2008年3月26日 星期三

隨身碟感染的總結(Summarizing USB Device Infection)

這兩天在ZDNet上連續看見兩篇文章《網路流傳的隨身碟防毒招數有效嗎?》,《開源碼隨身碟防毒軟體》,原文應為OSSF的《避免隨身碟病毒,只需 1 招

其實我原本看到前篇時(ZDNet將其分成兩篇),心裡就有個疑問,那如果已經中毒的怎辦,直到後半段刊出後,我才發現,原來它著重的是預防,讓我心裡的疑問頓時消失不少。

這個隨身碟防毒KAVO系列的話題,在網路上也延燒的夠久了!直到現在,各家防毒軟體都可以認出它的蹤跡,仍然無法制止它的擴散,最大的感染源應該是人手一顆的隨身碟。無論是預防或是治療?我一直在想,這應該已經喚醒使用者的某些觀念了吧!?實際上卻不然...


如果你有看了OSSF的文章之後,它針對現在網路上常見的解決方法,都有蠻深入的說明,最後再補上它們利用Ruby寫的程式來加以預防,我看完之後「喜憂參半」。

的是,它解決了很多網路上使用者的疑惑,而且也告訴大家預防的重要性;的是,如果每種不同的惡意程式,都得在電腦裝上不同的軟體來檢測,在還沒解決問題前就先把自己的電腦給拖垮了吧!(如果都採用常駐的模式)

因為這個惡意程式的狀況比較特殊,一般防毒軟體來說,很難有根治的方法,防毒軟體原則上不會越權去更動你的登錄檔資料(頂多是監控)。

如果能夠把相關的惡意程式都完整的清除,就算登錄檔沒有修正,頂多是覺得使用起來比較不方便(多數使用者感覺不深,如果太深,惡意程式不就很快被發現了嗎?)

早先,我自己對這次的感染事件,一路從只能挨打,到現在不慌不忙的處理,也看過它變種不少次,但是使用者觀念真的變好了嗎?如果有跟一定量的使用者打過招呼的人,應該就能夠理解我所說的狀況,真該歸功於隨身碟的發展嗎?

我們只能夠憑藉著各式軟體(防毒軟體、xx殺木馬幫手、USB xxxx、kavo xxxx...等),幫使用者阻擋預防清除解毒,一但有人中獎,免不了就是要使用者去旁邊休息一下,我們再手工幫它處理(我知道有很多工具可以用,我還是用手動解決)。

因為這種惡意程式滲透的途徑太多,例:郵件轉寄(最大宗)、挾帶程式碼惡意網站(次之)、檔案傳遞、甚至P2P的檔案...等,都是入侵的管道,如果能夠把這些滲透的管道都封鎖,應該能避免大規模的爆發(如果真的能夠封瑣的話...)。

除此之外,就是使用者的教育宣導,這部份如果你「親身」體驗過的話,除了「明文禁止嚴刑峻罰」之外,再多的教育跟宣導,經常都會流於看笑話恫嚇表面功夫而已,我想這應該是資安宣導固有的特殊文化吧!

我覺得針對隨身碟感染惡意程式病毒這件事,早應該跳脫該怎麼預防清除,而是該如何加強使用者的觀念,不然最後還是只能「有錢的出錢買設備、買工具沒錢的出力耗時間、練腳力」,再不然就是來個統一禁用USB,話說回來,據說未來滑鼠跟鍵盤都只用USB,準備跟PS/2告別,那以後連滑鼠跟鍵盤也一起禁用嗎?(這不太可能吧!?)

根據惡意程式的特性,就算是網路磁碟機也具備相似的特性,所以除了封鎖USB之外,難不成連網路磁碟機也禁用嗎?還是大家都用FTP還是WEB SITE來傳輸共用檔案?我一直相信一昧的禁用不是解決問題的方法。

但是大部份的IT人員,還是得用禁止的手段來解決吧!很多時候我們所做的事,都是「不問經過,只要結果」。(如果沒出事,一般使用者或上司也不在意過程!)

最後,希望隨身碟的風波能早點落幕,如果沒意外的話,這應該是這系列的最後一篇文章(如果沒有什麼新手法又出來...),不過,有了這次經驗之後,我想會有更多惡意程式的製造者,會往這個模糊地帶進攻,所以各位IT業的同好們,下次如果有什麼新的發展,還請不吝賜教,這樣才能在大量爆發之前,先準備好解決之道,這才是網路最大的力量吧!

6 則留言:

  1. 我好奇的是
    若是停用 Shell Hardware Detection 有用嗎
    我是採用這方法

    回覆刪除
  2. 你所使用的方式應該比較貼近關閉autoplay的功能,所以它其實不能夠幫你解決隨身碟被感染的狀況,就如同我文章中所OSSF的文章中有提到類似的狀況。

    我先前也跟一些網友做過類似的測試,其實關閉AUTOPLAY對於隨身碟感染的影響不大(或許早期有用),但後期的變種基本上觸發的條件也已經有所不同。(他們的手法也會更新)

    你可以再參考看看!希望對你有所幫助。

    回覆刪除
  3. 關閉隨身碟使用的key值是在:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
    並不會影響USB鍵盤及滑鼠

    有興趣可以參考:
    http://support.microsoft.com/kb/823732/zh-tw

    另外也可以利用GPO的方式控管USB

    請參考:
    http://support.microsoft.com/kb/555324/zh-tw

    回覆刪除
  4. 多謝KEN的補充說明~

    未來應該就是USB的天下,所以這部份的應用不得不學呀!能夠不影響鍵盤跟滑鼠,而能夠控管USB的確很重要!

    至於GPO的方式控管,我想這一點在沒有導入AD的中小企業(我想很多應該都沒有...)或者是使用HOME的作業系統,它可能就會面臨英雄無用武之地,不然我知道GPO能做的事情還真的不少。

    還是很感謝ken的補強!多謝指教。

    回覆刪除
  5. 我在學校也碰過很多次,實在很不想把隨身碟在插進學校的電腦了
    最近找出殺掉部份病毒的方法

    通常病毒會在隨身碟中寫一個autorun.inf
    經過實驗,把explorer中止可以防止病毒"復活"
    在使用指令就可以砍掉了

    不過看起來這種病毒很快就會消失了(太廢物了)
    不曉得所謂新手法式怎樣的方式

    回覆刪除
  6. 蟲說的沒錯,停用explorer再去刪除就可以用指令刪除,除此之外...

    有些地方還是得仔細檢查一下,這就跟「戲法人人會變,各有巧妙不同」,後面的變化除了把i變l外,我印象中類似的變種還挺多的!

    在學校,或多人使用的環境裡,真的很難避免這種問題~~或許找些防寫入的隨身碟可以安全一點吧!

    未來的新手法,等到下一次大盛行的時候就會知道了

    據說,最近msn病毒有復活的趨勢,希望不要災情擴大才好。

    多謝你的指教。

    回覆刪除