close

作者: hirokofan (笠原弘子 命!) 看板: AntiVirus
標題: 隨身碟病毒的憂鬱
時間: Sat Mar  1 23:14:04 2008

 


網頁正式版
USB蠕蟲(隨身碟病毒)的處理與防治
http://hirokofan.myweb.hinet.net/exe/usb_worm_std/

網頁碎碎唸版
隨身碟病毒的憂鬱
http://hirokofan.myweb.hinet.net/exe/usb_worm/

有錯請鞭轉載OK


一、隨身碟病毒的憂鬱


前言

  隨著各式儲存裝置售價降低, USB外接式儲存裝置越來越普及,這類裝置體
積小、容量大、隨插隨用十分便利,這些好處對於個人、團體都有相當大的實用
性。

  Cracker 自然不會放過這個管道,對一般人便利的東西,對他們而言也是便
利的。藏在隨身碟中的病毒,就這樣一台一台傳染,如果機關對隨身碟沒有一套
管理政策的話,病毒很容易就會在內部蔓延,並趁著和其他團體交流的時候把病
蟲傳播出去。

  比方說有個研習,講師很好心的把資料複製給學員,可是某人的隨身碟中毒
了,病毒就這樣傳給其他學員,這些人又把病毒傳到自己所屬機關的電腦、傳給
自己的同事,然後又....

  某日研習,我向來自各地的研習人員借隨身碟來檢查,十幾枝隨身碟中只有
三枝沒有中毒,雖說會拿來掃的人可能是認為有問題才拿給我,不過總人數才三
十人就有這麼多隨身碟中毒,這個狀況也是很恐怖。當天我把病毒清掉,但是我
悲觀的認為回去之後還是會中毒的,因為「毒窟」是電腦而不是隨身碟....

  好在 PTT防毒版有很多使用者上傳檢查 log、回報中毒情形;不少厲害的人
檢視這些問題並開發出許多工具免費供人使用(感謝無價),我才能踏著前人之
路簡單的處理掉這些問題。總之,我把最近跟隨身碟病毒對抗的一些心得分享出
來,希望能對碰上相同問題的人有所幫助,並向在這個病毒災害付出心力的人致
上敬意。

 

HC的碎碎唸

  很久以前我就不相信耶誕節收到的電子賀卡,儘管現在他們已經會講中文了。
摸著電腦這些年,我堅信這個窗戶的安全性是千瘡百孔,由於科技始終來自於惰
性,縱使有個系統設計的完美無缺,這種東西遲早會被白痴的人機介面淘汰。儘
管如此,我還是到了三年前才發現防毒軟體不是萬能的,算了,反正我不過是個
人畜無害(?)的好人,身旁也沒有要讓世界變得更有趣的神,如果有什麼宇宙
Cracker、未來Cracker和超能力Cracker存在的話,求求你們別找上我就好了。

  儘管我終於知道防毒軟體不是對小Me身體檢查之後藥到病除,但仍阿 Q的希
望他們是很好很強大,因此對於他們用掉大量的記憶體讓電腦猛吃SWAP、耗費時
間開機掃描讓CPU一直Loading、沒事還跳出來擋我要去的奇怪網站,這些不便我
都不放在心上,如果能讓電腦免於病毒摧殘,這點代價是可以接受的。只是一碰
到隨身碟病毒,才讓我發現他任憑病毒予取予求,好不容易讓防毒軟體恢復正常,
去查他的病毒資料庫,啥?嚴重性低?....如果我有 CIH的本事,我就....算了,
反正我也沒那本事,只能夠嚷著:

「絕望啦!我對又弱又遲鈍的防毒軟體徹底絕望啦!」

卡夫卡:「問號的位置沒有錯嗎?」(mail-mail-)


(導播,這段正式來的時候cut掉....)


二、隨身碟病毒的真名


隨身碟病毒是什麼?

  隨身碟病毒就是病毒嘛!(HC被人拖去打)

  之所以被稱為隨身碟病毒,是因為他的主要傳染途徑是透過隨身碟散佈,要
注意的是,外接硬碟、數位相機、記憶卡等外接式儲存裝置都要視為隨身碟(所
以正式的名稱是 USB蠕蟲),因此這個傳染途徑比想像中還要大。

  此外,雖然被通稱為隨身碟病毒,但是這類病毒一樣會感染到內接的磁碟機,
不要因為名稱就被混淆了。


正式名稱為「USB蠕蟲」

  根據國家資通安全會報技術服務中心的通報ICST-ANA-2008-0002,一般通稱
的隨身碟病毒叫USB蠕蟲,請參考
http://enc.cyc.edu.tw/modules/news/article.php?storyid=209


