數碼中文坊

 取回密碼
 我要註冊
檢視: 6185|回覆: 1

[教學] 預防 USB 病毒的簡單方法 - 連「火焰」都不怕!

[複製連結]
發表於 2012-6-1 14:19:25 | 顯示全部樓層 |閱讀模式

馬上註冊,結交更多好友,享用更多功能,讓你輕鬆瀏覽論壇。

你需要 登入 才可以下載或檢視,沒有帳號?我要註冊

x
近來一個號稱「史上最強」的病毒「火焰」現身了!它會聰明的避開防毒軟體偵測,你抓都抓不到。請參考以下連結:
http://www.nownews.com/2012/05/30/91-2819295.htm

「火焰」說穿了是一種 USB 病毒,而 USB 病毒是一種電腦蠕蟲。電腦蠕蟲不會像電腦病毒程式一樣感染其他檔案,但『本尊』會複製出很多『分身』,像蠕蟲般在電腦之間爬行,從一台電腦爬到另外一台電腦。而最常見的爬行途徑就是你的隨身碟!

連防毒軟體都束手無策的病毒卻有一種最簡單的防治方法。有人說只要把電腦的自動撥放 (Autorun) 功能關閉就可以防止 USB 病毒。錯!這不是萬無一失的方法。最好的方式是就算你的隨身碟放入一台已經中了USB 病毒的電腦也能安然無恙,就像是穿上了防彈衣一般。

如何幫你的隨身碟穿上防彈衣呢?非常的簡單,不需要借助任何其他工具軟體。在此之前我們先了解一下 USB 病毒的運作原理:
每當我們放入光碟片、插入隨身碟的時候,系統會自動運作或播放音樂,這全是透過 Windows 的自動播放 (AutoRun) 機制來運作。這種好用的功能其實全靠一個名稱為「Autorun.inf」的檔案來告訴電腦,當光碟/裝置插入時該執行什麼程式。但惡意的人看準這個自動播放機制,利用它讓一般使用者在放入隨身碟時,自動執行病毒/木馬造成電腦遭受感染,並伺機感染之後插入的每一個隨身碟裝置。於是蠕蟲就這麼一台爬過一台的感染其他電腦。

好!重點來了!病毒既然是利用「Autorun.inf」這個檔案來自動運作,我們也能利用這個特性讓病毒無法運作!你只需要在你的隨身碟中建立一個資料夾,名稱就叫作「Autorun.inf」。是資料夾!不是檔案!如此一來,往後病毒就算已經入侵到你的隨身碟中,但由於它無法運作,也等於是無害且無用的廢物。

記住! 這個資料夾一定要建立在隨身碟的最上層 (即根目錄)。

anti-usb-v.jpg

這原理很簡單。在同一層資料夾中不能存在相同檔名的檔案或資料夾。為什麼我們要建立的是資料夾而不是檔案?因為檔案可被任何其他同名檔的案覆蓋過去;但資料夾卻不能被同名的檔案給覆蓋。USB 病毒既然一定要利用「Autorun.inf」的檔案來運作,我們先用一個同名的資料夾將這個檔名佔住,病毒便無法再建立同名的檔案。就算它把病毒的本體已經偷偷放入你的隨身碟中,由於缺乏執行的管道,它也無法再作怪!

好!如果此時發生了怪事...就是你在建立「Autorun.inf」這個資料夾時,系統說檔案已經存在的話!你要有心理準備,你的隨身碟可能早就已經中了 USB 病毒!因為,檔案也不能被同名的資料夾所覆蓋。這也證明你的隨身碟中早就已經有一個「Autorun.inf」的檔案或資料夾存在!

你看不見它是因為它被隱藏了起來!如果你想讓它顯示出來卻怎麼也不成功,抱歉!表示不只是你的隨身碟,你的電腦也中了!病毒已經入侵你的電腦。




發表於 2012-11-4 21:41:56 | 顯示全部樓層
本文章最後由 llmm0o 於 2012-11-4 09:49 PM 編輯

其實, 大家常規方法新建的autorun.inf資料夾很容易被刪掉, 幾年前的木馬就懂得先清除根目錄名為autorun.inf的資料夾和檔案, 然後才新建一個. 即使是通過attrib設置為"僅讀"和"系統"的屬性, 還有在autorun.inf資料夾里建立畸形資料夾, 也都能被加驅的木馬刪除. 所以, 這類方法早已過時.

防止USB病毒有兩個方面的內容: 一是防止自己的USB設備被他人的電腦感染; 二是防止他人把已感染病毒的USB設備接入我們的電腦時受感染.

由於常用USB儲存介質的特點決定了我們只能使用FAT32的檔案系統, 而FAT32的安全性先天不足. 市面上有的隨身碟帶有硬件寫保護開關, 可以完全杜絕病毒感染隨身碟的檔案. 對於沒有硬件寫保護功能的隨身碟, 可以使用附件中的小工具創建autorun.inf資料夾, 用以阻止隨身碟自動運行. 此工具跟一般的防USB工具不一樣, 它是一個底層磁碟工具, 根據FAT32檔案系統的特點創建的資料夾是很難刪除的, 除非格式化.

除了保護USB設備外, 最重要的是阻止所有磁碟根目錄的程式自動運行, 方法就是使用軟件限制策略阻止在根目錄的應用可執行運行. 很多病毒木馬除了在隨身碟的根目錄建立自動運行程式, 也會在硬碟的所有根目錄建立, 所以我們要關注所有根目錄的可執行程式. 具體做法是, 打開"組策略"-->"軟件限制策略", 新建路徑規則, 路勁內容是: ?:\*.* , 安全級別為: 不允許的
這樣既可以防止USB自動運行病毒, 也可以防止偽裝資料夾的惡意木馬.
你需要登入後才可以回覆 登入 | 我要註冊

本版積分規則

Archiver|禁閉室|手機版|數碼中文坊

GMT+8, 2024-3-29 09:41 PM

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.

快速回覆 返回頂端 返回清單