[資安警告] 請立即動手防範 USB 病毒！

前言

如果你的 Windows 電腦打算拿去給人維修或重灌的話，請一定要先防堵住 USB 病毒的感染可能路徑。

另外有空的話，還請比較會電腦的人，跟電腦供應商反應一下，別再內附防毒軟體了！

（2009.04.21 補述：目前仍無法確定是不是維修站的問題，所以我正在測試不裝也不開防火牆下，木馬和蠕蟲是不是真的會鑽進作業系統來，如果會的話，那就只是木馬會鑽過 WinXP SP2 的防火牆，以及無線基地台的防火牆而已。我只能說，經許多測試後，無線區網傳染跟我的新隨身碟傳染的可能性都很低，所以應該是維修站使用的某一版本的還原映像檔有問題，但不是全都有問題。）

怎麼做

總之先關閉掉自動執行(AutoRun)的系統權限，這樣插進別人的 USB 碟等可移除裝置時，才不會傳染到你的電腦上；另外為了怕你誤執行木馬，也請把自動播放（AutoPlay）關掉。（參考站內文章：關閉 Windows 的自動執行(AutoRun)及自動播放(AutoPlay)功能）

然後拿給別人維修重灌的話，拿回來後，請立刻在 Windows 底下的工具列，選擇「開始 → 執行」並輸入「msconfig」，在「啟動」這頁裡查查有沒有「uret463.exe」「kacsde.exe」「y319s.exe」這些項目，有的話就是中獎了，請先取消勾選這些啟動項目，找最新的防毒軟體來清除。（這時會連顯示隱藏檔的功能都失效不能更動）

總之中獎後，只能靠非 Windows 的檔案瀏覽器（如 7-Zip），來抓出那個作怪的隱藏檔，並動手 Shift-Del 掉，只是需要注意麻煩的是，未關閉系統還原前，這木馬還會跑進 System Volume Information 資料夾會一直備份惡意程式，所以怎麼清也沒用，建議參考下面說明關閉系統還原，或乾脆點用 Boot And Nuke 轟平，重新找片乾淨的光碟安裝。

（註：我目前用 7-Zip 砍了 system32 的有問題檔案，就差不多停下了，但還是不排除會再發作。）

如何關閉系統還原

以下以 Windows XP 為例，Vista 以後應該也差不多。

首先，看看你的電腦鍵盤上，左 Ctrl 鍵右邊，有沒有個很像 Windows 標誌的按鍵（上面可能會寫個 start），按住這個 Windows 鍵，再從鍵盤右半邊上面，找找看有沒有個 Pause Break 鍵，再按一下這個 Pause Break 鍵，這樣就會打開系統內容的設定視窗了。

（如果你的鍵盤上沒有 Windows 鍵，請在桌面，或下方工作列的開始選單中，找「（我的）電腦」這項目，按滑鼠右鍵，選「內容」也行打開系統內容的設定視窗。）

接著在系統內容視窗上方，有一排選單，裡面有個「系統還原」的，進去裡面會有個可以勾選的項目（關閉所有磁碟上的系統還原），勾起來，按視窗下方的「確定」，接著會問你要不要關閉系統還原，按「是」就好。

這東東會做啥

我猜是定時拍下畫面，上傳到某處吧。會不會偷走檔案，或記錄鍵盤，我並不確定。想知道的，請自行 Google 上面提到的三個木馬名稱。（絕大部分的都是偷線上遊戲的帳號密碼的樣子）

推薦的防毒軟體

若你的防毒軟體可以偵測到下一節中提到的相關程式的話，請跟我回報一聲。（也請不要從奇怪的地方下載無正式授權軟體，這可能內含惡意程式。）

還有，若頻頻跳出防毒軟體的警告時，請先關閉即時防毒，重開機，按住 F8 鍵，進到 Windows 的安全模式下掃瞄，這樣會比較好清除。

• Ariva AntiVir Free：有即時防毒，讀寫時一定會掃，唯一的缺點是不會去掃 7-Zip 壓縮檔。（要離線更新請在此頁右邊下載 IVDF 再從 AntiVir 中手動更新=Update-Manual update）

相關的可疑檔案

每條的中文是我的說明，報告的英文部分取自，並修改自 Avira 的惡意檔案回報中心，FreeAV 已經可以抓到一些原本抓不到的了，請快點更新到 2009/04/17 以後的病毒資料庫，並做全機掃瞄。（若你使用其他牌防毒，可以參照本站這篇說明去回報：[整理] 防毒軟體掃瞄到有毒檔案時該怎麼做）

• j0mpdkja.cmd - 中毒電腦會塞進 USB 隨身碟裡，在插入別台電腦時進行感染工作的檔案，常會搭配 autorun.inf 針對 Windows 的安全漏洞侵襲系統，需要一起清除才能確保乾淨，但因為受感染後，會強制停用你的檢視隱藏檔功能，所以不能依賴 Windows 的檔案管理員去手動清除。
• oc.cmd - 安插在所有的固定磁區上，與各分割區根目錄下的 autorun.inf 配合，在每次開啟分割區時，執行特定位置的主要攻擊程式，讓主要攻擊程式能隨時更新，並將其他攻擊程式隱藏於 System Volume Information 系統資料夾（大概），需要與 autorun.inf 一起清除才能確保乾淨，但因為受感染後，會強制停用你的檢視隱藏檔功能，所以不能依賴 Windows 的檔案管理員去手動清除。
• kacsde.exe - 藏於 windows/system32 資料夾下的主要攻擊程式之一，通常只要將這資料夾下的所有問題檔案手動砍掉，並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉，就不必擔心無限再生，只是被搞壞的作業系統，誰會願意繼續用在工作上呢。
• uret463.exe - 藏於 windows/system32 資料夾下的主要攻擊程式之一，通常只要將這資料夾下的所有問題檔案手動砍掉，並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉，就不必擔心無限再生，只是被搞壞的作業系統，誰會願意繼續用在工作上呢。
• godert0.dll - 藏於 windows/system32 資料夾下的輔助攻擊程式之一，通常只要將這資料夾下的所有問題檔案手動砍掉，並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉，就不必擔心無限再生，只是被搞壞的作業系統，誰會願意繼續用在工作上呢。
• lhgjyit0.dll - 藏於 windows/system32 資料夾下的輔助攻擊程式之一，通常只要將這資料夾下的所有問題檔案手動砍掉，並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉，就不必擔心無限再生，只是被搞壞的作業系統，誰會願意繼續用在工作上呢。
• lhgjyit1.dll - 藏於 windows/system32 資料夾下的輔助攻擊程式之一，通常只要將這資料夾下的所有問題檔案手動砍掉，並將所有分割區及隨身儲存裝置上的 *.cmd 和 autorun.inf 砍掉，就不必擔心無限再生，只是被搞壞的作業系統，誰會願意繼續用在工作上呢。