網路城邦
上一篇 回創作列表 下一篇   字體:
USB大作戰
2008/03/15 19:06:32瀏覽1175|回應0|推薦2

新聞事件:

2005 年創新未來於銷往日本 MP3 播放器 Zen 中,約 3,700 台遭受 W32.Wullik.B 病毒感染, 2006 年蘋果推出的第五代 iPod 部份出貨含有 RavMonE.exe 病毒感染,此類病毒皆可經 USB 傳輸至電腦,所以目前 USB 的軟、硬體控管也成為 IT 廠商所重視的安全監控發展項目之一。

卡巴斯基: Trojan-Dropper.Win32.Delf.wj

趨勢科技: WORM_VB.YQ

賽門鐵克: W32.Rajump

McAfee : W32/RJump.worm

感染方式: ( 註:以 Trojan-Dropper 舉例 )

該台 PC( 家用或工作用 ) 本身已經中間諜程式或木馬程式,當插入隨身碟 Copy 檔案及 MP3 會啟動驅動程式時就順便一起植入該隨身碟的隱藏區。再依此法感染多數 PC 。
插入隨身碟後,點選磁碟機防毒軟體會發現 C:\windows\system32\driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
事實上在 c:\windows\system32 裡頭根本找不到 driveinfo.exe ,而是躲在隨身碟的 Recycled 目錄下,那裡有三個隱藏檔案,分別是: driveinfo.exe 、 driveinfo.sdc 、 voinfo.dll 另外在隨身碟的根目錄會新增一個隱藏檔案 autorun.inf ,內容是: [AutoRun] Open=.\Recycled\Driveinfo.exe Shell\Open\Command=.\Recycled\Driveinfo.exe 上面這幾個檔案不管怎麼砍都砍不掉,似乎是由 inetsrv.exe 這個 Process 守護。

--------------------------------------------------------------------

檢查 USB 是否有被植入的自救方法

  • 把隨身碟插上
  • 打開命令提示字元鍵入 x: (enter)(x: 為你的隨身碟的磁碟代號 )
  • 用 dir /a (enter) 檢查是否有一個叫 autorun.inf 的檔案
  • 鍵入 attrib -r -h -s autorun.inf (enter)
  • del autorun.inf (enter) 等待個幾秒
  • 再鍵入 dir /a (enter) 檢查 autorun.inf 是否又復活再出現如果有出現就是中了病毒。

手動解除的解決方法:

在工作列點右鍵啟動 工作管理員點處理程序,再點檢視 -- 欄位把 pid 打勾,確定點 pid 欄位再點名稱,使列表以名稱和 pid 排序。把 pid 較大的使用者為 local machine 的 svchost.exe 強制結束 ( 懷疑它就是被病毒啟動的 )

如果重開機沒出現就是有關掉病毒的程序,再回到命令提示字元鍵入

  • attrib -r -h -s autorun.inf
  • del autorun.inf
  • cd recycled
  • attrib -r -h -s *
  • del *
  • c:
  • cd windows\system\
  • attrib -r -h -s svchost.exe
  • del svchost.exe
  • cd _sv_CMD_
  • attrib -r -h -s *
  • del *
  • regedit


在登錄編輯程式中切換到 “ \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon ” 把 Userinit 值後面添加的 “ C:\WINDOWS\SYSTEM\svchost.exe ” 删除
再用編輯的尋找把有關 recycler 的值都刪掉後就可以了。

--------------------------------------------------------------------

停用、禁用 USB 的方法:

請參考:

Microsoft 技術文章 如何停用 USB 儲存裝置

Microsoft 技術文章 使用群組原則來停用 USB 、 CD - ROM 、 軟碟機及 LS - 120 驅動程式

USB 大容量儲存裝置安全禁用大法 打造最具經濟效益的資料安全防護機制

缺點:

