新聞事件:
2005年創新未來於銷往日本MP3播放器Zen中,約3,700台遭受W32.Wullik.B病毒感染,2006年蘋果推出的第五代iPod部份出貨含有RavMonE.exe病毒感染,此類病毒皆可經USB傳輸至電腦,所以目前USB的軟、硬體控管也成為IT廠商所重視的安全監控發展項目之一。
卡巴斯基: Trojan-Dropper.Win32.Delf.wj
趨勢科技:WORM_VB.YQ
賽門鐵克:W32.Rajump
McAfee:W32/RJump.worm
##CONTINUE##
感染方式: (註:以Trojan-Dropper 舉例)
該台PC(家用或工作用)本身已經中間諜程式或木馬程式,當插入隨身碟Copy檔案及MP3會啟動驅動程式時就順便一起植入該隨身碟的隱藏區。再依此法感染多數PC。
插入隨身碟後,點選磁碟機防毒軟體會發現 C:\windows\system32\driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
事實上在 c:\windows\system32 裡頭根本找不到 driveinfo.exe,而是躲在隨身碟的 Recycled 目錄下,那裡有三個隱藏檔案,分別是: driveinfo.exe、driveinfo.sdc、voinfo.dll 另外在隨身碟的根目錄會新增一個隱藏檔案 autorun.inf,內容是: [AutoRun] Open=.\Recycled\Driveinfo.exe Shell\Open\Command=.\Recycled\Driveinfo.exe上面這幾個檔案不管怎麼砍都砍不掉,似乎是由 inetsrv.exe 這個 Process 守護。
--------------------------------------------------------------------
檢查USB是否有被植入的自救方法
- 把隨身碟插上
- 打開命令提示字元鍵入x: (enter)(x:為你的隨身碟的磁碟代號)
- 用dir /a (enter)檢查是否有一個叫 autorun.inf 的檔案
- 鍵入attrib -r -h -s autorun.inf (enter)
- del autorun.inf (enter) 等待個幾秒
- 再鍵入dir /a (enter) 檢查 autorun.inf 是否又復活再出現如果有出現就是中了病毒。
手動解除的解決方法:
在工作列點右鍵啟動 工作管理員點處理程序,再點檢視--欄位把 pid 打勾,確定點pid欄位再點名稱,使列表以名稱和 pid 排序。把 pid 較大的使用者為 local machine 的 svchost.exe 強制結束(懷疑它就是被病毒啟動的)
如果重開機沒出現就是有關掉病毒的程序,再回到命令提示字元鍵入
- attrib -r -h -s autorun.inf
- del autorun.inf
- cd recycled
- attrib -r -h -s *
- del *
- c:
- cd windows\system\
- attrib -r -h -s svchost.exe
- del svchost.exe
- cd _sv_CMD_
- attrib -r -h -s *
- del *
- regedit
在登錄編輯程式中切換到“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon” 把 Userinit 值後面添加的“C:\WINDOWS\SYSTEM\svchost.exe” 删除
再用編輯的尋找把有關 recycler 的值都刪掉後就可以了。
--------------------------------------------------------------------
停用、禁用USB的方法:
請參考:
Microsoft 技術文章 如何停用 USB 儲存裝置
Microsoft 技術文章 使用群組原則來停用 USB、 CD - ROM、 軟碟機及 LS - 120 驅動程式
USB大容量儲存裝置安全禁用大法 打造最具經濟效益的資料安全防護機制
缺點:
- 部份方法有區分已安裝過USB和尚未安裝過USB大量儲存裝置的電腦,二者的設定不同,設錯是無效的。
- 管理者需在使用者的電腦上,設定 Administrator 管理者權限及密碼,以防使用者之不當存取行為。但通常該使用者就是其機器最大的帳號(原因是使用者希望有安裝軟體的權限),所以只要使用者權限夠大且夠聰明仍然可以改回來。
- 所有方案仍然可能存在防範上的漏洞,因為員工仍然可以透過PS/2轉USB埠之轉接頭(買某一廠牌的滑鼠都有送@@)的安裝方式,照樣可以利用USB儲存裝置將資料複製出去。(不可能鎖PS/2的埠吧)。
- 員工只要透過 Knoppix 或 Ubuntu 等LiveCD來開機,即可避開原有系統設定好的安全機碼登錄動作,換句話說,員工仍可透過USB隨身碟,將資料複製外出。(可搭配鎖 BIOS 來避免)。
總之這樣的員工總是一山還有一山高,跟這些常不按牌理出牌的人鬥法是很辛苦的,需要搭配[ 單位的資安政策 ]與明文禁止與宣導,不然[ 再多的防範措施總會有實施上的盲點 ]會被有心人士找出來。
--------------------------------------------------------------------
允許使用USB但停用、關閉AutoRun:
1.放入隨身碟時請趕緊壓按 shift 鍵以暫時(非永久)取消 autorun 的功能。
2.開啟隨身碟請用 "滑鼠右鍵" → "內容" 或以 "檔案總管" 瀏覽切勿用滑鼠左鍵雙擊。
3.選擇有防寫開關的隨身碟產品,在他人電腦上使用前即先將隨身碟切至防寫模式。
4.使用本機群組原則關閉:(也可使用於AD的群組原則GPO)
- 開始 → 執行 → 輸入 gpedit.msc (Windows XP Home Edition 不適用)→ 確定
- 出現 "群組原則" 視窗, 依序選左邊 電腦設定 → 系統管理範本 → 系統
- 找到右邊視窗的 → 關閉自動播放 滑鼠左鍵雙擊
- 出現 "關閉自動播放內容" 對話窗, 點選 "已啟用"
- 再下來在 "停用自動播放在" 的下拉選單, 選擇 "所有裝置"
- 完成,插上隨身碟就不會再自動執行了
5.使用變更系統機碼來關閉:(所以系統均適用)
- 開始 → 執行 → 輸入 regedit 並尋找如下面的機碼
- 所有媒體含USB插入磁碟機或光碟機後,停止自動執行與開始讀取功能
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 登錄機碼中,加入了下列登錄值。
- 按右鍵自行輸入 NoDriveTypeAutoRun 格式DWORD值 十六進位值為255
- 將下列設定的值設為 1 可以僅停用 CD/DVD 的自動執行。
- HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Cdrom\ 登錄機碼中,加入了下列登錄值。
- Autorun 格式 DWORD值 十六進位值由1改為0
6.使用AD網域的群組原則GPO部屬BAT批次檔:(僅適用於有AD網域的環境)
請參考 資安論壇 這篇文章 及範例程式
防止個人電腦被姆指碟_隨身碟感染病毒之小技巧
相關連結:
USB隨身碟木馬
USB病毒檢查
Microsoft Disable Autorun:停用所有磁碟機/光碟機的自動執行功能
Microsoft Autorun
Microsoft NoDriveTypeAutoRun
Microsoft AutoRun 或 AutoPlay 功能失效