其實這文章好早就想寫了,但其實網路上也頗多相關類型的文章,於是遲遲沒有下筆。
這次因為辦公室同仁實對於隨身碟病毒有越來越恐懼的趨勢,於是決定發文解釋一下,使其能更清楚。
固定來一行關鍵字:隨身碟、隨身碟病毒、USB、USB病毒、清除、檢測、預防、safe_usb、auto killer、kavo killer
Word圖文版:http://www.scribd.com/doc/10110576/
檢測
先來說一下如何檢測,最常見偵測自身電腦是否有隨身碟系列病毒(包含C、D槽也會被傳染),一般來說有下列幾種
開啟各槽時無法點兩下開啟,也就是會出現 選擇開啟檔案類型 時。
開啟任何槽都是跳新視窗,一般來說XP預設:當點選我的電腦的任一槽時,都會在同一個視窗內開啟,若開啟該槽為跳新的視窗,則有極大機率中毒。
無法顯示隱藏檔
開啟我的電腦 / 工具 / 資料夾選項 / 檢視
當 顯示所有檔案與資料夾 無法勾選,或勾選並套用以後又恢復到 不顯示隱藏的檔案和資料夾,即是被病毒更改而導致無法修改。
只要有上述情況,有極高機率是電腦已經中了隨身碟毒囉。
※補充,若即時通無法登入,有一點機率跟隨身碟系列病毒有關連。
隨身碟病毒運作模式
如何預防隨身碟病毒呢?若是在公共電腦使用,最好先用上面檢測的方式檢查是否有中毒跡象,若有中毒跡象時,則插入隨身碟有極高機率被寫入。
但,別擔心,被寫入以後只要不觸發病毒即可。
大家耳熟能詳的kavo,就是紅極一時的隨身碟病毒,現在也仍然持續流傳著。而如何不觸發病毒呢? 現在先簡述一下隨身碟病毒的運作模式
已中毒端電腦:
當隨身碟一插入即將病毒寫入,也將autorun.inf檔案寫入,企圖使該隨身碟有傳染力(也就是開啟隨身碟時使病毒運行,進而寫入電腦)。
已中毒隨身碟:
當隨身碟一插入,什麼事都沒有。但只要從我的電腦點兩下隨身碟進入,或從自動運行開啟隨身碟,該電腦就中毒了。
靠的是autorun.inf檔的運行,當點入以後就觸發執行病毒,而病毒也就寫入該電腦囉。
現在應該知道隨身碟病毒靠的是觸發,也就是autorun.inf檔。只要被寫入此檔案,當每天例行開啟的各硬碟槽就會再次將毒執行,也因為隨身碟的流通,故現在幾乎每台電腦都有這病毒。
下面從預防簡單介紹幾個技巧,將可使中毒機率降低。
預防
一般來說,預防最根本也最實用的方式,就是不要觸發autorun.inf,也就不會運行病毒,當然電腦也就不會被被感染囉。
如何使之不觸發呢?這邊要跟大家講一個現在隨身碟當道,必要的小習慣。
不直接開啟各硬碟槽
在公共場合或公共電腦使用時,開啟我的電腦要進入任何槽時,請不要用點兩下的方式開啟,也不要用點右鍵開啟檔案的方式開啟。(雖然autorun.inf並無法點右鍵執行,但能增加右鍵選單,故還是不要點右鍵開啟比較安全)
這樣如何開啟各硬碟槽呢?
