close
曾義峰 中研院資訊所自由軟體鑄造場經理。 原文請見中研院網站(須登入)。
新聞來源可參考ZDNet Taiwan
「為什麼安裝了防毒軟體還是會中隨身碟病毒?」
「網路上有很多避免隨身碟病毒的方法,真的有效嗎?」
「網友推薦多套防隨身碟病毒的軟體,哪一套最好用?」
「可攜式儲存設備」(Removable storage device),包含姆指碟、行動硬碟、記憶卡(如SD、CF卡)、數位相機、數位 MP3播放器、數位行動電話等設備。
隨身碟病毒利用隨身碟攜帶方便的特性,交互感染受害電腦,以竊取敏感資料,影響範圍包含信用卡資料 [註1]、遊戲帳號與密碼 [註2] 或其它重要資訊等。從近年來的資訊安全新聞中發現,雖然防毒軟體的技術不斷進步,但是更新速率仍然不及日新月益的變種與新型態的病毒,這使得防毒軟體的偵測率趕不上病毒的演化。
當防毒軟體不再能夠保證電腦安全時,網路上紛紛出現專門處理隨身碟病毒的錦囊與軟體。然而這些錦囊是否有效?或這些軟體之中,哪種最好?接下來會與讀者一 起驗證錦囊,並於最後推薦開放源碼的隨身碟防毒軟體 - Wow! 隨身碟防毒系列,只需此招便可讓電腦遠離隨身碟病毒。
破解網路流傳的防毒錦囊
錦囊一:建立 Autorun.inf 的唯讀資料夾
隨身碟病毒的感染與 Autorun.inf 檔案的內容有關。於是有人建議在隨身碟內建立 Autorun.inf 的唯讀資料夾,則可避免隨身碟感染病毒。
這個方法目前適用於大多數的隨身碟病毒,而且成效不錯。但是若往後的病毒有解除唯讀並刪除資料夾的能力,則這個方法則完全失去了保護作用。
錦囊二:使用機碼 (Registry) 啟動隨身碟的唯讀功能
作業系統可以設定隨身碟為唯讀。網路上建議在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
下,新建 DWORD 值為 1 的 WriteProtect 機碼,則作業系統可以避免隨身碟病毒的感染。
這個機碼的目的是禁止作業系統對隨身碟的寫入權限,讓隨身碟只可讀取而不可寫入。然而感染病毒只需擁有讀取權限即可,不需寫入權限,
所以即使作業系統啟用此項設定,也不能避免隨身碟病毒。
錦囊三:按住 Shift 鍵開啟隨身碟
Windows 作業系統有「自動運行(autorun)」與「自動播放(autoplay)」的功能,這兩者很容易混淆。「自動運行(autorun)」功能可以令隨身 碟或 DVD播放器等自動執行某程式,這也是隨身碟病毒利用的特性;而「自動播放(autoplay)」是提供控制選單。 網路上流傳,在插入隨身碟時按住 shift 鍵即可停止隨身碟自動運行(autorun)功能,避免隨身碟病毒的感染。但是按住 shift鍵僅是關閉自動播放(autoplay),並不會停止自動運行(autorun)功能,兩者是不一樣的。
錦囊四:在隨身碟磁區上右鍵開啟檔案總管
檔案總管可以避免隨身碟自動運行 (autorun) 的功能,而避開病毒的感染,但是要視操作步驟而定。若是直接在隨身碟磁區上,按滑鼠右鍵開啟檔案總管,則仍然會感染隨身碟病毒。 若操作步驟是先開啟檔案總管再選擇隨身碟磁區,則確實可以避免隨身碟病毒的感染。
錦囊五:使用機碼 (Registry) 關掉自動運行功能
網路上流傳 NoDriveTypeAutoRun 機碼可以關掉隨身碟自動運行 (autorun) 的功能。但這個方法仍然無法避免隨身碟病毒的感染。
結論
網路錦囊驗證一覽表
==================================================
錦囊 證實結果
一. Autorun.inf 的唯讀資料夾 存疑
二. 機碼啟動隨身碟的唯讀功能 無效
三. shift 鍵開啟隨身碟 無效
四. 隨身碟磁區上右鍵開啟檔案總管 無效
五. 機碼關掉自動啟動功能 無效
===================================================
以上證實網路錦囊並不能解決隨身碟病毒的問題。因此對於採用錦囊的讀者,我們建議改用隨身碟防毒軟體為解決方案。
註1:如防毒軟體廠商 Sophos 命名為 W32/MemServ-A 的隨身碟病毒。(http://www.sophos.com/virusinfo/analyses/w32memserva.html)
