技術園地-USB病毒徹底完封攻略-把脈篇 智慧應用 影音
D Book
繁體版 简体版
評估申請
快捷顧問
登入
236
Dell
西柏科技
熱門關鍵字
#AI
#NVIDIA
#伺服器
#面板
#記憶體
#AI PC
#電動車
#NB
#台積電
#半導體

技術園地-USB病毒徹底完封攻略-把脈篇

  • 曹乙帆台北

前言:面對「死皮賴臉」的USB病毒,或許沒有徹底根絕的方法,不過,藉由各式各樣縱橫交錯的設定與工具,仍可將這類病毒所帶來的風險,盡可能降至最低程度,其中最重要且必須特別強調的是,由於隨身碟與電腦兩端會相互交叉感染,所以,務必將兩端都清除乾淨才行。

相信經常使用USB隨身碟或記憶卡的人,或多或少都曾與USB病毒打過交道,一旦誤用了中毒的隨身碟,電腦很可能也隨之中毒,即使解決了隨身碟內的病毒,但是中毒的電腦還是會將病毒感染給隨身碟,不斷的惡性循環。

由於一般防毒軟體無法完全偵測USB病毒,亦難將其清除乾淨,就算全都解決了,還是難保隨身碟不會再次染毒、又再度回傳給電腦,更可怕的是,USB病毒本身可透過網路下載自我更新,如果企業或學校內網中任何1台電腦遭到感染,抑或有人使用中毒隨身碟,勢必會進一步釀成大規模的疫情爆發事件。沒完沒了的USB病毒往往讓受害者(尤其是IT管理人員)感到心力交瘁。

「USB病毒徹底完封攻略」將從USB病毒的中毒症狀開始談起,以協助讀者自我判定是否中毒,接著再分別從隨身碟及電腦兩端探討可行的防毒之道,最後則將重點放在一旦中毒之後,有哪些良方妙藥可以起死回生,透過「把脈篇」、「預防篇」與「根除篇」3個單元分別討論,本週先從「把脈篇」開始。

USB病毒的可能中毒症狀

凡走過必留下痕跡,凡中毒也必有症狀可尋,這類USB病毒是以竊取使用者的機密為主要目的,通常都格外低調,但狐狸終會露出尾巴,以下列舉幾種USB病毒中毒後可能產生的狀況:

1、磁碟或隨身碟無法開啟,並出現「插入磁片」或「無法存取指定的裝置」等畫面。

2、隨身碟安插之際可用,一旦關閉該磁碟視窗後,再點取「我的電腦」中的「卸除式磁碟」圖示,卻無法開啟;但若拔除隨身碟之後再插入,又立即跳出自動執行畫面,再度可以使用。

3、在「我的電腦」中無法開啟某磁碟,但是點選滑鼠右鍵中的「開啟」選項,卻可以打開。

4、只能透過「檔案總管」開啟隨身碟或磁碟。

5、無論如何都無法顯示隱藏檔,即使進入「我的電腦﹨工具﹨資料夾選項﹨檢視」中,取消勾選「隱藏已知檔案類型的副檔名」、「隱藏保護的作業系統檔案(建議使用)」,並勾選「顯示所有檔案和資料夾」,待設定完成後再次進入,會發現剛才的設定全都跑掉。

6、每次開機時會出現kavo.exe、svchost.exe應用程式錯誤、記憶體不能為read或written、0x000000記憶體不能為Read等視窗。

7、其他可能狀況:即時通訊自動關閉、防毒軟體無法執行開啟、電腦執行變慢、上網變慢、系統自動更新失效…等。

自我檢查是否已中毒

如果電腦出現上述任何1種不尋常的症狀,使用者就有必要懷疑自己的電腦可能中毒,此時可嘗試透過接下來將介紹的幾種方法進一步檢查,以確定中毒與否。

不過在檢查之前,必須先將系統中所有被隱藏起來的檔案顯現出來,使用者可進入「我的電腦﹨工具﹨資料夾選項﹨檢視」中,取消勾選「隱藏已知檔案類型的副檔名」、「隱藏保護的作業系統檔案(建議使用) 」、「不顯示隱藏的檔案和資料夾」,改勾選「顯示所有檔案和資料夾」,接著即可進行檢查。

1、檢查隨身碟或各磁碟區(c:、d:、e:....)下的根目錄中,是否有autorun.inf隱藏檔或其他可疑檔(可疑檔請參考文末之「USB病毒可能名稱及所在位置」),有的話即表示中毒。

2、檢查c磁碟機下的根目錄、c:windows、c:windowssystem、c:windowssystem32、c:windowsdebug等目錄,是否有autorun.inf隱藏檔或其他可疑檔。

3、透過檔案總管瀏覽每個磁碟不見得能看到USB病毒檔,而且也不利於快速瀏覽,建議使用者可在「命令提示字元」中瀏覽。

(1) 首先進入開始功能表,點選「執行」並輸入「cmd」指令,即可進入命令提示字元視窗。

(2) 接著輸入「dir/a X: 」(X為磁碟機代號),若出現autorun.inf即表示中毒,但也有可能是使用者自行建立的,可進一步確認。

4、若發現autorun.inf,但不確認是否為病毒,可在命令提示字元下輸入「type c:autorun.inf」以顯示該檔案內容,或乾脆直接雙擊開啟之,若出現下圖所示的內容,抑或內容中含有其他.exe、.com、.bat等執行檔,即表示已中毒。不過,Type指令無法顯示使用者自建autorun.inf資料夾的內容,而只會顯示autorun.inf檔案的內容。

5、打開「我的電腦」,將游標指向磁碟機或卸除式磁碟機,並按下滑鼠右鍵,如果清單中出現「自動播放」且為粗體形式,即表示已經中毒。

◎USB病毒可能名稱及所在位置

‧隨身碟及磁碟根目錄:autorun.inf、recycler、autorun.exe、Usbmons.dll、kb2006a、RavMon.exe、ntdelect.com、ntdeIect.com、tel.xls.exe、desktop.exe、desktop2.exe、folder.exe、recycledINFO.exe、recycledDriveinfo.exe

‧c:windowssystem32目錄:Usbmons.dll、Usbmons.exe、inetsrv.exe、kavo.exe、kavo1.dll、kavo0.dll、kavoX.dll

‧c:windows目錄:svchost.exe、svchost.ini、taso.exe、ubs.exe

‧c:windowssystem目錄:svchost.exe

‧c:windowsdebug目錄:*.exe、*.dll(*表任何亂數)

‧登錄檔機碼:mdm.exe或其他

關鍵字
加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」