從檔案總管(開始+E or 附屬應用程式下),從左邊樹狀目錄的+號開啟
※個人仍覺得單點開啟根目錄可能也有危險,且需要多一個開啟檔案總管的方式,較為麻煩,我都採用下列方式。
從網址列右方的倒三角開啟
也就是從一般我的電腦開啟列以後的網址列,最右邊的▼(倒三角開啟),若沒有網址列,可以從 檢視 / 工具列 / 網址 將其開啟。若開啟以後在網址擠在最右邊,可以將 工具列 內的 鎖定工具列 取消勾選,就可以將網址列拖出來囉。
而此方式因為簡單且不需要多開啟檔案總管的步驟,個人已經養成開啟公共電腦的硬碟槽習慣囉。
只要不要開啟讓autorun.inf觸發,就算病毒已經存在於隨身碟,仍是安全的。
常駐軟體阻擋
SafeUSB_cht,目前試過此套軟體,感覺還蠻不錯的。
此套軟體只要隨身碟一插入就偵測,平常可以常駐,建議共用、家用電腦裝上此軟體以達最簡單的防護效果。
建立Autorun.inf資料夾
這個原理是將病毒欲產生Autorun.inf檔案時,因為與資料名稱衝突,將無法建立,而不能建立後,就算病毒被複製到了隨身碟後也會因為無法觸發執行而不產生任何效果,也就是不會中毒。
隨身碟系列病毒靠的就是autorun.inf在傳染以及運行,當autorun.inf被阻擋建立後,也就不會觸發點兩下執行或自動執行病毒檔的動作,當然也就不會中毒啦。
只要在電腦任何一個槽底下建立一個資料夾,將其重新命名為autorun.inf即可,簡單方便。
掃毒、清除
手工掃毒
只要不要纏入系統,隨身碟病毒只需要像刪除檔案一般,就可輕鬆將病毒刪除囉。
步驟如下:
Step1.
開啟我的電腦 / 工具 / 資料夾選項 / 檢視
將
Step2.
若電腦可以看到隱藏檔案,則先將根目錄的autorun.inf檔案刪除,刪除以後接下來判斷是否為病毒。
除了C槽的NTDETECT.COM 檔案為預設系統的檔案以外,其他com、exe可以說幾乎都是毒。尤其C槽外的任何槽,只要看到是隱藏檔(也就是半透明的圖示),且副檔名為exe或com的檔案,可以直接刪除,不用擔心勿刪。
(有多少軟體會安裝後出現在非系統槽而且又隱藏起來?起碼我還沒碰過)
另外有些病毒會複製到RECYCLER資料夾內,記得點入檢查是否為病毒,若為資源回收桶圖案則為正常。
正常的→ 點入以後會進入資源回收桶。
有毒的→ 可以看到隱藏的執行檔 。
再來就是檔案名稱沒有任何規則可言,像是2go30q、r9ghv9這種英文數字混雜,可是又沒有意義的檔案也可以直接刪除。
若無法判斷是否為病毒,建議將檔案名稱包括副檔名拿去google搜尋一下,就可以知道囉。
常見的病毒名稱:
kavo.exe、kava.exe、tasa.exe、u.exe、INFO.exe、inf0.exe、taso.exe、IO.exe
軟體掃毒
因為隨身病毒日新月異,一般防毒軟體其實不容易將其刪除乾淨,這邊推薦書維的部落格的kavo killer。
隨身碟系列的病毒就請交給它處理。
只要做好預防動作,養成不要直接開啟隨身碟槽的習慣(用網址列右邊倒三角開啟),並且安裝SafeUSB ,偶而將隱藏檔案顯示並檢查看看,基本上就不用擔心電腦會中隨身碟系列的病毒囉。
總結
隨身碟病毒比一般病毒來的容易清除,畢竟它們是有著固定的運作模式,而這運作模式是我們可以將其繞過。
