技術園地 - USB 病毒徹底完封攻略 - 把脈篇
‧本文由 asd 分享 ‧
2008-08-11 ‧
顯示 9,735 次
‧
轉寄 10 次
‧
短評 4 篇
‧
技術園地 - USB 病毒徹底完封攻略 - 把脈篇 2008/07/03
前言:面對「死皮賴臉」的USB病毒,或許沒有徹底根絕的方法,不過,藉由各式各樣縱橫交錯的設定與工具,仍可將這類病毒所帶來的風險,盡可能降至最低程度,其中最重要且必須特別強調的是,由於隨身碟與電腦兩端會相互交叉感染,所以,務必將兩端都清除乾淨才行。
相信經常使用USB隨身碟或記憶卡的人,或多或少都曾與USB病毒打過交道,一旦誤用了中毒的隨身碟,電腦很可能也隨之中毒,即使解決了隨身碟內的病毒,但是中毒的電腦還是會將病毒感染給隨身碟,不斷的惡性循環。
由於一般防毒軟體無法完全偵測USB病毒,亦難將其清除乾淨,就算全都解決了,還是難保隨身碟不會再次染毒、又再度回傳給電腦,更可怕的是,USB病毒本身可透過網路下載自我更新,如果企業或學校內網中任何1台電腦遭到感染,抑或有人使用中毒隨身碟,勢必會進一步釀成大規模的疫情爆發事件。沒完沒了的USB病毒往往讓受害者(尤其是IT管理人員)感到心力交瘁。
「USB病毒徹底完封攻略」將從USB病毒的中毒症狀開始談起,以協助讀者自我判定是否中毒,接著再分別從隨身碟及電腦兩端探討可行的防毒之道,最後則將重點放在一旦中毒之後,有哪些良方妙藥可以起死回生,透過「把脈篇」、「預防篇」與「根除篇」3個單元分別討論,本週先從「把脈篇」開始。
USB病毒的可能中毒症狀
凡走過必留下痕跡,凡中毒也必有症狀可尋,這類USB病毒是以竊取使用者的機密為主要目的,通常都格外低調,但狐狸終會露出尾巴,以下列舉幾種USB病毒中毒後可能產生的狀況:
1、磁碟或隨身碟無法開啟,並出現「插入磁片」或「無法存取指定的裝置」等畫面。
圖說:電腦畫面顯示「插入磁片」。
圖說:也可能顯示「無法存取指定的裝置」。
2、隨身碟安插之際可用,一旦關閉該磁碟視窗後,再點取「我的電腦」中的「卸除式磁碟」圖示,卻無法開啟;但若拔除隨身碟之後再插入,又立即跳出自動執行畫面,再度可以使用。
圖說:原本無法開啟的隨身碟,拔除之後再插入,又會出現自動執行畫面。
3、在「我的電腦」中無法開啟某磁碟,但是點選滑鼠右鍵中的「開啟」選項,卻可以打開。
4、只能透過「檔案總管」開啟隨身碟或磁碟。
5、無論如何都無法顯示隱藏檔,即使進入「我的電腦\工具\資料夾選項\檢視」中,取消勾選「隱藏已知檔案類型的副檔名」、「隱藏保護的作業系統檔案(建議使用)」,並勾選「顯示所有檔案和資料夾」,待設定完成後再次進入,會發現剛才的設定全都跑掉。
圖說:一旦中了USB病毒,即使勾選「顯示所有檔案和資料夾」,仍然不能解決無法顯示隱藏檔的問題。
6、每次開機時會出現kavo.exe、svchost.exe應用程式錯誤、記憶體不能為read或written、0x000000記憶體不能為Read等視窗。
圖說:中了USB病毒後,每次開機可能出現「svchost.exe應用程式錯誤」。
圖說:也可能出現「kavo.exe應用程式錯誤」。
7、其他可能狀況:即時通訊自動關閉、防毒軟體無法執行開啟、電腦執行變慢、上網變慢、系統自動更新失效…等。
自我檢查是否已中毒
如果電腦出現上述任何1種不尋常的症狀,使用者就有必要懷疑自己的電腦可能中毒,此時可嘗試透過接下來將介紹的幾種方法進一步檢查,以確定中毒與否。
不過在檢查之前,必須先將系統中所有被隱藏起來的檔案顯現出來,使用者可進入「我的電腦\工具\資料夾選項\檢視」中,取消勾選「隱藏已知檔案類型的副檔名」、「隱藏保護的作業系統檔案(建議使用) 」、「不顯示隱藏的檔案和資料夾」,改勾選「顯示所有檔案和資料夾」,接著即可進行檢查。
1、檢查隨身碟或各磁碟區(c:、d:、e:....)下的根目錄中,是否有autorun.inf隱藏檔或其他可疑檔(可疑檔請參考文末之「USB病毒可能名稱及所在位置」),有的話即表示中毒。
圖說:發現autorun.inf隱藏檔即表示已中毒。
