請問一下USB病毒之防範

[BlueFang]

引用:

作者: FYI

中國網友也曾提出修改Shell32.dll, 將Autorun.inf 改掉, 再覆蓋回Windows, 達到不執行Autorun.inf 的目的, 這也是小弟先前誤認Shell32.dll 是禍首的原因

其次, BlueFang 網友所介紹在卸除式磁碟建立無法刪除或變更的Autorun.inf (FAT16/FAT32), 方法是從磁碟的Directory Table 找到 "AUTORUN INF" 進入點, 然後將第12 個位元組, 也就是檔案屬性(00ADVSHR), 原來是0x20, 代表Archive, 改成0xE5 或0xE2, 按照小弟的實驗, 以上技巧在於設定未定義(公開)的位元(Bit6, Device), 導致作業系統無法存取Autorun.inf (存取被拒), 這個方法不但可以愚弄Windows XP, 也可以通過磁碟檢查, 這就達到為卸除式磁碟打預防針的目的, 實在是一個聰明的辦法, 當然結果並非完全免疫, 而是免於自動執行, 操作步驟如下:

1. 以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 "AUTORUN.INF" (大寫)
2. 開啟 Tiny Hexer
3. 點選 "File -> Disk -> Open drive..."
4. 選擇卸除式磁碟代號, "Load" 輸入 "64" -> OK, 數字愈大, 讀取愈快
5. 按下 Ctrl-F, 輸入 "AUTORUN INF " (有兩個空格), "Find text" 打勾, 點擊 "Find"
6. 點擊 "Yes to All"
7. 找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零
8. 紀錄標題所顯示的 "sectors" 起始位置
9. 關閉檔案, 重新載入, "Load" 輸入 "1", "First sector" 輸入以上起始位置 -> OK
10. 找到目標後, 將 "AUTORUN INF " 改成 "AUTORUN INF@"
11. 儲存並退出隨身碟
12. 重新插入隨身碟, 嘗試讀取, 更名或刪除 "AUTORUN.INF"

以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備

8.3 filename - Wikipedia, the free encyclopedia

有这两条就基本够用了。
病毒的两个载体都有了防范，一个是PC，一个是U盘。
当然世事不尽如人意，对于NTFS或者其他文件系统的U盘，目前没有比较保险的方法，NTFS可以通过设定权限来拒绝病毒的存取，不过有网友报告说此种方法已被突破。

[pizza]

嗯~防範?!我想要徹底的防範可能比較難一點，因為現在資訊環境的方便，也造就了許多資訊安全的問題，USB就是目前資訊管理人員比較頭痛的地方，像有些公司為了避免此問題，公司所有電腦的USB裝置都停用，來達到USB病毒的防範，不過還是有些方法可以參考參考：
如果已經中毒了，最近趨勢官網有提供iclean(解毒快手)，聽說是把病毒刪掉後，還會建立隱藏資料夾，來預防後續相同的病毒寫入，病毒刪掉了也有預防的效用
官網：http://www.trendmicro.com/download/z...p?productid=56
如果沒中毒的，可以試試趨勢的WTP Add-On，這可以主動防範惡意網站，在你上網就主動攔截惡意網站不讓你開啟，
http://tw.trendmicro.com/tw/products...wtp/index.html
再來就是使用者自己的使用習慣了，人家常說的防毒軟體只能防範80%的威脅，剩下的就靠使用者自己的使用習慣了

[Crane_Ku]

別想太多，關掉USB的自動撥放
這是一定要做的

google搜尋字串：「關閉 usb 自動播放」
可以找到各種教學

[vicacheung]

禁用Shell Hardware Detection 服務即可

[der98903]

我都會再打開隨身碟前先掃毒一次

我用的防毒是諾頓2009

他有內建防火牆

應該可以擋下來

[noeleon930]

引用:

作者: DS

gpedit.msc
系統管理範本、系統、關閉自動播放

Ho~~ Ho~~
其實只有專業版才能做到喔~
家用版可不行啊~

[noeleon930]

其實有個最終極的方法，就是使用"非Windows"系統啦~!
我用Linux開機，進入桌面後將隨身碟插入電腦，不久之後會在桌面上顯示出隨身碟的圖案(前提，隨身碟的磁區不可為NTFS，Linux不支援)，再按兩下，進入隨身碟!(好流暢!)其實世界上大部分病毒在Linux系統中是無法執行的，表示說...病毒對Linux沒有用!進入隨身碟後只要將相關的病毒檔案刪除(如: *.com、*.exe、autorun.inf等)，之後，解毒完成!!!

真的是又簡單又方便呢!~

[FYI]

總還是有人會忘記不要雙擊磁碟機代號, 所以小弟又回頭找尋比較適合一般人, 但又不會犧牲太多功能的方法, 想來想去, 還是回到先前這個方法:

引用:

作者: FYI

Nick Brown's blog: Memory stick worms

也就是你所要的答案, 讓Windows (csrss.exe) 把Autorun.inf 視為單純的安裝資訊檔, 而不是自動執行檔, 也就不會自動執行

NOAUTRUN.REG

語法:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

然後再參考#13 加上限制 "NoDriveTypeAutoRun"

DisableAutorun.reg

語法:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
"Autorun"=dword:00000000

既然關閉自動執行, 那麼副作用就是插入安裝光碟不再自動執行, 必須自行檢視Autorun.inf 內容, 以便找到安裝程式的儲存位置

此外, 停用 "Shell Hardware Detection 服務" 雖然更徹底, 但小弟擔心影響太廣, 所以暫時沒考慮, 至於 "MountPoints2", 小弟已經於#23 實驗過, Autoplay 仍有效

[yuhsheng]

預防隨身碟病毒,只要改mountpoints2機碼的權限是有效的,修改後開啟隨身碟,autorun.inf根本不起作用,即使仍有自動撥放功能亦是.

插入隨身(硬)碟的目的就是要使用它,把自動撥放機制關了,從我的電腦或檔案總管點入,一樣會啟動autorun.inf內指定的惡意程式

[quell]

檔案總管點入會啟動隨身碟病毒嗎？