2007年10月3日 星期三

USB病毒的演化(Evolution of USB-Virus)

最近不知是怎了,病毒又開始在筆者上班的地方大流行,還成是另一種對我的考驗呢?雖然電腦中毒時,第一時間一定是罵寫病毒的人,可是...

在我的觀點裡,縱使撰寫跟散布病毒的人居心叵測,但是使用電腦的人就真的沒錯嗎?在幫人解毒的時候,總是聽著中毒的人說:「那些寫病毒的人真可惡...」。

在我們這種缺少工具與執行面受阻的管理者聽來,讓電腦中毒的人可能比寫病毒的人更令人頭疼,只要跟我一樣有過類似經驗的人就能體會。

最近的病毒其實大多還是跟使用者習慣有關,還記得先前我們曾提過的隨身碟病毒,結果在不久的現在,它又已經有了新的變種病毒「kavo」系列的病毒(請愛用Google),它就是結合了隨身碟病毒系統型病毒(更改登錄檔)的變形。



我們可以知道它的傳染途徑跟隨身碟病毒一樣,那同事為什麼會中毒呢?

應該也不需要說破這一點了,不過對於當救火隊的我們,卻又要東翻西找把病毒給清除,運氣好的,三兩下就可以搞定,運氣不好碰到新的變種,除了網路上相關的資料少的可憐之外,甚至連防毒軟體都不太認得它是什麼,頂多是「惡意程式」,也只能做到隔離的動作而已。

現在回到正題,這隻討人厭的病毒應該要怎麼處理呢?

解決方式:

可以從兩個角度切入,一個是autorun.inf的清除,另個就是解除kavo被系統鎖定無法刪除的執行檔(*.exe)、關聯檔(*.dll)、或類似名稱檔(kavo*.*)。

以下是筆者自己用手動方式處理+掃毒相關程式的處理流程,其實可以參考我先前寫過的手動移除病毒一文,因為病毒大多還是逃不出這些範疇,所以我也只寫出大概的處理流程,其它就可以利用現有的軟體處理。

(1)處理autorun.inf和其它相關檔案。(命令提示字元下,手動刪除)

(2)利用相關程式找到問題檔案(例:HijackthisSREng...比對問題檔案)

  1.在C:\WINDOWS\system32\下,有kavo.exe、kavo0.dll相關類似名。
  2.在系統磁碟中會產生ntdelect.com的檔案。

(3)修復相關登錄檔:(以Hijackthis、SREng修複),相關路徑如下,會因變種不同躲在不同的地方,要先修改後,才有辦法解除系統鎖定(或利用程式強迫解除鎖定)


  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  ...略

(4)更新病毒碼,重新開機,F8進入安全模式,手動刪除目標檔案。

其實在第(3)步移除登錄檔後,不管是一般或安全模式都殺的掉,安全模式只是避免其它問題的影響,而且還可以做個系統掃描,說不定還會掃到其它的問題。

經過筆者在網路上找資料的結果,其實已經有人譔寫出小程式可以手動清除它(書維的部落格:將kavo.exe病毒完整消滅?簡單又快速的方法)。

經過了這一陣子的折磨...,讓我更有種想要把USB Port封掉的想法,這樣子應該會哀鴻遍野吧!這就是安全性便利互相牴觸的最好實例呀!

4 則留言:

  1. 使用一種xp-AntiSpy小程式把危卵內建容易被了解人性弱點與人操作習慣的不肖製造者利用來執行病毒的[自動執行](autorun)徹底關閉完全封殺,這樣不需要封usb Port,也不會犧牲太多便利性是一個可以考慮的作法

    回覆刪除
  2. 多謝這位朋友的建議...

    其實要把autorun關掉並非難事,我先前寫過類似的作法,如連結:

    http://tinyurl.com/29rwp6

    這樣也可以鎖住所有自動執行的功能,也不用封住實體的介面,我沒有實際試過xp-antispy,下次有機會再來試看看,不知是否也是透過類似的機制禁止自動播放。

    只是軟體上的限制,還是有辦法可以破解的!(登錄檔、綠色軟體...等),所以很多挫施真的只能防君子跟人性的不良習慣。

    最後,還是多謝你的分享,多一種方式也是多一種選擇呀!^^不是嗎?

    回覆刪除
  3. 我們是把USB Port封掉(不是硬件或BIOS), 有些軟件都可以做到。如:
    http://www.myusbonly.com

    用 "firewall" 的原理,有新 USB 插入時會要求使用者確認(要輸入密碼)。

    回覆刪除
  4. 透過軟體來達到封usb...應該也是可以的,不過就像你說的用類似方式也是在使用者不具有停用程式的權限吧!

    否則軟體可以被使用者中斷就沒有意義了!(以前去網咖...用可小小的reg檔就可以破解很多限制...一樣的道理)

    這就跟用ad把使用者存取的相關機制給關閉一樣

    先前跟朋友討論...其實再多的限制還不如一張明令罰責的公告!以及相關記錄的機制(怕有人不認帳...)可能還會快一點

    不過,還是也多謝你的分享...多知道一些可用的資訊,對於IT人來說是很重要的...對吧!(你永遠都不會知道你會遇見什麼問題...)

    回覆刪除