1 / 32

USB 病毒分析與處理

USB 病毒分析與處理. F74971099 林婷涵 F74972150 吳承浩. USB 病毒的演進 USB 病毒的原理 感染症狀、感染過程 如何判斷是否中毒 ? 解毒的迷思 如何預防 USB 病毒. USB 病毒的演進. 主要傳染途徑是透過隨身碟散佈,以隨身碟病毒稱之,外接硬碟、數位相機、記憶卡等外接式儲存裝置都要視為隨身碟,因此這個傳染途徑比想像中還要大。. USB 病毒的演進. 隨身碟病毒的正式名稱為 「 USB 蠕蟲」 ,根據國家資通安全會報技術服務中心的通報 ICST-ANA-2008-0002 ,一般通稱的隨身碟病毒叫 USB 蠕蟲

iago
Download Presentation

USB 病毒分析與處理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. USB 病毒分析與處理 F74971099 林婷涵 F74972150 吳承浩

  2. USB病毒的演進 • USB病毒的原理 • 感染症狀、感染過程 • 如何判斷是否中毒? • 解毒的迷思 • 如何預防USB病毒

  3. USB 病毒的演進 主要傳染途徑是透過隨身碟散佈,以隨身碟病毒稱之,外接硬碟、數位相機、記憶卡等外接式儲存裝置都要視為隨身碟,因此這個傳染途徑比想像中還要大。

  4. USB 病毒的演進 隨身碟病毒的正式名稱為「USB蠕蟲」,根據國家資通安全會報技術服務中心的通報ICST-ANA-2008-0002,一般通稱的隨身碟病毒叫USB蠕蟲 此外,雖然被通稱為隨身碟病毒,但是這類病毒一樣會感染到內接的磁碟機。

  5. USB 病毒的演進 ●感染對象 作業系統:Microsoft Windows XP/2003/Vista 硬體:內接式硬碟、隨身碟、數位相機內建記憶裝置、記憶卡、外接式硬碟等 ●傳染途徑:USB裝置 ●損害:系統效能變慢、無法檢視隱藏檔或開啟磁碟 ●目的:竊取個人資訊

  6. USB病毒的原理 自動執行功能:USB病毒便是利用這個方式,在autorun.inf裡面寫上病毒所在位置,讓Windows自動執行病毒檔案,使用者在剛插上隨身碟的時候就中毒了。 更新病毒碼:隨身碟上面的「先行者」登陸到你的電腦後,就會開後門烙大隻的過來,癱瘓防毒軟體。等到大隻的進來之後,要做什麼就隨病毒高興了。

  7. USB病毒的原理 早期的隨身碟病毒會躲在資源回收桶裡面,因此很容易判斷是否中了毒。 後來病毒不躲了,直接待在根目錄,只是改成跟系統檔案很像的名字(像ntdelect.com,跟ntdetect.com很像),沒弄好誤殺反而會把系統弄掛 。 於是就有人說不要隱藏副檔名有助於讓自己發現病毒,結果最近的隨身碟病毒,副檔名已經變成.exe和.bat,名字幾乎是隨機產生(如u.exe、6.bat)光從檔名很難判斷。

  8. 感染症狀 ●電腦的速度明顯變慢 ●某些磁碟機無法開啟 ●某些程式無法執行,或自動不正常關閉 ●自動關機等情況 ●防毒軟體會不斷跳出警告視窗,但是選擇刪除病毒後卻仍然繼續出現該警告

  9. 如何判斷是否中毒? 1.打開「我的電腦」,進入「本機磁碟(C: )」,從上方的【工具】選單,點選【資料夾選項】

  10. 2. 進入「檢視」頁籤,依下圖所示,取消勾選「顯示保護的作業系統檔案」,並點選「顯示所有檔案和資料夾」。

  11. 3.按下〔確定〕按鈕之後,正常應該會出現一些隱藏檔,如下圖中的AUTOEXEC、NTDECT、boot…等3.按下〔確定〕按鈕之後,正常應該會出現一些隱藏檔,如下圖中的AUTOEXEC、NTDECT、boot…等

  12. 4. 如果你沒看到這些檔案,那就表示你的電腦已經中標了,而且是病毒把顯示隱藏檔的功能關掉了。這時候你可以先進入「命令提示模式」(按左下角的〔開始〕→【執行】,輸入 CMD 然後按〔Enter〕),接著輸入: CD \ Attrib –h