註2:如防毒軟體廠商賽門鐵克(Symantec) 命名為 W32.Gammima.AG 的隨身碟病毒。(http://www.symantec.com/zh/tw/security_response/writeup.jsp? docid=2007-082706-1742-99)
註3:F-Secure: McDonalds ships MP3 players with a trojan (http://www.f-secure.com/weblog/archives/00000997.html)
註4:Zone-H: Digital worms through USB ports (http://www.zone-h.org/content/view/14615/31/)
註5:Sophos: Danger USB! Worm targets removable memory sticks to infiltrate business (http://www.sophos.com/pressoffice/news/articles/2007/05/usbstick.html)
註6:Business Journal: USB devices make companies vulnerable to computer viruses, data theft (http://www.bizjournals.com/phoenix/stories/2007/11/12/focus21.html)
註7:TEST_WowUSBProtector (http://antbsd.twbbs.org/~ant/antivirus/TEST_WowUSBProtector.zip)
註8:DisableAutorun.reg (http://antbsd.twbbs.org/~ant/antivirus/DisableAutorun.reg)
註9:EnableAutorun.reg (http://antbsd.twbbs.org/~ant/antivirus/EnableAutorun.reg)
詳細全文可參考ZDNet Taiwan
新聞來源可參考ZDNet Taiwan
「為什麼安裝了防毒軟體還是會中隨身碟病毒?」
「網路上有很多避免隨身碟病毒的方法,真的有效嗎?」
「網友推薦多套防隨身碟病毒的軟體,哪一套最好用?」
「可攜式儲存設備」(Removable storage device),包含姆指碟、行動硬碟、記憶卡(如SD、CF卡)、數位相機、數位 MP3播放器、數位行動電話等設備。
隨身碟病毒利用隨身碟攜帶方便的特性,交互感染受害電腦,以竊取敏感資料,影響範圍包含信用卡資料 [註1]、遊戲帳號與密碼 [註2] 或其它重要資訊等。從近年來的資訊安全新聞中發現,雖然防毒軟體的技術不斷進步,但是更新速率仍然不及日新月益的變種與新型態的病毒,這使得防毒軟體的偵測率趕不上病毒的演化。
當防毒軟體不再能夠保證電腦安全時,網路上紛紛出現專門處理隨身碟病毒的錦囊與軟體。然而這些錦囊是否有效?或這些軟體之中,哪種最好?接下來會與讀者一 起驗證錦囊,並於最後推薦開放源碼的隨身碟防毒軟體 - Wow! 隨身碟防毒系列,只需此招便可讓電腦遠離隨身碟病毒。
破解網路流傳的防毒錦囊
錦囊一:建立 Autorun.inf 的唯讀資料夾
隨身碟病毒的感染與 Autorun.inf 檔案的內容有關。於是有人建議在隨身碟內建立 Autorun.inf 的唯讀資料夾,則可避免隨身碟感染病毒。
這個方法目前適用於大多數的隨身碟病毒,而且成效不錯。但是若往後的病毒有解除唯讀並刪除資料夾的能力,則這個方法則完全失去了保護作用。
錦囊二:使用機碼 (Registry) 啟動隨身碟的唯讀功能
作業系統可以設定隨身碟為唯讀。網路上建議在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
下,新建 DWORD 值為 1 的 WriteProtect 機碼,則作業系統可以避免隨身碟病毒的感染。
這個機碼的目的是禁止作業系統對隨身碟的寫入權限,讓隨身碟只可讀取而不可寫入。然而感染病毒只需擁有讀取權限即可,不需寫入權限,
所以即使作業系統啟用此項設定,也不能避免隨身碟病毒。
錦囊三:按住 Shift 鍵開啟隨身碟
