| 前言 Autorun 範例 從 MountPoints2 關閉 Autorun 從 AutoPlay 關閉 Autorun 如何快速清除隨身碟裡的惡意軟體 相關連結 前言 隨身碟(USB storage)可說是當今最為氾濫的惡意軟體(malware)傳播方式之一,事實上,包含數位相機、隨身硬碟等可攜式媒體也都是使用相同的感染方式:利用 Windows 的 Autorun(自動執行)功能。Autorun 可使諸如光碟、隨身碟等媒體在插入電腦後,自動執行所指定的程式。雖然 Autorun 的原始用意是為了便利,例如在置入軟體光碟後,可自動執行其安裝程式,然而 Autorun 同時也成為惡意軟體可利用的感染途徑。因此若是能關閉 Windows 的 Autorun 功能,就能避免經由隨身碟來感染惡意軟體。 為了研究如何防範隨身碟病毒,本文前後大幅改寫了四次……(包含第一次發佈),而最近的改寫是由於微軟終於發佈相關更新檔,讓關閉 AutoPlay(自動播放)功能的同時,也可以連帶關閉 Autorun,因此 DR 將這個方法納入,使本文有兩種關閉 Autorun 的方法。 注意:本文所用系統為 Windows XP Autorun 範例 (1) 插入隨身碟,並在隨身碟中建立一個名叫 autorun.inf 的文字檔案(大小寫沒有差別)。 (2) 在隨身碟中放入要執行的程式。 (3) 編輯 autorun.inf,依以下格式撰寫,並填入要執行程式的檔名,例如:test.exe [autorun] open=test.exe ;shell\open=Open(&O) shell\open\Command=test.exe shell\open\Default=1 ;shell\explore=Manager(&X) shell\explore\Command=test.exe (4) 儲存後,將隨身碟卸除,再重新插入隨身碟(事實上,對 autorun.inf 的任何更動都要卸除重插後才會生效),然後在「我的電腦」中對隨身碟圖示點兩下,程式就會被自動執行了。並且如果對隨身碟按右鍵選「開啟」或「檔案總管」 都仍舊會被執行!只有使用命令行介面(cmd) 瀏覽或另外執行檔案總管(explorer) 再用非雙擊方式開啟隨身碟才可以避免。 從 MountPoints2 關閉 Autorun 本方法應適用於所有 Windows 2000 以後的系統,無論安裝更新與否。 (1) 開始工作列→執行→ regedit (2) 找到以下機碼:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 (3) 點選 MountPoints2 並按右鍵 (4) 選擇「使用權限」然後點選「新增」 (5) 輸入物件名稱:Everyone 並按「確定」以新增 (6) 選擇 Everyone 使用者,將「完全控制」項目勾選「拒絕」,按確定後程序即完成 特別注意:上述程序只會對個別使用者生效,若你的 Windows 有使用不同的使用者操作,則每個使用者都要依上述程序操作。 從 AutoPlay 關閉 Autorun 本方法必須安裝特定更新檔後才能生效,請先參考微軟官方說明: http://support.microsoft.com/kb/967715 AutoPlay 可以從群組原則中關閉(或者直接修改登錄機碼),不過使用微軟的 Tweak UI 工具也很方便,請至以下連結下載並安裝: Microsoft PowerToys for Windows XP 執行 Tweak UI 後,至 My Computer → AutoPlay → Types 將 Enable Autoplay for removable drives 拿掉。 或者,在 My Computer → AutoPlay → Drives 裡頭將特定的磁碟拿掉。 Apply 並 OK 後,重開機或者登出再登入即可生效。 如何快速清除隨身碟裡的惡意軟體 Removable Malware Removal(r-m-removal)是一支簡易但極有效的隨身碟檢查與清除工具。使用方法很簡單,只要 在開啟隨身碟以前執行該工具即可。r-m-removal 有以下特點: (1) 直接偵測並刪除隨身碟中的隱藏執行檔(包括 autorun.inf) (2) 程式極精簡,單純使用 Windows API + C 語言 + Shell 指令寫成,無額外執行需求。 (3) 只針對隨身碟本身,在權限受限的操作環境下也可使用。 (4) 開放原始碼,可自行添改功能。 相 關連結: http://newsletter.ascc.sinica.edu.tw/index.php?lid=109#article_1386 http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm http://en.wikipedia.org/wiki/Autorun http://msdn2.microsoft.com/en-us/library/aa969327.aspx http://www.pcdoctor-guide.com/wordpress/?page_id=1546 →Back to DarkRanger.no-ip.org |