跳到主要內容區塊

計資中心電子報C&INC E-paper

專題報導

隨身碟病毒簡介
  • 卷期:v0003
  • 出版日期:2007-12-20

作者:陳永樵 / 臺灣大學計算機及資訊網路中心作業管理組


越來越多病毒會主動感染USB隨身碟,只要電腦插上受病毒感染的USB隨身碟後,主機本身也會跟著中毒,造成嚴重的災害。最夯的「大姆碟(USB)中毒事件」解毒與保全辦法,報候你知。

 

一、簡介

最近越來越多病毒會主動感染USB隨身碟,只要電腦插上受病毒感染的USB隨身碟後,主機本身也會跟著中毒,造成嚴重的災害。USB隨身碟的病毒與一般電腦病毒類似,只是此種類型的病毒通常會搭配Autorun.inf檔案,並從USB隨身碟感染電腦。一旦電腦感染病毒後,病毒就會常駐在作業系統的處理程序中,並會偵測事件記錄器,從中得知目前電腦的運作情況。當電腦外接USB隨身碟時,系統就會自動通知事件記錄器改變的情況,而病毒也會從事件記錄器,得知已經連接USB隨身碟,並嘗試寫入病毒資料到USB隨身碟中,一般的USB隨身碟是設定為可讀寫模式,因此病毒就能順利寫入Autorun.inf檔案及相關惡意程式。由於隨身碟可攜性高,方便用於儲存資料,所以學校師生往往將資料儲存於隨身碟,並因上課學習需求經常在不同的公用電腦使用該隨身碟,導致USB病毒快速傳播,造成連鎖的感染,所以了解並養成良好USB隨身碟使用習慣,是最好的防毒方法。

 

二、 感染途徑

  1. 最初的病毒檔案,利用電子郵件散布,或藉由瀏覽器漏洞,下載到個人電腦上執行。一般會在C:\WINDOWS\system32建立一病毒執行檔(如sysudisk.exe),偽裝成開機常駐程式。

  2. 受病毒感染的電腦(Windows 作業系統)上,會在各分割區(c:\,d:\,e:\…)建立隱藏的系統檔案 autorun.inf ,並建立一隱藏系統資料夾來存放其病毒執行程式(udisk.exe,shell.exe),資料夾名稱會偽裝成recycle或recyled(病毒會變種而有不同的資料夾名稱), 確保重灌作業系統後也能繼續感染該主機。

  3. 當使用者將USB裝置插入受病毒感染的電腦、掛載網路磁碟機、新增分割區,受病毒感染的電腦會將病毒複製到USB裝置、網路磁碟機、新增分割區。

  4. 當受感染的USB裝置插入到其他電腦時,因Windows 作業系統內的自動播放或執行用功能預設是啟用,所以USB內的autorun.inf 內的指令會被執行,而成為繼續傳染其它電腦的帶原者。

  5. 因USB裝置具有可攜性與便利性,且Windows 作業系統內的自動播放或執行用功能預設是啟用,使得受感染的USB裝置快速傳播病毒。

 

三、解決方法

 

  1. 關閉自動播放功能,但是效率不好,因為一般使用者並不會以檔案總管的方式來開啟,而是用雙擊方式來開啟,一樣會受病毒感染。

  2.  自行刪除autorun.inf,但會造成USB裝置無法用雙擊方式來開啟,一定要用檔案總管的方式來開啟。

  3. USB裝置插入他人電腦前,將唯讀功能鎖打開。

  4. 設置一個檔名為 autorun.inf 的資料夾,防止病毒寫入 autorun.inf 檔案。若該病毒會做檢查,並自行刪除該資料夾和檔案,再重新寫入病毒執行程式,則此法會無效。

以防毒軟體來復原受感染的電腦和預防再感染,但因USB病毒的變種,防毒軟體無法立刻偵測,在防毒軟體釋出應對的病毒碼前,所造成的損害是無法避免的。

 

四、結論

USB隨身碟病毒的類型比較不像傳統的電腦病毒,它非常容易形成變種,造成大多數防毒軟體並不會把它當成病毒,更加上隨身碟盛行,加速傳播速度,所以使用隨身碟時,必須更加注意依照本文中敘述的解決方法,確實執行各項步驟,避免隨身碟病毒造成的損失。