USB 病毒讓許多使用者和MIS頭痛不已,因為它防不勝防,殺了又中、中了再殺,無止盡的變種病毒更讓防毒軟體防不勝防。許多人認為抓不到病毒是防毒軟體的原罪,於是尋求其他的解決方案。但在之下,這些方法真的有效嗎?本文將帶你深入了解USB病毒的危害、手法及防禦之道。
去年,USB病毒的主要目的是竊取線上遊戲的帳號和密碼,針對其目的而言,如果使用者本身沒有玩線上遊戲,這些病毒並不會帶來多大的損失,頂多只是看不到系統的隱藏檔,系統效能被拖慢一些。但在病毒持續變種之下,除了竊取帳號密碼,還會破壞網路裝置(網路中斷)、無法進入安全模式、停用防毒軟體、無法執行某些程式…。當到這個階段,使用者才會感到麻煩大了。
在病毒感染的初期,使用者大多不知情,因為他們只是插入USB隨身碟存取資料。防毒軟體更新後,順利的偵測出病毒,一切又恢復正常。可惜好景不常,病毒作者一直改寫新的病毒,演化出破壞力更強大的病毒。加上它變種的速度比病毒碼更新的速度更快。當你更新完防毒軟體,可以偵測到病毒時,又有新的變種出現。
我們整理一下,當電腦遭受USB病毒感染後,可能會出現以下症狀:
1. 網路裝置元件故障:導致無法上網及更新病毒特徵碼
2. 破壞作業系統:導致程式執行發生錯誤、系統當機(BSOD)、系統日期錯誤
3. 破壞防毒軟體:導致防毒軟體無法運作,或部份元件無法執行
4. 解毒後可能無法直接開啟磁碟機,系統會詢問要以何種應用程式來開啟。或是出現程式執行錯誤的提示訊息。如果發現電腦有上述症狀,建議立即中斷網路連線(拔除網路線),在確認安全之前,絕對不要使用此電腦登入帳號及密碼,以免被竊取。並且在解毒之後,立即變更密碼。
預設下,當電腦偵測到USB裝置時,Windows系統會自動尋找並執行autorun.inf,進而執行其他應用程式。而病毒也就是利用這個特性來感染。從2006年開始,USB病毒的原型就已經現身,它使用的技術簡單、破壞力也不大,並沒有引起太大的討論。 二年時間過去,它已經不再只是使用單一技術與手法,而是混合多種技術來保護自己不被發現和清除,例如看門狗、自動隱藏、自動更新、社交工程…等。而感染管道也不僅只是USB裝置,它可以透過多種管道來危害你得電腦安全,例如網路磁碟、電子郵件附件檔或檔案。
為了讓使用者更了解USB病毒的感染和擴散方式,以下是我們針對USB病毒(Trojan-GameThief.Win32.OnLineGames.saro、Trojan-GameThief.Win32.Magania.ypk、Trojan-GameThief.Win32.OnLineGames.arvf)進行的分析:
第一階段:木馬程式開始執行
在病毒感染的初期,使用者大多不知情,因為他們只是插入USB隨身碟存取資料。防毒軟體更新後,順利的偵測出病毒,一切又恢復正常。可惜好景不常,病毒作者一直改寫新的病毒,演化出破壞力更強大的病毒。加上它變種的速度比病毒碼更新的速度更快。當你更新完防毒軟體,可以偵測到病毒時,又有新的變種出現。
我們整理一下,當電腦遭受USB病毒感染後,可能會出現以下症狀:
1. 網路裝置元件故障:導致無法上網及更新病毒特徵碼
2. 破壞作業系統:導致程式執行發生錯誤、系統當機(BSOD)、系統日期錯誤
3. 破壞防毒軟體:導致防毒軟體無法運作,或部份元件無法執行
4. 解毒後可能無法直接開啟磁碟機,系統會詢問要以何種應用程式來開啟。或是出現程式執行錯誤的提示訊息。如果發現電腦有上述症狀,建議立即中斷網路連線(拔除網路線),在確認安全之前,絕對不要使用此電腦登入帳號及密碼,以免被竊取。並且在解毒之後,立即變更密碼。
預設下,當電腦偵測到USB裝置時,Windows系統會自動尋找並執行autorun.inf,進而執行其他應用程式。而病毒也就是利用這個特性來感染。從2006年開始,USB病毒的原型就已經現身,它使用的技術簡單、破壞力也不大,並沒有引起太大的討論。 二年時間過去,它已經不再只是使用單一技術與手法,而是混合多種技術來保護自己不被發現和清除,例如看門狗、自動隱藏、自動更新、社交工程…等。而感染管道也不僅只是USB裝置,它可以透過多種管道來危害你得電腦安全,例如網路磁碟、電子郵件附件檔或檔案。
