訪客留言簿

星期三, 1月 17, 2007

USB 病毒簡單說明

有錯請指正 m(_ _)m

前言

真正解決 autorun.inf 安全問題的做法:關閉 Windows 的自動執行(AutoRun)及自動播放(AutoPlay)功能無法關閉的autorun功能 - 電腦 - A Blog with no Name

「自動播放」不會引發 USB 病毒的「autorun.inf」漏洞問題,但是「自動執行」會,所以請參考上面的文章處理一下。

  • 2009.03.24 把文章中所有無效的內容全設為 HTML 註解(也就是說不看原始碼看不到)

病毒概述

病毒名稱: info.exe(大概)、其它還有 kavo.exe 跟 ntdelect.com 之類的算比較新的。

感染過程簡表(推測版)
  1. 最初的病毒檔案,會利用電子郵件散布,或藉由瀏覽器漏洞,下載到個人電腦上執行。
  2. 病毒在受感染電腦(Windows 作業系統)上,會在各分割區建立隱藏的系統檔案 autorun.inf ,跟放置惡意程式用的系統資料夾 recycle ,確保重灌作業系統後也能繼續感染該主機。
  3. 受感染電腦(Windows 作業系統)在插入 USB 等可讀寫的儲存裝置後,會把病毒複製到 USB 儲存裝置內,造成傳染。
  4. 受感染的 USB 儲存裝置,在安插到其它安裝 Windows 作業的電腦上時,因為 Windows 作業系統內建自動執行 autorun.inf 內的指令的功能,所以會去複製執行裡面的惡意軟體,而成為繼續傳染其它電腦的帶原者。
  5. 然後依照系統檔案 autorun.inf 內所指定要執行的惡意程式不同,而會有不同的問題,不過通常都會先連線到網際網路,下載新種病毒,或上傳受感染電腦的私人資料。

當電腦感染此病毒後(即中毒後),插上 USB 儲存裝置(如隨身碟或記憶卡或 USB 硬碟),就會傳染給該 USB 儲存裝置。然後將該 USB 儲存裝置,插上別台電腦時,就會再度感染該台電腦。(聽說有時候沒辦法正常開啟「我的電腦」中的磁碟機和隨身碟也是這問題,推測是下面提到的 autorun.inf 找不到該執行的程式, Windows 檔案管理員就開始耍白痴了吧。)

該病毒感染電腦的原理是,在該 USB 儲存裝置中,安插一個 autorun.inf 跟其它的檔案,讓 Windows 主機一插上該 USB 儲存裝置時,就自動執行該文件中的指令(這是 Windows 本身就支援的功能哦),接下來受感染的磁碟分割區,也會用同樣方式感染插入的隨身碟。(別問為什麼會自動執行非光碟的裝置中的 autorun.inf ,或為什麼有些人不會受影響,因為我懶得試。)

快速清除

相關連結(其實是隨手亂放上來的):

跟 USB 有關的小廣告

1 comments:

wini@外地 提到...

USB WriteProtector 好像沒啥用呀……開啟防寫入再插入,一樣可以新增和寫入呀……(倒)

 

本站著作(不包含圖片、影音以及回應留言)係採用 Creative Commons 姓名標示-非商業性-相同方式分享 2.5 台灣 (中華民國) 授權條款授權