中了隨身碟病毒,基本上靠kavo_killer系列的都能夠將其清除乾淨。配合safe_usb的防護,autorun.inf資料夾的觸發防止,最後加上看倌們需得養成的公用電腦習慣,基本上就能將隨身碟病毒中毒機率降為最低囉。
若各位看倌覺得有用,請將這些技巧傳授給親朋好友。
一台電腦沒毒,兩台電腦沒毒,週遭的人電腦環境越乾淨,資料的流遞間當然也就越安全囉。
以上
※放於個人google page creator的資料載點:kavo killer、safe_USB (於2009/1/12)
※kavo killer會被avast誤判,所以請avast防毒用戶不用擔心。
這次因為辦公室同仁實對於隨身碟病毒有越來越恐懼的趨勢,於是決定發文解釋一下,使其能更清楚。
固定來一行關鍵字:隨身碟、隨身碟病毒、USB、USB病毒、清除、檢測、預防、safe_usb、auto killer、kavo killer
Word圖文版:http://www.scribd.com/doc/10110576/
檢測
先來說一下如何檢測,最常見偵測自身電腦是否有隨身碟系列病毒(包含C、D槽也會被傳染),一般來說有下列幾種
開啟各槽時無法點兩下開啟,也就是會出現 選擇開啟檔案類型 時。
開啟任何槽都是跳新視窗,一般來說XP預設:當點選我的電腦的任一槽時,都會在同一個視窗內開啟,若開啟該槽為跳新的視窗,則有極大機率中毒。
無法顯示隱藏檔
開啟我的電腦 / 工具 / 資料夾選項 / 檢視
當 顯示所有檔案與資料夾 無法勾選,或勾選並套用以後又恢復到 不顯示隱藏的檔案和資料夾,即是被病毒更改而導致無法修改。
只要有上述情況,有極高機率是電腦已經中了隨身碟毒囉。
※補充,若即時通無法登入,有一點機率跟隨身碟系列病毒有關連。
隨身碟病毒運作模式
如何預防隨身碟病毒呢?若是在公共電腦使用,最好先用上面檢測的方式檢查是否有中毒跡象,若有中毒跡象時,則插入隨身碟有極高機率被寫入。
但,別擔心,被寫入以後只要不觸發病毒即可。
大家耳熟能詳的kavo,就是紅極一時的隨身碟病毒,現在也仍然持續流傳著。而如何不觸發病毒呢? 現在先簡述一下隨身碟病毒的運作模式
已中毒端電腦:
當隨身碟一插入即將病毒寫入,也將autorun.inf檔案寫入,企圖使該隨身碟有傳染力(也就是開啟隨身碟時使病毒運行,進而寫入電腦)。
已中毒隨身碟:
當隨身碟一插入,什麼事都沒有。但只要從我的電腦點兩下隨身碟進入,或從自動運行開啟隨身碟,該電腦就中毒了。
靠的是autorun.inf檔的運行,當點入以後就觸發執行病毒,而病毒也就寫入該電腦囉。
現在應該知道隨身碟病毒靠的是觸發,也就是autorun.inf檔。只要被寫入此檔案,當每天例行開啟的各硬碟槽就會再次將毒執行,也因為隨身碟的流通,故現在幾乎每台電腦都有這病毒。
下面從預防簡單介紹幾個技巧,將可使中毒機率降低。
預防
一般來說,預防最根本也最實用的方式,就是不要觸發autorun.inf,也就不會運行病毒,當然電腦也就不會被被感染囉。
如何使之不觸發呢?這邊要跟大家講一個現在隨身碟當道,必要的小習慣。
不直接開啟各硬碟槽
在公共場合或公共電腦使用時,開啟我的電腦要進入任何槽時,請不要用點兩下的方式開啟,也不要用點右鍵開啟檔案的方式開啟。(雖然autorun.inf並無法點右鍵執行,但能增加右鍵選單,故還是不要點右鍵開啟比較安全)
這樣如何開啟各硬碟槽呢?
