如 何關閉 Windows 的 Autorun 功能

Last Update : 04 / 11 / 2009 By DarkRanger .


前言

Autorun 範例

從 MountPoints2 關閉 Autorun

從 AutoPlay 關閉 Autorun

如何快速清除隨身碟裡的惡意軟體


相關連結



前言


隨身碟(USB storage)可說是當今最為氾濫的惡意軟體(malware)傳播方式之一,事實上,包含數位相機隨身硬碟等可攜式媒體也都是使用相同的感染方式:利用 Windows 的 Autorun(自動執行)功能。Autorun 可使諸如光碟、隨身碟等媒體在插入電腦後,自動執行所指定的程式。雖然 Autorun 的原始用意是為了便利,例如在置入軟體光碟後,可自動執行其安裝程式,然而 Autorun 同時也成為惡意軟體可利用的感染途徑。因此若是能關閉 Windows 的 Autorun 功能,就能避免經由隨身碟來感染惡意軟體。

為了研究如何防範隨身碟病毒,本文前後大幅改寫了四次……(包含第一次發佈),而最近的改寫是由於微軟終於發佈相關更新檔,讓關閉 AutoPlay(自動播放)功能的同時,也可以連帶關閉 Autorun,因此 DR 將這個方法納入,使本文有兩種關閉 Autorun 的方法。

注意:本文所用系統為 Windows XP


Autorun 範例

(1) 插入隨身碟,並在隨身碟中建立一個名叫 autorun.inf 的文字檔案(大小寫沒有差別)。

(2) 在隨身碟中放入要執行的程式。

(3) 編輯 autorun.inf,依以下格式撰寫,並填入要執行程式的檔名,例如:test.exe

[autorun]
open=test.exe

;shell\open=Open(&O)
shell\open\Command=test.exe

shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=test.exe


(4) 儲存後,將隨身碟卸除,再重新插入隨身碟(事實上,對 autorun.inf 的任何更動都要卸除重插後才會生效),然後在「我的電腦」中對隨身碟圖示點兩下,程式就會被自動執行了。並且如果對隨身碟按右鍵選「開啟」或「檔案總管」 都仍舊會被執行!只有使用命令行介面(cmd) 瀏覽或另外執行檔案總管(explorer) 再用非雙擊方式開啟隨身碟才可以避免。


從 MountPoints2 關閉 Autorun

本方法應適用於所有 Windows 2000 以後的系統,無論安裝更新與否。

(1) 開始工作列→執行→ regedit

(2) 找到以下機碼:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

(3) 點選 MountPoints2 並按右鍵

(4) 選擇「使用權限」然後點選「新增」

(5) 輸入物件名稱:Everyone 並按「確定」以新增

(6) 選擇 Everyone 使用者,將「完全控制」項目勾選「拒絕」,按確定後程序即完成

特別注意:上述程序只會對個別使用者生效,若你的 Windows 有使用不同的使用者操作,則每個使用者都要依上述程序操作。


從 AutoPlay 關閉 Autorun

本方法必須安裝特定更新檔後才能生效,請先參考微軟官方說明:

http://support.microsoft.com/kb/967715

AutoPlay 可以從群組原則中關閉(或者直接修改登錄機碼),不過使用微軟的 Tweak UI 工具也很方便,請至以下連結下載並安裝:

Microsoft PowerToys for Windows XP

執行 Tweak UI 後,至 My Computer → AutoPlay → Types Enable Autoplay for removable drives 拿掉。

或者,在 My Computer → AutoPlay → Drives 裡頭將特定的磁碟拿掉。

Apply 並 OK 後,重開機或者登出再登入即可生效。


如何快速清除隨身碟裡的惡意軟體

Removable Malware Removal(r-m-removal)是一支簡易但極有效的隨身碟檢查與清除工具。使用方法很簡單,只要 在開啟隨身碟以前執行該工具即可。r-m-removal 有以下特點:

(1) 直接偵測並刪除隨身碟中的隱藏執行檔(包括 autorun.inf)

(2) 程式極精簡,單純使用 Windows API + C 語言 + Shell 指令寫成,無額外執行需求。

(3) 只針對隨身碟本身,在權限受限的操作環境下也可使用。

(4) 開放原始碼,可自行添改功能。


相 關連結:

http://newsletter.ascc.sinica.edu.tw/index.php?lid=109#article_1386

http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm

http://en.wikipedia.org/wiki/Autorun

http://msdn2.microsoft.com/en-us/library/aa969327.aspx

http://www.pcdoctor-guide.com/wordpress/?page_id=1546



Back to DarkRanger.no-ip.org