2007年10月3日 星期三

USB病毒的演化(Evolution of USB-Virus)

最近不知是怎了,病毒又開始在筆者上班的地方大流行,還成是另一種對我的考驗呢?雖然電腦中毒時,第一時間一定是罵寫病毒的人,可是...

在我的觀點裡,縱使撰寫跟散布病毒的人居心叵測,但是使用電腦的人就真的沒錯嗎?在幫人解毒的時候,總是聽著中毒的人說:「那些寫病毒的人真可惡...」。

在我們這種缺少工具與執行面受阻的管理者聽來,讓電腦中毒的人可能比寫病毒的人更令人頭疼,只要跟我一樣有過類似經驗的人就能體會。

最近的病毒其實大多還是跟使用者習慣有關,還記得先前我們曾提過的隨身碟病毒,結果在不久的現在,它又已經有了新的變種病毒「kavo」系列的病毒(請愛用Google),它就是結合了隨身碟病毒系統型病毒(更改登錄檔)的變形。



我們可以知道它的傳染途徑跟隨身碟病毒一樣,那同事為什麼會中毒呢?

應該也不需要說破這一點了,不過對於當救火隊的我們,卻又要東翻西找把病毒給清除,運氣好的,三兩下就可以搞定,運氣不好碰到新的變種,除了網路上相關的資料少的可憐之外,甚至連防毒軟體都不太認得它是什麼,頂多是「惡意程式」,也只能做到隔離的動作而已。

現在回到正題,這隻討人厭的病毒應該要怎麼處理呢?

解決方式:

可以從兩個角度切入,一個是autorun.inf的清除,另個就是解除kavo被系統鎖定無法刪除的執行檔(*.exe)、關聯檔(*.dll)、或類似名稱檔(kavo*.*)。

以下是筆者自己用手動方式處理+掃毒相關程式的處理流程,其實可以參考我先前寫過的手動移除病毒一文,因為病毒大多還是逃不出這些範疇,所以我也只寫出大概的處理流程,其它就可以利用現有的軟體處理。

(1)處理autorun.inf和其它相關檔案。(命令提示字元下,手動刪除)

(2)利用相關程式找到問題檔案(例:HijackthisSREng...比對問題檔案)

  1.在C:\WINDOWS\system32\下,有kavo.exe、kavo0.dll相關類似名。
  2.在系統磁碟中會產生ntdelect.com的檔案。

(3)修復相關登錄檔:(以Hijackthis、SREng修複),相關路徑如下,會因變種不同躲在不同的地方,要先修改後,才有辦法解除系統鎖定(或利用程式強迫解除鎖定)


  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  ...略

(4)更新病毒碼,重新開機,F8進入安全模式,手動刪除目標檔案。

其實在第(3)步移除登錄檔後,不管是一般或安全模式都殺的掉,安全模式只是避免其它問題的影響,而且還可以做個系統掃描,說不定還會掃到其它的問題。

經過筆者在網路上找資料的結果,其實已經有人譔寫出小程式可以手動清除它(書維的部落格:將kavo.exe病毒完整消滅?簡單又快速的方法)。

經過了這一陣子的折磨...,讓我更有種想要把USB Port封掉的想法,這樣子應該會哀鴻遍野吧!這就是安全性便利互相牴觸的最好實例呀!