Windows 作業系統有「自動運行(autorun)」與「自動播放(autoplay)」的功能,這兩者很容易混淆。「自動運行(autorun)」功能可以令隨身 碟或 DVD播放器等自動執行某程式,這也是隨身碟病毒利用的特性;而「自動播放(autoplay)」是提供控制選單。 網路上流傳,在插入隨身碟時按住 shift 鍵即可停止隨身碟自動運行(autorun)功能,避免隨身碟病毒的感染。但是按住 shift鍵僅是關閉自動播放(autoplay),並不會停止自動運行(autorun)功能,兩者是不一樣的。
錦囊四:在隨身碟磁區上右鍵開啟檔案總管
檔案總管可以避免隨身碟自動運行 (autorun) 的功能,而避開病毒的感染,但是要視操作步驟而定。若是直接在隨身碟磁區上,按滑鼠右鍵開啟檔案總管,則仍然會感染隨身碟病毒。 若操作步驟是先開啟檔案總管再選擇隨身碟磁區,則確實可以避免隨身碟病毒的感染。
錦囊五:使用機碼 (Registry) 關掉自動運行功能
網路上流傳 NoDriveTypeAutoRun 機碼可以關掉隨身碟自動運行 (autorun) 的功能。但這個方法仍然無法避免隨身碟病毒的感染。
結論
網路錦囊驗證一覽表
==================================================
錦囊 證實結果
一. Autorun.inf 的唯讀資料夾 存疑
二. 機碼啟動隨身碟的唯讀功能 無效
三. shift 鍵開啟隨身碟 無效
四. 隨身碟磁區上右鍵開啟檔案總管 無效
五. 機碼關掉自動啟動功能 無效
===================================================
以上證實網路錦囊並不能解決隨身碟病毒的問題。因此對於採用錦囊的讀者,我們建議改用隨身碟防毒軟體為解決方案。
註1:如防毒軟體廠商 Sophos 命名為 W32/MemServ-A 的隨身碟病毒。(http://www.sophos.com/virusinfo/analyses/w32memserva.html)
註2:如防毒軟體廠商賽門鐵克(Symantec) 命名為 W32.Gammima.AG 的隨身碟病毒。(http://www.symantec.com/zh/tw/security_response/writeup.jsp? docid=2007-082706-1742-99)
註3:F-Secure: McDonalds ships MP3 players with a trojan (http://www.f-secure.com/weblog/archives/00000997.html)
註4:Zone-H: Digital worms through USB ports (http://www.zone-h.org/content/view/14615/31/)
註5:Sophos: Danger USB! Worm targets removable memory sticks to infiltrate business (http://www.sophos.com/pressoffice/news/articles/2007/05/usbstick.html)
註6:Business Journal: USB devices make companies vulnerable to computer viruses, data theft (http://www.bizjournals.com/phoenix/stories/2007/11/12/focus21.html)
註7:TEST_WowUSBProtector (http://antbsd.twbbs.org/~ant/antivirus/TEST_WowUSBProtector.zip)
註8:DisableAutorun.reg (http://antbsd.twbbs.org/~ant/antivirus/DisableAutorun.reg)
註9:EnableAutorun.reg (http://antbsd.twbbs.org/~ant/antivirus/EnableAutorun.reg)
詳細全文可參考ZDNet Taiwan
全站熱搜
留言列表
豚豚放肆區 (7)