請問一下USB病毒之防範

[FYI]

建議變更:

控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> 使用快速使用者切換 -> 不勾

如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要登出, 就可以讓設定生效, 不必浪費時間於重複開機

請在待測電腦的系統碟和隨身碟的根目錄分別存入Autorun.inf 如下:

語法:

[AutoRun]
action=Test Autorun.inf
shellexecute=c:\windows\system32\calc.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore\command=c:\windows\system32\cmd.exe
; shell\explore=Explore(&X)
; open=c:\windows\system32\calc.exe
; Only one of "open" and "shellexecute" will be executed.

在待測電腦執行 "regedt32", 於以下機碼

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

新增DWORD 值, 名稱 "NoDriveTypeAutoRun", 資料分四次輸入0, 4, 8, df (十六進位), 登出使數值生效

測試項目:

1. 插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?
2. 開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
3. 開啟我的電腦, 雙擊 C:, 是否自動執行小算盤?
4. 開啟我的電腦, 右擊 C:, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
5. 開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "開啟(O)" 是否換成 "Open(O)"?
6. 開啟我的電腦, 雙擊隨身碟代號, 是否自動執行小算盤?
7. 開啟我的電腦, 右擊隨身碟代號, 點選 "檔案總管(X)" 是否自動執行命令提示字元?
8. 修改NoDriveTypeAutoRun, 登出並重複以上步驟

以上主要說明 "What you see is NOT what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現

如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久

附件一: Test-Autorun.jpg
說明: 第一個黑體字 "自動播放(P)" 是由 "shellexecute" 所產生, "開啟(O)" 和 "檔案總管(X)" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放(P)" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉

附件二: Autoplay.jpg
說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的

[sylovanas]

FYI大要不要測試看看將mountpoint2機碼鎖權限試看看？
我有看到有人提到將這邊機碼鎖住可讓autorun失效

位置在
hkcu\software\microsoft\windows\currentversion\explorer\mountpoints2

2000的話是
hkcu\software\microsoft\windows\currentversion\explorer\mountpoints

[FYI]

NoDriveTypeAutoRun = 0x91 (Windows XP 預設值)
實驗結果:

一) 限制MountPoint2 機碼之Everyone 權限唯讀

• 硬碟機: Autorun 終止
• 卸除式媒體裝置: Autorun 終止
• Autoplay 有效

二) 停用 "Shell Hardware Detection" 服務

• 硬碟機: Autorun 有效
• 卸除式媒體裝置: Autorun 終止
• Autoplay 終止

請注意, 以上均會終止CD-ROM/DVD-ROM 之Autorun, 但Autoplay 則不一定

小弟竟然忘了自己曾在 "【木馬】無法顯示資料夾、kavo病毒解決之道！" 之中, 提到關閉 "Shell Hardware Detection" 服務", 卻一直鑽牛角尖於 "NoDriveTypeAutoRun", 真是久未接觸, 愈活愈回去了, 不過這回徹底把Autorun, Autoplay 和NoDriveTypeAutoRun 給搞清楚, 總算沒有白忙一場, 然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機

引用:

作者: FYI

關閉系統服務 "Shell Hardware Detection" 也可以停止自動播放
Windows系統服務面面觀(下)

Shell Hardware Detection（ShellHWDetection）: 這項系統服務會監視及提供「自動播放」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置（例如光碟、隨身碟）上的內容（例如圖檔或影音檔），然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用，並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃（Flash）媒體、PC卡、外接的USB或1394硬碟；支援的內容類型包括: 圖檔（.jpg、.bmp、.gif、.tif）、音樂檔案（.mp3、.wma）、視訊檔案（.mpg、.asf）。如果停用這項系統服務，就會停止「自動播放」功能。

微軟作業系統關閉裝置自動執行功能設定方法 (PDF)
小心病毒就在USB中

[DarkSkyline]

可以參考下列資料:
Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具
FYI:
http://www.freegroup.org/wow-usb-pro...ill-usb-viruse

[billeccentrec]

引用:

作者: DarkSkyline

可以參考下列資料:
Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具
FYI:
http://www.freegroup.org/wow-usb-pro...ill-usb-viruse

很慢
插進去一個槽(不論是哪個東西)
都會開個cmd
等5-10秒後
他會說掃毒中
掃完毒就15秒了....

後來就給他殺了

[billeccentrec]

引用:

作者: FYI

微軟作業系統關閉裝置自動執行功能設定方法 (PDF)
小心病毒就在USB中

每次都可以找到實用的網站
真的很實用

[FYI]

引用:

作者: billeccentrec

一.沒有用，現在病毒都會更改唯讀
不如在Autorun.inf 插入一張圖
看圖有沒有消失

加入 "icon" 是一個辨識的好方法, 另一個更簡單的方法是加入 "label", 例如 "label=無毒的SD1G", 希望病毒不會進化到懂得保留原Autorun.inf 的 "icon" & "label", 不過如果防毒軟體偵測到Autorun.inf 就殺, 那就白費工夫了

[wscooch]

參考小弟在 2008/01/28 的測試結果,
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

與曾義峰在 2008/03/25 的測試結果:
http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
不謀而合!!

如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,

改一大堆有的沒有的只是在騙自己....

[不潔之力]

引用:

作者: wscooch

參考小弟在 2008/01/28 的測試結果,
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339

與曾義峰在 2008/03/25 的測試結果:
http://www.zdnet.com.tw/enterprise/t...0128215,00.htm)
不謀而合!!

如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,

改一大堆有的沒有的只是在騙自己....

不太懂您想表達的意思！
改東改西～也只是討論中～並未完全有定論～
何來騙自己？
如果防毒真的有用～也就不會有這篇討論了～

[quell]

偵測登錄檔改寫有用嗎?