為了讓使用者更了解USB病毒的感染和擴散方式,以下是我們針對USB病毒(Trojan-GameThief.Win32.OnLineGames.saro、Trojan-GameThief.Win32.Magania.ypk、Trojan-GameThief.Win32.OnLineGames.arvf)進行的分析:
第一階段:木馬程式開始執行
1.在temp資料夾產生DLL格式的木馬程式。
2.替換系統驅動程式檔案vga.sys,造成防毒軟體元件損毀,無法進入安全模式。
3.產生隱藏屬性的檔案,例如:
windir\system32\kxvo.exe
windir\system32\kxvoX.dll(X為累加數)
4.kxvoX.dll插入explorer.exe執行程序,並持續惡意行為。
2.替換系統驅動程式檔案vga.sys,造成防毒軟體元件損毀,無法進入安全模式。
3.產生隱藏屬性的檔案,例如:
windir\system32\kxvo.exe
windir\system32\kxvoX.dll(X為累加數)
4.kxvoX.dll插入explorer.exe執行程序,並持續惡意行為。
第二階段:IExplorer.exe自動下載惡意軟體
1.IExplorer.exe自動下載木馬程式ff.exe至 temp 下,此惡意軟體經常變種,名稱為Trojan-GameThief.Win32.OnLineGames.xxxx。
2.IExplorer.exe會持續在 temp 路徑刪除與建立ff.exe。
2.IExplorer.exe會持續在 temp 路徑刪除與建立ff.exe。
第三階段:ff.exe自動執行
1.ff.exe執行後會破壞防毒軟體,或造成某些元件無法運作。
2.替換系統驅動程式檔案tdi.sys。遭替換的tdi.sys檔案會造成網路裝置無法使用,在撥接上網時出現錯誤代碼769。
3.產生隱藏屬性的檔案,例如:
windir\system32\j3ewro.exe(Trojan.Win32.Vaklik.xxx)
windir\system32\jwedsfdo0.dll(Trojan-GameThief.win32.OnLineGames.xxxx)
4.新增登錄檔,以便在登入系統後自動執行惡意軟體。
5.當jwedsfdo0.dll插入explorer.exe執行程序後,由jwedsfdo0.dll持續惡意行為,ff.exe即停止運作。
2.替換系統驅動程式檔案tdi.sys。遭替換的tdi.sys檔案會造成網路裝置無法使用,在撥接上網時出現錯誤代碼769。
3.產生隱藏屬性的檔案,例如:
windir\system32\j3ewro.exe(Trojan.Win32.Vaklik.xxx)
windir\system32\jwedsfdo0.dll(Trojan-GameThief.win32.OnLineGames.xxxx)
4.新增登錄檔,以便在登入系統後自動執行惡意軟體。
5.當jwedsfdo0.dll插入explorer.exe執行程序後,由jwedsfdo0.dll持續惡意行為,ff.exe即停止運作。
第四階段:IExplorer.exe自動下載惡意軟體
1.IExplorer.exe自動下載木馬程式cc.exe至 temp 路徑,此惡意軟體經常變種,名稱為Trojan-GameThief.Win32.OnLineGames.xxxx。
2. IExplorer.exe會持續在 temp 路徑刪除與建立cc.exe。
2. IExplorer.exe會持續在 temp 路徑刪除與建立cc.exe。
第五階段:惡意軟體藉由explorer.exe執行程序進行惡意攻擊
1.刪除temp路徑下ff.exe惡意軟體。
2.持續修改登錄檔,藉以隱藏惡意檔案。
3.新增登錄檔:當使用者透過「我的電腦」開啟任何磁碟區(包含隨身儲存裝置)時,就會觸發惡意軟體執行。
4.持續在磁碟根目錄刪除與建立autorun.inf及39ysi89.com。
2.持續修改登錄檔,藉以隱藏惡意檔案。
3.新增登錄檔:當使用者透過「我的電腦」開啟任何磁碟區(包含隨身儲存裝置)時,就會觸發惡意軟體執行。
4.持續在磁碟根目錄刪除與建立autorun.inf及39ysi89.com。
第六階段:cc.exe自動執行
1.如同ff.exe,cc.exe會下載tdi.sys並置換。
2. 產生隱藏屬性的檔案,例如: windir\system32\kxvo.exe (Trojan-GameThief.win32.Magania.xxx)
