訪客留言簿

星期五, 4月 17, 2009

[資安警告] 請立即動手防範 USB 病毒!

前言

如果你的 Windows 電腦打算拿去給人維修或重灌的話,請一定要先防堵住 USB 病毒的感染可能路徑。

另外有空的話,還請比較會電腦的人,跟電腦供應商反應一下,別再內附防毒軟體了!

(2009.04.21 補述:目前仍無法確定是不是維修站的問題,所以我正在測試不裝也不開防火牆下,木馬和蠕蟲是不是真的會鑽進作業系統來,如果會的話,那就只是木馬會鑽過 WinXP SP2 的防火牆,以及無線基地台的防火牆而已。我只能說,經許多測試後,無線區網傳染跟我的新隨身碟傳染的可能性都很低,所以應該是維修站使用的某一版本的還原映像檔有問題,但不是全都有問題。)

怎麼做

總之先關閉掉自動執行(AutoRun)的系統權限,這樣插進別人的 USB 碟等可移除裝置時,才不會傳染到你的電腦上;另外為了怕你誤執行木馬,也請把自動播放(AutoPlay)關掉。(參考站內文章:關閉 Windows 的自動執行(AutoRun)及自動播放(AutoPlay)功能

然後拿給別人維修重灌的話,拿回來後,請立刻在 Windows 底下的工具列,選擇「開始 → 執行」並輸入「msconfig」,在「啟動」這頁裡查查有沒有「uret463.exe」「kacsde.exe」「y319s.exe」這些項目,有的話就是中獎了,請先取消勾選這些啟動項目,找最新的防毒軟體來清除。(這時會連顯示隱藏檔的功能都失效不能更動)

總之中獎後,只能靠非 Windows 的檔案瀏覽器(如 7-Zip),來抓出那個作怪的隱藏檔,並動手 Shift-Del 掉,只是需要注意麻煩的是,未關閉系統還原前,這木馬還會跑進 System Volume Information 資料夾會一直備份惡意程式,所以怎麼清也沒用,建議參考下面說明關閉系統還原,或乾脆點用 Boot And Nuke 轟平,重新找片乾淨的光碟安裝。

(註:我目前用 7-Zip 砍了 system32 的有問題檔案,就差不多停下了,但還是不排除會再發作。)

如何關閉系統還原

以下以 Windows XP 為例,Vista 以後應該也差不多。

首先,看看你的電腦鍵盤上,左 Ctrl 鍵右邊,有沒有個很像 Windows 標誌的按鍵(上面可能會寫個 start),按住這個 Windows 鍵,再從鍵盤右半邊上面,找找看有沒有個 Pause Break 鍵,再按一下這個 Pause Break 鍵,這樣就會打開系統內容的設定視窗了。

(如果你的鍵盤上沒有 Windows 鍵,請在桌面,或下方工作列的開始選單中,找「(我的)電腦」這項目,按滑鼠右鍵,選「內容」也行打開系統內容的設定視窗。)

接著在系統內容視窗上方,有一排選單,裡面有個「系統還原」的,進去裡面會有個可以勾選的項目(關閉所有磁碟上的系統還原),勾起來,按視窗下方的「確定」,接著會問你要不要關閉系統還原,按「是」就好。

【說明圖:圖中標示了關閉系統還原的選項位置在哪】

這東東會做啥

我猜是定時拍下畫面,上傳到某處吧。會不會偷走檔案,或記錄鍵盤,我並不確定。想知道的,請自行 Google 上面提到的三個木馬名稱。(絕大部分的都是偷線上遊戲的帳號密碼的樣子)

推薦的防毒軟體

若你的防毒軟體可以偵測到下一節中提到的相關程式的話,請跟我回報一聲。(也請不要從奇怪的地方下載無正式授權軟體,這可能內含惡意程式。)

還有,若頻頻跳出防毒軟體的警告時,請先關閉即時防毒,重開機,按住 F8 鍵,進到 Windows 的安全模式下掃瞄,這樣會比較好清除。

  • Ariva AntiVir Free:有即時防毒,讀寫時一定會掃,唯一的缺點是不會去掃 7-Zip 壓縮檔。(要離線更新請在此頁右邊下載 IVDF 再從 AntiVir 中手動更新=Update-Manual update)

相關的可疑檔案

每條的中文是我的說明,報告的英文部分取自,並修改自 Avira 的惡意檔案回報中心FreeAV 已經可以抓到一些原本抓不到的了,請快點更新到 2009/04/17 以後的病毒資料庫,並做全機掃瞄。(若你使用其他牌防毒,可以參照本站這篇說明去回報:[整理] 防毒軟體掃瞄到有毒檔案時該怎麼做

  • j0mpdkja.cmd - 中毒電腦會塞進 USB 隨身碟裡,在插入別台電腦時進行感染工作的檔案,常會搭配 autorun.inf 針對 Windows 的安全漏洞侵襲系統,需要一起清除才能確保乾淨,但因為受感染後,會強制停用你的檢視隱藏檔功能,所以不能依賴 Windows 的檔案管理員去手動清除。
  • oc.cmd - 安插在所有的固定磁區上,與各分割區根目錄下的 autorun.inf 配合,在每次開啟分割區時,執行特定位置的主要攻擊程式,讓主要攻擊程式能隨時更新,並將其他攻擊程式隱藏於 System Volume Information 系統資料夾(大概),需要與 autorun.inf 一起清除才能確保乾淨,但因為受感染後,會強制停用你的檢視隱藏檔功能,所以不能依賴 Windows 的檔案管理員去手動清除。
  • kacsde.exe - 藏於 windows/system32 資料夾下的主要攻擊程式之一,通常只要將這資料夾下的所有問題檔案手動砍掉,並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉,就不必擔心無限再生,只是被搞壞的作業系統,誰會願意繼續用在工作上呢。
  • uret463.exe - 藏於 windows/system32 資料夾下的主要攻擊程式之一,通常只要將這資料夾下的所有問題檔案手動砍掉,並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉,就不必擔心無限再生,只是被搞壞的作業系統,誰會願意繼續用在工作上呢。
  • godert0.dll - 藏於 windows/system32 資料夾下的輔助攻擊程式之一,通常只要將這資料夾下的所有問題檔案手動砍掉,並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉,就不必擔心無限再生,只是被搞壞的作業系統,誰會願意繼續用在工作上呢。
  • lhgjyit0.dll - 藏於 windows/system32 資料夾下的輔助攻擊程式之一,通常只要將這資料夾下的所有問題檔案手動砍掉,並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉,就不必擔心無限再生,只是被搞壞的作業系統,誰會願意繼續用在工作上呢。
  • lhgjyit1.dll - 藏於 windows/system32 資料夾下的輔助攻擊程式之一,通常只要將這資料夾下的所有問題檔案手動砍掉,並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉,就不必擔心無限再生,只是被搞壞的作業系統,誰會願意繼續用在工作上呢。

0 comments:

 

本站著作(不包含圖片、影音以及回應留言)係採用 Creative Commons 姓名標示-非商業性-相同方式分享 2.5 台灣 (中華民國) 授權條款授權