  13. 檔名前面有SHR表示該檔案具有系統檔、隱藏、唯讀等三種屬性,如上圖中的autorun.inf跟mrsne.bat就是不該出現的檔案,八成就是病毒。檔名前面有SHR表示該檔案具有系統檔、隱藏、唯讀等三種屬性,如上圖中的autorun.inf跟mrsne.bat就是不該出現的檔案,八成就是病毒。 ※常見病毒的副檔名: exe cmd inf cmd bat com pif scr 想要判斷病毒很簡單,只要輸入: type autorun.inf 如果看到類似上圖的檔案內容,裡面有個open=xxxxxxx ,表示那個檔案就是病毒了。

  14. 感染過程 1.利用電子郵件散布,或藉由瀏覽器漏洞,下載到電腦上執行,建立病毒執行檔。 2.病毒會在各分割區建立 autorun.inf ,並建立一隱藏系統資料夾來存放其病毒執行程式(udisk.exe,shell.exe) 3.使用者將USB裝置插入受病毒感染的電腦,受病毒感染的電腦會將病毒複製到USB裝置

  15. 4.當受感染的裝置插入到其他電腦時,因Windows 作業系統內的或autorun預設是啟用,指令便會被執行,成為繼續傳染其它電腦的帶原者。 因USB裝置非常方便, Windows 作業系統內的或autorun預設是啟用 ,使得病毒得以快速傳播

  16. 解毒的迷思 • USB病毒讓許多使用者和MIS頭痛不已,因為它防不勝防,殺了又中、中了再殺 • 無止盡的變種病毒更讓防毒軟體防不勝防 • 抓不到病毒成了防毒軟體的原罪! • 專殺工具、民俗療法真的有效嗎?

  17. 解毒的迷思

  18. @方法:關閉自動撥放 〔開始〕\ 執行,輸入「gpedit.msc」,再按一下〔確定〕按鈕,開啟群組原則設定頁面。

  19. @方法:硬體限制原則 群組原則中預先定義的硬體限制(Windows Vista)

  20. @方法:硬體限制原則  自訂您要限制的硬體類型 (Windows Vista)

  21. @方法:按shift 是關掉autoplay(自動撥放),不是關掉autorun(自動執行)

  22. @方法:放個autorun.inf 在根目錄下(C.D槽下,和USB中)建立一個檔案夾﹐名字就叫autorun.inf 這樣一來﹐因為在同一目錄下﹐同名的檔案和檔案夾不能共存的原理﹐病毒就無能為力。但是現已經有新的變種,病毒會自動刪去此資料夾,建立autorun.inf,所以這種方法也變得無效了。

  23. 解毒的迷思 為什麼防毒軟體有時無法提供有效防護呢? ●防毒軟體屬於被動防護,必須要有病毒特徵碼,才能偵測與解毒 ●現今病毒都是小區域暴發,不易收集樣本(之前是全球大規則暴發) ●化被動為主動,善用新的防護技術(免疫防護、啟發式分析、HIPS)才能偵測未知病毒

  24. 如何預防USB病毒 如何防範USB類型病毒? (預防勝於治療) • 不要因為一時好奇,而任意開啟或執行來路不明的檔案 • 在開啟檔案之前,建議先以防毒軟體進行掃瞄 • 定期更新防毒軟體、並執行完整掃瞄 • 透過教育訓練灌輸使用者正確防護概念與良好電腦操作習慣 • 執行NGS工具

  25. 清除USB病毒 重灌電腦不一定能解決隨身碟病毒! 還原系統不一定能除掉隨身碟病毒!

  26. 清除USB病毒 以下要跟大家介紹的USB 病毒清除程式是USBCleaner。 USBCleaner是一個免安裝且中文介面的程式,USBCleaner可以查殺電腦、隨身碟上的USB病毒

  27. USB cleaner 使用方法

  28. USB cleaner 使用方法

  29. USB cleaner 使用方法

  30. USB cleaner 使用方法

  31. reference: http://reinfors.blogspot.com/ http://blog.soft.idv.tw/?p=639&page=1 http://tinyurl.com/y956r9h http://www.wretch.cc/blog/kevin3372000/15442350

  32. Thank You!

More Related