windir\system32\kxvoX.dll (Trojan-GameThief.win32.Magania.xxx)
3.新增登錄檔,以便在登入系統後自動執行惡意軟體。
4.當kxvoX.dll插入explorer.exe執行程序後,由kxvoX.dll持續惡意行為,cc.exe即停止運作。
2. 產生隱藏屬性的檔案,例如: windir\system32\kxvo.exe (Trojan-GameThief.win32.Magania.xxx)
windir\system32\kxvoX.dll (Trojan-GameThief.win32.Magania.xxx)
3.新增登錄檔,以便在登入系統後自動執行惡意軟體。
4.當kxvoX.dll插入explorer.exe執行程序後,由kxvoX.dll持續惡意行為,cc.exe即停止運作。
第七階段:惡意軟體會在開機時自動啟動及更新
由於病毒持續的變種(透過網路下載新的變種病毒),防毒軟體需要持續更新資料庫,才能偵測出最新的病毒。但是在樣本回報和病毒碼釋出前的空窗期,防毒軟體並無法偵測新的變種。加上它能中斷網路(無法更新)和破壞防毒軟體(無法掃毒),所以坊間出現不少專殺工具和「民俗療法」。如果正常的醫療管道沒有效果,中國人習慣採用民俗療法。對抗USB病毒的狀況也很類似。新變種、看門狗、停用防毒…等病毒手法,讓使用者不堪其擾,我們收集了網路上流傳的各種治療偏方,請參考下表:
建立Autorun.inf資料夾
停用Autorun功能
部份有效
可以暫緩病毒發作。新的變種病毒會先刪除舊有的Autorun.inf資料夾或檔案,或是自行啟動Autorun功能。
建議移除該資料夾安全性頁籤中的所有使用者及群組,才能防止被竄改。
停用Autorun功能
部份有效
可以暫緩病毒發作。新的變種病毒會先刪除舊有的Autorun.inf資料夾或檔案,或是自行啟動Autorun功能。
建議移除該資料夾安全性頁籤中的所有使用者及群組,才能防止被竄改。
按住 Shift 鍵開啟隨身碟
無效
只能關閉Autoplay,無法關閉Autorun。
無效
只能關閉Autoplay,無法關閉Autorun。
在隨身碟上按右鍵開啟檔案總管
部份有效
透過「我的電腦」去點選,仍會遭感染。若正確地透過「檔案總管」來開啟,則不會感染。
部份有效
透過「我的電腦」去點選,仍會遭感染。若正確地透過「檔案總管」來開啟,則不會感染。
啟用隨身碟的唯讀功能
無效
若是隨身碟已感染病毒,只要能執行,就可以感染作業系統。
無效
若是隨身碟已感染病毒,只要能執行,就可以感染作業系統。
軟體限制原則
部份有效
能阻止病毒從USB裝置擴散,但無法防範從網路磁碟或郵件附件檔執行。
部份有效
能阻止病毒從USB裝置擴散,但無法防範從網路磁碟或郵件附件檔執行。
禁用USB裝置
部份有效
能阻止病毒從USB裝置擴散,但無法防範從網路磁碟或郵件附件檔執行。
部份有效
能阻止病毒從USB裝置擴散,但無法防範從網路磁碟或郵件附件檔執行。
USB病毒專殺工具
短期有效
若未定期更新,只能清除舊病毒。而且工具來源不一定安全。
短期有效
若未定期更新,只能清除舊病毒。而且工具來源不一定安全。
一般防毒軟體
部份有效
只能偵測已知病毒。
部份有效
只能偵測已知病毒。
啟發式分析
部份有效
能偵測部份未知病毒,需持續更新規則才能偵測新變種。
部份有效
能偵測部份未知病毒,需持續更新規則才能偵測新變種。
HIPS防護軟體
部份有效
需設定正確的規則,才能夠防止病毒執行,設定上較複雜。
部份有效
需設定正確的規則,才能夠防止病毒執行,設定上較複雜。
KIS 2009
有效
具備防毒、啟發式分析及HIPS功能,可有效防護USB病毒。
有效
具備防毒、啟發式分析及HIPS功能,可有效防護USB病毒。
從上表來看,一些網路偏方根本沒有效果,另一些則只能治標無法治本,即使「禁用USB裝置」,仍然會感染病毒。USB病毒專殺工具的優點是能夠很快速解毒,但效用並不長,大概只有2週的生命周期,病毒作者就會更改新的檔案名稱,或利用其他手法。
目前比較可行的防禦方式是使用HIPS,在病毒執行時就加以阻擋,但對一般使用者而言,設定上比較煩瑣。
預防中毒的最佳方式,則有以下幾點:
* 不要因為一時的好奇心,而任意開啟或執行來路不明的檔案。