2、檢查c磁碟機下的根目錄、c:\windows、c:\windows\system、c:\windows\system32、c:\windows\debug等目錄,是否有autorun.inf隱藏檔或其他可疑檔。
3、透過檔案總管瀏覽每個磁碟不見得能看到USB病毒檔,而且也不利於快速瀏覽,建議使用者可在「命令提示字元」中瀏覽。
(1)
首先進入開始功能表,點選「執行」並輸入「cmd」指令,即可進入命令提示字元視窗。
圖說:於「執行」視窗中輸入「cmd」指令。
(2) 接著輸入「dir/a X: 」(X為磁碟機代號),若出現autorun.inf即表示中毒,但也有可能是使用者自行建立的,可進一步確認。
4、若發現autorun.inf,但不確認是否為病毒,可在命令提示字元下輸入「type
c:\autorun.inf」以顯示該檔案內容,或乾脆直接雙擊開啟之,若出現下圖所示的內容,抑或內容中含有其他.exe、.com、.bat等執行檔,即表示已中毒。不過,Type指令無法顯示使用者自建autorun.inf資料夾的內容,而只會顯示autorun.inf檔案的內容。
圖說:autorun.inf檔案內容。
5、打開「我的電腦」,將游標指向磁碟機或卸除式磁碟機,並按下滑鼠右鍵,如果清單中出現「自動播放」且為粗體形式,即表示已經中毒。
◎USB病毒可能名稱及所在位置
•隨身碟及磁碟根目錄:autorun.inf、recycler、autorun.exe、Usbmons.dll、kb2006a、RavMon.exe、ntdelect.com、ntdeIect.com、tel.xls.exe、desktop.exe、desktop2.exe、folder.exe、recycledINFO.exe、recycledDriveinfo.exe
•c:\windows\system32目錄:Usbmons.dll、Usbmons.exe、inetsrv.exe、kavo.exe、kavo1.dll、kavo0.dll、kavoX.dll
•c:\windows目錄:svchost.exe、svchost.ini、taso.exe、ubs.exe
•c:\windows\system目錄:svchost.exe
•c:\windows\debug目錄:*.exe、*.dll(*表任何亂數)
•登錄檔機碼:mdm.exe或其他
0.00
0 votes
1
3
5
7
9
請按數字進行評分
請以1~9的評分代表由負面到正面的感受,統計數據將決定資訊的參考價值。謝謝!
|
關鍵字建檔說明
|
顯示/隱藏
列印
列印提示
- 您可以點擊右方的「顯示/隱藏」鏈結來隱藏不相關的內容。
- 內容確認後,點擊右方的「列印」鏈結或瀏覽器之列印鍵即可。
- 完成後,顯示被隱藏的內容即可繼續瀏覽。
◎附加檔案 中的附件有三種不同的呈現方式,均限會員使用:
- 圖檔類型 以縮圖方式呈現,點縮圖後會浮現原尺寸圖檔!
- 檔案類型 以檔名方式呈現,建議先另存新檔,再開啟瀏覽!
- FLV類型 支援線上瀏覽模式,請按檔名前方的圓型箭頭;按檔名則是另存新檔。
- 檔案開不了怎麼辦?請參考「Office 檔案開不了怎麼辦?」
- 郵件容量超出 50MB 時,為了節省網站營運成本,僅提供下列會員使用:
龍捲風= 平生修得隨緣性-粗茶淡飯也知足 =
於 2008-08-11 06:00:21 說 使用電腦還是要有良好的習慣,就是不要亂下載資料,或是進入不明網站,或者開啟不明網路信件,最好多看電腦書籍,充實個人的電腦知識,才不至於成為電腦幼幼班! | |
星空夜語
於 2008-08-11 16:46:39 說 USB病毒並不符合以上所說的不亂下載或是進入不明網站喔 而是經由電腦或是一些有USB埠的插入使用而導致中毒的 所以可能影響的範圍很廣~ 像一般常使用的隨身碟或是隨身硬碟連同數位相機記憶卡甚至手機 反正只要是可連接上USB埠的隨插隨用配備只要有儲存空間(只要有記憶體或是記憶卡)之類的都有可能會中毒 | |
point
於 2008-08-13 11:46:39 說 收藏起來 | |
insane
於 2008-11-09 11:21:12 說 要怎麼清除咧? 直接刪嗎? | |