插入隨身碟、記憶卡時 ，請不要執行Windows作業內的「自動播放」功能，將危害降到最低。 後記： 自動以系統內建autorun.inf的功能來執行病毒複製到儲存媒界上的手段，早就不是現在 才有的產物了，不知早在多久以前，就有人利用系統這個設定來達到蠕蟲傳播的手段了。 而且以一般人來說都很容易中到這個毒 個人建議： 除了像本新聞提到的暫停自動播放的功能外，也請更改windows的一個設定。 打開任一個 我的電腦或是檔案總管 點選「工具」、「資料夾選項」、「檢視」 將"隱藏保護的作業系統檔案(建議使用)" disable(不打勾) 及 點選 顯示所有檔案和資料夾 如果隨身碟或是硬碟真正中了這個毒，以隨身碟來舉例，在根目錄下除了會有一個 autorun.inf檔外，還會有個"具隱藏屬性"的執行檔。 通常autorun.inf內容就是會為 open=?????.exe ?????.exe就是具隱藏屬性的執行檔 解法： 如果自己的C:\ 真的有 autorun.inf 及 一個隱藏的執行檔 那可能.... C:\NTDETECT.EXE 也具隱藏屬性，它不是毒，但是一但砍了它，電腦就開不了機了。 但是之前有個病毒，作者很賊把蠕蟲檔案命名為：NTDELECT.EXE (仔細看，跟系統檔不一 樣) 於autorun.inf點選右鍵編輯，進去看inf的內容，把?????.exe複製下來， 開始、執行、regedit (enter) 、ctrl + F 貼上關鍵字 ????? 讓程式去找 (regedit的程式寫得不好，不會把關鍵字要的東西通通找足，只會一次找一筆，所以找 到第一筆後，除刪除後，還要繼續按F3讓程式繼續找到它跟你說己經找不到才算數) regedit裡面會記錄蠕蟲分別把檔案存在什麼地方，以及有沒有設定你windows一啟動 就執行該蠕蟲檔(這個常有的設定) 除了照regedit內提及有存放蠕蟲資料路徑除以刪除外，建議也用windows內建的搜索功 能去把蠕蟲檔都找出來。 都找出來之後就重開機，開完機後再執行一次regedit找該蠕蟲檔案名稱，如果有成功刪 除，那regedit就不會再內存蠕蟲的路徑。如果有，就表示你上一次重開機前你沒有刪乾 淨，導致他一重開機就被系統啟動了。 如果要再安心一點，也可以花大把時間讓anti-virus去掃描硬碟。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: idphenix 來自: 118.171.70.162 (01/24 04:16) 可參照這二篇文章任一篇皆可以。 http://briian.com/?p=3569 http://alic63.pixnet.net/blog/post/25554497 ※ 編輯: idphenix 來自: 118.171.77.124 (01/29 10:55)