三、隨身碟病毒的症狀


共同症狀

  感冒的病毒有很多種,隨身碟病毒也一樣,不過他們有一些共同的症狀,只
要使用者稍有警覺性就能很快發現你的隨身碟甚至電腦已經中毒了。

  以下是中了隨身碟病毒的症狀,請檢查你是否有這些現象,我碰到十台有九
台是中毒的,剩下一台是因為中過毒沒清乾淨(參考後面「隨身碟病毒的餘孽」)。

    * 隨身碟點兩下無法開啟
    * 隨身碟剛插上電腦還能用,過一會兒就無法使用,拿去另一台電腦又可以
     使用
    * 從「我的電腦」滑鼠雙擊無法開啟磁碟機,按右鍵選「開啟」才能打開
    * 用「檔案總管」才能開啟磁碟機

  如果你看到下面這個訊息,別懷疑,100%中毒。

    * 電腦用到一半突然跳出一個視窗上面有「kavo」或「tavo」字樣說作業中
     止。(可能已經隨機產生名稱了)


*隨身碟病毒有很多種,上述現象可能只是各種症狀中的一部分。


四、隨身碟病毒的原理


傳播原理

  如果你有拿過遊戲 /軟體或硬體驅動程式光碟安裝的經驗,應該會記得,光
碟一丟進去會馬上跳出一個畫面準備安裝,這就是自動執行功能。只要在根目錄
下面寫好 autorun.inf,在裡面設定要執行的程式、光碟的圖示等, Windows就
會在你放入光碟時依照 autorun.inf的內容自動執行,如安裝設定畫面。

  隨身碟病毒便是利用這個方式,在 autorun.inf裡面寫上病毒所在位置,讓
 Windows自動執行病毒檔案,使用者在剛插上隨身碟的時候就中毒了,這種方法
很簡單也很實在,只要插上有毒的隨身碟,剩下的就看你的防毒軟體是很好很強
大攔下來,還是又弱又遲鈍讓病蟲攻破了。

  隨身碟病毒的共同特點就是這個 autorun.inf,基本上他帶的毒破壞力並不
強,麻煩的是在後面。


病毒也會「更新病毒碼」

  不論卡通還是電影,當賊的入侵之後第一件事情就是搞掛保全系統,當隨身
碟上面的「先行者」登陸到你的電腦之後,就會開後門藏木馬烙大隻的過來,在
開機的時候搶先執行,癱瘓防毒軟體。現在大部分的電腦都有上網,對病毒而言
根本沒有難度。等到病毒進來之後,要做什麼就隨病毒高興了。

  早期的隨身碟病毒會躲在資源回收桶裡面(如 info.exe、sxs.exe),因為
隨身碟是不會有資源回收桶的(包括記憶卡、數位相機等,外接硬碟不算),因
此很容易判斷是否中了毒(只是一般的方法殺不掉-_-)。

  後來病毒也不躲了,直接待在根目錄,只是改成跟系統檔案很像的名字(如
ntdelect.com,這個和 Windows的重要開機檔案ntdetect.com很像),沒弄好誤
殺反而會把系統弄掛。有些是.com的檔案,這種多少還能判斷不是自己產生的,
只是一般人的電腦都設定不顯示副檔名,大概也分不出來。

  於是就有人說不要隱藏副檔名有助於讓自己發現病毒,結果最近的隨身碟病
毒,副檔名已經變成.exe和.bat,名字幾乎是隨機產生(如u.exe、6.bat)光從
檔名很難判斷。


五、隨身碟病毒的感染


感染對象

  作業系統:Microsoft Windows XP/2003/Vista

  硬體:內接式硬碟、隨身碟、數位相機內建記憶裝置、記憶卡、外接式硬碟等


高危險區

  接觸的隨身碟越多,電腦就越危險,如

    * 照相館讀取記憶卡的電腦
    * 無人管理的公用電腦
    * 簡報用的公用電腦


重灌電腦不一定能解決隨身碟病毒!

  有很多人中毒就重灌,但是重灌不見得能夠對付隨身碟病毒。因為這類人通
常是把磁碟印象檔(如 GHOST的.gho)放在資料碟,系統重灌了但是其他磁碟機
還是保留原狀,隨身碟病毒仍然存在電腦中,重灌N次還是一樣的結果。

  用格式化清除隨身碟病毒只對隨身碟(外接硬碟、記憶卡等)有效,真正麻
煩的是受感染的電腦,「斬草不除根,春風吹又生」,沒有對症下藥只是浪費時
間。


還原系統不一定能除掉隨身碟病毒!