從檔案總管(開始+E or 附屬應用程式下),從左邊樹狀目錄的+號開啟
※個人仍覺得單點開啟根目錄可能也有危險,且需要多一個開啟檔案總管的方式,較為麻煩,我都採用下列方式。
從網址列右方的倒三角開啟
也就是從一般我的電腦開啟列以後的網址列,最右邊的▼(倒三角開啟),若沒有網址列,可以從 檢視 / 工具列 / 網址 將其開啟。若開啟以後在網址擠在最右邊,可以將 工具列 內的 鎖定工具列 取消勾選,就可以將網址列拖出來囉。
而此方式因為簡單且不需要多開啟檔案總管的步驟,個人已經養成開啟公共電腦的硬碟槽習慣囉。
只要不要開啟讓autorun.inf觸發,就算病毒已經存在於隨身碟,仍是安全的。
常駐軟體阻擋
SafeUSB_cht,目前試過此套軟體,感覺還蠻不錯的。
此套軟體只要隨身碟一插入就偵測,平常可以常駐,建議共用、家用電腦裝上此軟體以達最簡單的防護效果。
建立Autorun.inf資料夾
這個原理是將病毒欲產生Autorun.inf檔案時,因為與資料名稱衝突,將無法建立,而不能建立後,就算病毒被複製到了隨身碟後也會因為無法觸發執行而不產生任何效果,也就是不會中毒。
隨身碟系列病毒靠的就是autorun.inf在傳染以及運行,當autorun.inf被阻擋建立後,也就不會觸發點兩下執行或自動執行病毒檔的動作,當然也就不會中毒啦。
只要在電腦任何一個槽底下建立一個資料夾,將其重新命名為autorun.inf即可,簡單方便。
掃毒、清除
手工掃毒
只要不要纏入系統,隨身碟病毒只需要像刪除檔案一般,就可輕鬆將病毒刪除囉。
步驟如下:
Step1.
開啟我的電腦 / 工具 / 資料夾選項 / 檢視
將
- 隱藏保護的作業系統檔案(建議使用)取消勾選
- 隱藏檔案和資料夾 選擇 顯示所有檔案和資料夾
- 顯示系統資料夾的內容 勾選
Step2.
若電腦可以看到隱藏檔案,則先將根目錄的autorun.inf檔案刪除,刪除以後接下來判斷是否為病毒。
除了C槽的NTDETECT.COM 檔案為預設系統的檔案以外,其他com、exe可以說幾乎都是毒。尤其C槽外的任何槽,只要看到是隱藏檔(也就是半透明的圖示),且副檔名為exe或com的檔案,可以直接刪除,不用擔心勿刪。
(有多少軟體會安裝後出現在非系統槽而且又隱藏起來?起碼我還沒碰過)
另外有些病毒會複製到RECYCLER資料夾內,記得點入檢查是否為病毒,若為資源回收桶圖案則為正常。
正常的→ 點入以後會進入資源回收桶。
有毒的→ 可以看到隱藏的執行檔 。
再來就是檔案名稱沒有任何規則可言,像是2go30q、r9ghv9這種英文數字混雜,可是又沒有意義的檔案也可以直接刪除。
若無法判斷是否為病毒,建議將檔案名稱包括副檔名拿去google搜尋一下,就可以知道囉。
常見的病毒名稱:
kavo.exe、kava.exe、tasa.exe、u.exe、INFO.exe、inf0.exe、taso.exe、IO.exe
軟體掃毒
因為隨身病毒日新月異,一般防毒軟體其實不容易將其刪除乾淨,這邊推薦書維的部落格的kavo killer。
隨身碟系列的病毒就請交給它處理。
只要做好預防動作,養成不要直接開啟隨身碟槽的習慣(用網址列右邊倒三角開啟),並且安裝SafeUSB ,偶而將隱藏檔案顯示並檢查看看,基本上就不用擔心電腦會中隨身碟系列的病毒囉。
總結
隨身碟病毒比一般病毒來的容易清除,畢竟它們是有著固定的運作模式,而這運作模式是我們可以將其繞過。
中了隨身碟病毒,基本上靠kavo_killer系列的都能夠將其清除乾淨。配合safe_usb的防護,autorun.inf資料夾的觸發防止,最後加上看倌們需得養成的公用電腦習慣,基本上就能將隨身碟病毒中毒機率降為最低囉。
若各位看倌覺得有用,請將這些技巧傳授給親朋好友。
一台電腦沒毒,兩台電腦沒毒,週遭的人電腦環境越乾淨,資料的流遞間當然也就越安全囉。
以上
※放於個人google page creator的資料載點:kavo killer、safe_USB (於2009/1/12)
※kavo killer會被avast誤判,所以請avast防毒用戶不用擔心。
全站熱搜
留言列表
mobile app (2)
