USB病毒徹底完封攻略-預防篇
- 曹乙帆/台北
-
前言:在上1週的「把脈篇」裡,已介紹過如何掌握USB病毒的中毒症狀,以及如何讓其現形的方法,接下來,本文將介紹如何為隨身碟及電腦打上預防針,以防止USB病毒不請自來的因應之道。
經過一番檢查後,即使隨身碟和電腦裡都沒有發現USB病毒,使用者仍需進行一些防範措施,以確保今後的安全。以下將綜合介紹幾種最常見且有效的防範之道。
USB隨身碟的事前預防
‧在隨身碟中新增Autorun.inf資料夾
1、當前被普遍認為最具功效且簡單的預防方法,就是直接在隨身碟中添加Autorun.inf檔案或資料夾。
由於USB病毒會在隨身碟中新增1個Autorun.inf檔,所有觸發USB病毒的動作皆會照著Autorun.inf檔所寫內容來進行,所以使用者可先下手為強,在隨身碟中先建立同樣名稱的Autorun.inf資料夾或檔案,基於同目錄下不能有2個同名檔的系統規定,如此一來,USB病毒便無法順利建立想要作怪的Autorun.inf惡意檔。
下圖為筆者故意將相同名檔複製到已有Autorun.inf之根目錄下,結果呈現無法複製的畫面。
2、相較之下,Autorun.inf資料夾比檔案還容易建立,使用者只要直接在隨身碟根目錄下,按右鍵新增資料夾,然後取名Autorun.inf即可。
3、接著將該目錄夾設成隱藏、唯讀。
‧在自製Autorun.inf檔中添加入侵偵測機制
上述方法雖然簡單有效,但是不排除接下來USB病毒可能會有突破之舉,例如直接解除隱藏並覆蓋使用者新增的Autorun.inf檔。在此綜合參考巴哈姆特電腦防護討論中心某版面作者hc(笠原弘子)的建議,亦即在隨身碟中自製入侵偵測機制,其作法如下:
1、自行製作1個圖示檔:任意搜尋*.ico圖示檔來用,或自行以喜歡的圖檔加工製成專屬Logo圖示檔並取名(例如IDS.ICO)。
2、在記事本鍵入如下圖指令,以「所有檔案類型」另存新檔,然後取檔名為autorun.inf。
3、將製作好的圖示檔及autorun.inf一併複製到隨身碟中。
4、記得透過attrib將autorun.inf檔設成SHR,如此一來便可隱藏、唯讀,而且具備圖示式入侵偵測機制。每次插上隨身碟即顯示專屬圖示,一旦某次沒看到圖示,就表示有USB病毒入侵。
‧購買具防寫鎖功能之隨身碟
使用者可購買具備防寫鎖功能的USB隨身碟或記憶卡,如此一來,即使將隨身碟或記憶卡拿到高風險區使用(例如在照相館沖洗照片),可保安全無虞。不過,這類保護機制只適用於將檔案分享給他人時,如果想透過隨身碟儲存他人所分享的檔案,必須將防寫鎖打開,仍有中毒的危險。
個人電腦的事前防護
除了在隨身碟上做好防範措施外,使用者也必須在桌上型電腦或筆記型電腦上進行相關準備工作。以下列出幾個可資參考的防護撇步。
‧在每個磁碟根目錄下新增Autorun.inf資料夾
如同前述隨身碟新增Autorun.inf資料夾的作法,只不過,要在電腦中的每個磁區根目錄下一一按右鍵新增,實在太麻煩,建議使用者可透過以下步驟完成所有磁碟加裝防護工作(在此以Windows Vista環境為例)。
1、進入所有應用程式﹨附屬應用程式﹨執行(Windows XP則直進進入開始﹨執行),輸入cmd,會立即跳出命令提示字元視窗。
2、新增Autorun.inf資料夾:在命令列中分別輸入「md X:autorun.inf」(X為磁碟機代號),如此即可為所有磁碟機新增Autorun.inf資料夾。
3、變更Autorun.inf資料夾屬性:在命令列中分別輸入「attrib +s +h +r X:autorun.inf」(X為磁碟機代號),如此即可讓所有磁碟機根目錄下的Autorun.inf資料夾隱藏、唯讀,並變更為系統檔。
‧關閉電腦裝置的自動執行功能
因為電腦會對USB隨身碟或外接式硬碟等裝置,提供隨插自動執行的功能,讓USB病毒對此大加利用,使病毒長驅直入各個磁碟區及Windows各目錄夾。所以,對付該USB病毒的根本之道,就是關閉自動執行功能。以下為關閉該功能的步驟:
1、進入「開始﹨執行」,輸入regedit,進入登錄編輯程式。
2、在該程式視窗左欄找到以下登錄檔機碼「HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2」。
3、在MountPoints2機碼上按右鍵,點選「使用權限」。
4、於跳出的視窗中點選「新增」,接著會再跳出另一視窗,在其中的「輸入物件名稱來選取」輸入新增使用者名稱「Everyone」並按下「確定」。
5、設定使用者Everyone的完全控制權限為「拒絕」,然後點選「確定」離開。
6、接著跳出安全性視窗,點「是」並重新開機即可。
註:若使用者想回復裝置之自動執行功能,只要依前述方法執行步驟1~3,再將「Everyone」移除,然後點選「確定」即可。
除了上述方法外,使用者也可透過修改NoDriveTypeAutoRun機碼之數值資料的方式,達到關閉裝置自動執行的效果。其修改設定步驟如下:
1、一樣先照前述方式進入登錄編輯程式,找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer機碼。
2、點選該視窗左欄位之Explorer機碼,然後雙擊右欄位中的NoDriveTypeAutoRun機碼,在跳出的視窗中,將數值資料「91」改成「95」,按「確定」後跳出。
3、然後再尋找HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer機碼,以同樣方式將數值資料「91」改成「95」,按「確定」跳出,重新開機之後即大功告成。