  有些地方的公用電腦會裝還原系統,但是通常只對系統槽(如C:)管理,而
隨身碟病毒會藏在每一個磁碟機,即使系統還原了病毒仍可能存在 D槽。

  除非系統還原時是把所有磁碟都恢復成原始狀態,不然「野火燒不盡,春風
吹又生」,還原也只是還原心酸的>_<


六、隨身碟病毒的潛伏


感染初期難以發覺

  如果中了毒會馬上發作,這樣的毒比較好控制,因為我們可以很容易鎖定感
染範圍即刻處理。但隨身碟病毒感染初期很難發現,因為中毒的隨身碟剛插上去
的時候還能正常使用,即使怪怪的仍然能靠右鍵開啟或重新插入隨身碟,缺乏警
覺性的人往往懷疑隨身碟或電腦故障,把隨身碟拿去別的電腦使用,擴大受感染
的範圍。

  受到感染的隨身碟在缺乏警覺性的使用者手上不斷的把病毒傳播到其他電腦,
這些電腦再繼續感染接觸到的隨身碟,南北交流,城鄉合作,有朋自遠方來,一
起中毒。等到發現災情嚴重時已經不知該從何查起,看到一台電腦中毒,就得當
作有三十台電腦中毒,就算是好人也會生氣的。


在隨身碟上準備金絲雀

  日本發生地鐵毒氣事件時,因為沙林毒氣無色無嗅無味難以察覺,當時調查
人員都會帶著一個鳥籠,如果裡面的金絲雀發生異狀就表示有毒。相同的原理,
我們可以在隨身碟上面裝上一個可以辨識的檔案,如果這個檔案遭到破壞就表示
隨身碟中毒了。

  先前提到隨身碟病毒的共同特徵是 autorun.inf,而這個檔案除了可以指定
要執行的程式之外,也可以設定隨身碟的圖示,就像遊戲光碟會用他的遊戲圖片
來顯示一樣,我們也可以幫隨身碟指定一個喜歡的圖示。

  1.找一個或做一個你喜歡的圖示檔(假設這個圖示名稱是usb.ico)
  2.開啟記事本貼上下面兩行,存檔類型改成「所有檔案」,然後儲存成
   autorun.inf

[autorun]
icon=usb.ico

  3.將圖示檔和 autorun.inf都複製到隨身碟上,重新插入之後就能看到圖示
   已經變了。

  像學校可以把自己的校徽改成圖示檔,隨身碟插上去就會看到校徽,如果校
徽不見就表示中毒了。雖然還是會中毒,你可能覺得沒什麼用處,但透過這個機
制可以早期發現早期治療,因為隨身碟上的毒好殺,電腦上的毒難除,病毒要偷
的東西是在你的電腦裡,而不是在隨身碟上。


七、隨身碟病毒的破壞


竊取個人資訊

  隨身碟病毒發作之後,最簡單易見的問題就是硬碟點不開,如果你認為只要
按右鍵開啟就解決的話,那實在很危險。設計病毒的人不是吃飽沒事幹,他們的
目的當然是錢。要怎麼讓一台中毒的電腦吐錢出來?自然就是偷使用者的帳號密
碼,然後把有價值的東西拿去賣。

  目前我聽過的案例是線上遊戲的帳號密碼被偷光,虛擬寶物噴光光,至於他
會不會偷其他的,比如說電子郵件信箱、拍賣網站帳密,這個我不知道,但如果
發生這樣的情形我也不意外就是。

  另外他們會癱瘓你的防毒軟體,到時系統會死於何種病毒我也不知道。

  除了硬碟點不開這個問題之外,比較明顯的狀況是系統會跑得很慢,時常發
生錯誤,由於隨身碟病毒引進來的「大傢伙」各有不同,毒性弱的還能簡單處理
掉,毒性強的可能要搏鬥很久才能解決。


八、隨身碟病毒的刪除


救援流程

   1. 跑EFix後重開機
   2. 跑ComboFix後重開機(如果需要的話)
   3. 防毒軟體完整掃描


救援中毒的電腦

  現在有很多專殺隨身碟病毒的工具,這裡我介紹PTT防毒版的junorn寫的EFix
(因為我都靠這個當好人的)

http://reinfors.googlepages.com/efix

  進入網頁後把EFix下載到自己的電腦,雙擊執行之後依照指示點「是」按
「Enter」,跑完重開機。EFix可以把一些已經登記有案的病毒檔案,以及從
 autorun.inf找出病毒檔案名稱全部刪除,然後修復Windows XP的登錄檔案,如
果登錄檔案被病毒改過的話。

  用過EFix之後,系統的自動執行功能會被關掉,如果想要再度開啟,請注意
桌面會有個EFix的捷徑,找 Tools資料夾下執行 Autorun.reg檔案後重開機後功
能就會恢復。