* 在開啟檔案之前,建議先以防毒軟體進行掃瞄。
* 定期更新防毒軟體、並執行完整掃瞄。
* 選擇具備主機型入侵防禦系統(HIPS)的安全防護軟體。 卡巴斯基KIS 2009可對未知病毒提供更完善的防護。因為這些惡意程式本身未具備數位簽章,也不在應用程式白名單中,即使不小心誤點病毒程式,KIS會提示使用者限制此程式的危險操作。
----------------------------------------------------------------------------------------------------------------------------
kavo常見的變種
* 在開啟檔案之前,建議先以防毒軟體進行掃瞄。
* 定期更新防毒軟體、並執行完整掃瞄。
* 選擇具備主機型入侵防禦系統(HIPS)的安全防護軟體。 卡巴斯基KIS 2009可對未知病毒提供更完善的防護。因為這些惡意程式本身未具備數位簽章,也不在應用程式白名單中,即使不小心誤點病毒程式,KIS會提示使用者限制此程式的危險操作。
----------------------------------------------------------------------------------------------------------------------------
kavo常見的變種
c:\autorun.inf
c:\iwjj.com
c:\windows\system32\kavo.exe
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32\kxvo.exe
c:\windows\system32\kxvo0.dll
c:\windows\system32\kxvo1.dll
c:\windows\system32\tavo.exe
c:\windows\system32\tavo0.dll
c:\windows\system32\tavo1.dll
c:\windows\system32\Bitkv0.dll
c:\windows\system32\jwedsfdo0.dll
c:\windows\system32\jwedsfdo1.dll
c:\iwjj.com
c:\windows\system32\kavo.exe
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32\kxvo.exe
c:\windows\system32\kxvo0.dll
c:\windows\system32\kxvo1.dll
c:\windows\system32\tavo.exe
c:\windows\system32\tavo0.dll
c:\windows\system32\tavo1.dll
c:\windows\system32\Bitkv0.dll
c:\windows\system32\jwedsfdo0.dll
c:\windows\system32\jwedsfdo1.dll
破壞網路驅動
c:\windows\system32\drivers\tdi.sys
c:\windows\system32\drivers\psched.sys
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\drivers\psched.sys
c:\windows\system32\drivers\tcpip.sys
j3ewro.exe破壞卡巴斯基驅動 導致無法更新或某些防護出錯
c:\windows\system32\j3ewro.exe
c:\windows\system32\drivers\vga.sys
c:\windows\system32\drivers\klif.sys
c:\windows\system32\drivers\vga.sys
c:\windows\system32\drivers\klif.sys
寫入每個分割槽
autorun.inf
nw0t1l0d.exe
8tss2gwq.bat
ntdelect.comkavo
nw0t1l0d.exe
8tss2gwq.bat
ntdelect.comkavo