  • 部份方法有區分 已安裝過 USB 和尚未 安裝過 USB 大量儲存裝置的電腦,二者的設定不同,設錯是無效的。
  • 管理者需在使用者的電腦上,設定 Administrator 管理者權限及密碼,以防使用者之不當存取行為。但 通常該使用者就是其機器最大的帳號 ( 原因是使用者希望有安裝軟體的權限 ) ,所以只要使用者權限夠大且夠聰明仍然可以改回來。
  • 所有方案仍然可能存在防範上的漏洞,因為員工仍然 可以透過 PS/2 轉 USB 埠之轉接頭 ( 買某一廠牌的滑鼠都有送 @@) 的安裝方式,照樣可以利用 USB 儲存裝置將資料複製出去。 ( 不可能鎖 PS/2 的埠吧 ) 。
  • 員工只要透過 Knoppix 或 Ubuntu 等 LiveCD 來開機 ,即可避開原有系統設定好的安全機碼登錄動作,換句話說,員工仍可透過 USB 隨身碟,將資料複製外出。 ( 可搭配鎖 BIOS 來避免 ) 。

總之這樣的員工總是一山還有一山高,跟這些常不按牌理出牌的人鬥法是很辛苦的,需要搭配 [ 單位的資安政策 ] 與明文禁止與宣導,不然 [ 再多的防範措施總會有實施上的盲點 ] 會被有心人士找出來。

--------------------------------------------------------------------

允許使用 USB 但停用、關閉 AutoRun :

1. 放入隨身碟時請趕緊壓按 shift 鍵以暫時 ( 非永久 ) 取消 autorun 的功能。

2. 開啟隨身碟請用 " 滑鼠右鍵 " → " 內容 " 或以 " 檔案總管 " 瀏覽切勿用滑鼠左鍵雙擊。

3. 選擇有防寫開關的隨身碟產品,在他人電腦上使用前即先將隨身碟切至防寫模式。

4. 使用本機群組原則關閉: ( 也可使用於 AD 的群組原則 GPO)

  1. 開始 → 執行 → 輸入 gpedit.msc (Windows XP Home Edition 不適用 ) → 確定
  2. 出現 " 群組原則 " 視窗 , 依序選左邊 電腦設定 → 系統管理範本 → 系統
  3. 找到右邊視窗的 → 關閉自動播放 滑鼠左鍵雙擊
  4. 出現 " 關閉自動播放內容 " 對話窗 , 點選 " 已啟用 "
  5. 再下來在 " 停用自動播放在 " 的下拉選單 , 選擇 " 所有裝置 "
  6. 完成 , 插上隨身碟就不會再自動執行了

5. 使用變更系統機碼來關閉: ( 所以系統均適用 )

  1. 開始 → 執行 → 輸入 regedit 並尋找如下面的機碼
  2. 所有媒體含 USB 插入磁碟機或光碟機後,停止自動執行與開始讀取功能
  3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 登錄機碼中,加入了下列登錄值。
  4. 按右鍵自行輸入 NoDriveTypeAutoRun 格式 DWORD 值 十六進位值為 255
  5. 將下列設定的值設為 1 可以僅停用 CD/DVD 的自動執行。
  6. HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Cdrom\ 登錄機碼中,加入了下列登錄值。
  7. Autorun 格式 DWORD 值 十六進位值由 1 改為 0

6. 使用 AD 網域的群組原則 GPO 部屬 BAT 批次檔: ( 僅適用於有 AD 網域的環境 )

請參考 資安論壇 這篇文章 及範例程式

防止個人電腦被姆指碟 _ 隨身碟感染病毒之小技巧

相關連結:

USB 隨身碟木馬

USB 病毒檢查

Microsoft Disable Autorun :停用所有磁碟機 / 光碟機的自動執行功能

Microsoft Autorun

Microsoft NoDriveTypeAutoRun

Microsoft AutoRun 或 AutoPlay 功能失效

標籤: 木馬後門 _ 防範 , 診斷及治療

文章來源: http://anti-hacker.blogspot.com/2007/05/usb.html

好文分享:http://blog.pixnet.net/dani7008

好文分享:http://blog.sina.com.tw/leetinglung/

( 休閒生活生活情報 )
回應 推薦文章 列印 加入我的文摘
上一篇 回創作列表 下一篇

引用
引用網址:https://classic-blog.udn.com/article/trackback.jsp?uid=zhandywang&aid=1697743