2009年3月7日 星期六

USB病毒防治要點

2008 技術通報 - USB病毒防治要點

一、 何謂USB病毒
病毒透過USB可攜式裝置散播,受感染的電腦在各磁碟機會產生 autorun.inf檔案,當使用者在磁碟機的圖示上點兩下,便會執行autorun.inf與病毒檔案,倘若在受感染的電腦上使用USB可攜裝置,便 會將病毒檔案與autorun.inf複製到USB裝置內,當該裝置插入其他電腦使用時,因為自動播放功能會自動執行autorun.inf,病毒便可再 次感染其他電腦

二、 USB病毒特性
常見的病毒檔案為kavo.exe、 ntdelect.com、kavo1.dll(1可能為其他數字)、ubs.exe,並在各磁碟機下產生autorun.inf檔案,而 autorun.inf通常為隱藏檔。感染病毒後系統無法勾選顯示隱藏檔的選項,藉以避免使用者發現病毒檔案。

三、 如何恢復系統設定
當防毒軟體刪除病毒檔案後,因為autorun.inf依舊存在在電腦,使用者會無法使用點兩下的方式瀏覽各磁碟機,會出現以下圖示:

Usb

要解決上述狀況,必須刪除autorun.inf。

四、 解決方案

  1. 少數用戶端處理方式-KAVOREMOVE.zip
    將kavoremove.zip檔案解壓縮至暫存資料夾,解壓縮密碼為novirus,解壓縮後請進入安全模式後依序執行下列檔案
    • kavoremove.exe
      此檔案會刪除下列病毒檔案:
      • 所有磁區的autorun.inf、ntdelete.com、ntdelect.com
      • %windir%\system32\下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe、kavo0~9.dll、taso0~9.dll
      • %windir%\system\ 下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe、kavo0~9.dll、taso0~9.dll
      • Documents and Settings\Administrator\Local Settings\Temp\*.*
      • %windir%\temp\下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe

    • Fixreg.exe
      此檔案會刪除病毒產生的機碼,執行之前請先備份機碼

    • 恢復隱藏檔機碼.exe
      執行該檔案可修正系統無法選取顯示隱藏檔的功能

  2. 大量用戶端處理方式-DCT999
    若您公司內部有大量電腦均感染USB病毒且需要刪除autorun.inf,請您部署版本號碼為999的DCT,請先備份原本的DCT檔案,包含tsc.exe、tsc.ini、tsc.ptn,路徑位置如下:C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin

    部署步驟如下:
    • 將tsc_999.zip解壓縮至上述路徑取代原先檔案,解壓縮密碼為novirus

    • 請 將C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\Touch\Tmtouch.exe複製到C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin資料夾下

    • 開啟命令提示字元視窗(cmd),切換到C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin執行下述指令:
      tmtouch tsc.*

    • DCT999會自動部署到用戶端,且OfficeScan Client會自動重起即時掃描服務
      當您選擇部署DCT999之後,請確認用戶端均恢復正常,然後請您務必還原原始的DCT版本,還原的步驟如下:
      • 將原先備份的tsc.exe、tsc.ini、tsc.ptn複製回C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin資料夾下
      • 再次開啟命令提示字窗,切換至C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin路徑下執行下述指令:
        tmtouch tsc.*
      • 原本的DCT版本會自動部署至用戶端,OfficeScan Client會自動重起即時掃描服務。
      • 請右鍵點選右下角工作列中的心電圖圖示選元件版本確認DCT版本是否正確

最後 趨勢科技建議您設定病毒爆發防範策略防止USB病毒相關檔案寫入系統。啟用病毒爆發防範策略的方式 請參閱技術通報 - 如何啟用OPP防護病毒攻擊

Labels:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)