  如果你擔心中毒很深,可以再跑ComboFix,過程和EFix差不多。

http://reinfors.googlepages.com/Combofix

  不過這樣子還不算完成,重開機後要用防毒軟體完整掃描一次,因為EFix是
用檔名來判斷,前面說了現在的隨身碟病毒檔名千奇百怪,要抓的話得要靠防毒
軟體抓特徵才行。我碰過有人中了好幾個隨身碟病毒(這是在煉蠱呀....),
EFix抓到了大部分的有名病毒和 autorun.inf記載的,但還有一隻隨機名稱的病
毒留下來。

  此外,防毒軟體被隨身碟病毒癱瘓之後可能還有其他病毒鑽進來,完整掃描
是必須要做的。要注意的是中毒期間防毒軟體可能也不會更新病毒碼,這個也要
檢查才行。由於EFix會把刪除的檔案備份起來,防毒軟體掃到備份區出現警告是
正常的。(掃過去沒有抓到毒的話,你可能要考慮一下換防毒軟體....)


九、隨身碟病毒的餘孽


殘留的autorun.inf

  有時隨身碟上的病毒會被防毒軟體發現,防毒軟體自然就很盡責的把病毒殺
掉,但是 autorun.inf本身只是個記載著要執行什麼程式的純文字檔案,並不是
病毒,因此很可能被留下來。當這樣的隨身碟插上電腦之後,就會依照
 autorun.inf裡面記載的內容來跑,也就是要執行病毒檔案,但病毒檔案已經被
殺了一定找不到,這時系統就會跳出訊息說他不知道怎麼辦才好。

  當然還是可以用檔案總管或用右鍵開啟,不過問題只是在 autorun.inf,只
要把他清除就可以了,可以用命令提示字元( DOS視窗)執行
「del /a:shr X:\autorun.inf」( X:隨身碟的磁碟機代號)。

  如果嫌這樣麻煩,也可以拿 EFix Lite處理(請參考EFix網頁)。


十、隨身碟病毒的預防


讓電腦提高警覺

  如果你的防毒軟體不是很好很強大,可以考慮PTT的blman寫的
「Wow! USB Protector」或「Wow! USB VirusKiller」。

  這兩者不能混用,功能基本上都差不多,他們會定時更新病毒資料庫,當有
毒的隨身碟插上電腦時會發出警告或直接殺掉。

  Wow! USB Protector

http://antbsd.twbbs.org/~ant/wordpress/?p=1044

  Wow! USB VirusKiller

http://antbsd.twbbs.org/~ant/wordpress/?p=1043

 *由於版本可能會升級,這兩個網址不一定會指向最新版本頁面,不過網頁中的
  檔案連結仍會是最新版的。


關閉「自動執行」

  要預防隨身碟病毒,關閉自動執行是一個基本方式,可以參考國家資通安全
會報技術服務中心提供的方法

    * 關閉自動執行(PDF檔)
    * http://enc.cyc.edu.tw/modules/news/visit.php?fileid=46

  另外,執行了EFix之後也會關閉自動執行。


選用有防寫功能的裝置

  現在隨身碟要找有防寫功能的好像不容易,而SD卡有個防寫的開關可以調整。

  不過就算有防寫功能,要去跟別人複製東西的時候還是要打開,會死的終究
會死-_-....


十一、隨身碟病毒的偵測


病毒快速判別

  就算防毒軟體被繳械,我們還是有很多種方法可以判斷是否中了隨身碟病毒。

    * 打開「我的電腦」,在磁碟機的圖示上按右鍵,如果你看到「自動執行」
     而且是粗體,十之八九是中毒。
    * 進入「命令提示字元」( DOS視窗),輸入「dir/a c:\」( 看你要檢查
     的磁碟機代號),如果看到 autorun.inf,有很高的機率是中毒。
    * 承上,輸入「 type c:\autorun.inf」,看看裡面寫了什麼東西,如果裡
     面有執行檔(.exe、.com、.bat等),這時候可以請EFix出來了。

 *註:有些人會建立一個 autorun.inf的「資料夾」來防止隨身碟病毒,用type
    是看不到的,這不是中毒


十二、隨身碟病毒的消失


時間會解決....

  除非電腦系統改朝換代,想根絕隨身碟病毒不容易,兩年前出現到現在,中
過毒依然中毒,沒中的也跟著中了。加上隨身碟便宜的跟水一樣,越來越多人有
隨身碟,這叫人怎麼能樂觀?只要人有惰性,只要人缺乏警覺性,這些病毒就能
「生生不息」,要隨身碟病毒消失,可能得等隨身碟被淘汰吧-_-


--
  ◢███◣
  ◤   ≡         ______________________________________
   ─⊙-⊙-      /                                      \
       皿     _/  把台灣那些可悲的節目收一收  該吃飯了 /
  ◣   ︶◢     \______________________________________/

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.165.128.241

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 阿貴貴 的頭像
    阿貴貴

    阿貴貴的亂七八糟雜談

    阿貴貴 發表在 痞客邦 留言(0) 人氣()