返回列表 回復 發帖

[分享] SkyNoUSBvirus - 防止最新的USB病毒

現在USB病毒變種越來越多; e1 V& h  E. |5 V+ g8 {
常見的大約有2種" J' S$ w! M# M; Q( N
1.在每個分割區內建立 autorun.infXXXX.cmd 的檔案: w- r4 d9 Z) ?* \/ y4 }
其中 XXXX.cmd 的檔案名稱不固定...  
5 m6 u: W3 }' i- I  J6 _5 I2.第一個的特徵依然有..  但是  這一種的會把資料夾給隱藏起來  建立一個病毒的exe檔案  好讓我們點選EXE檔來中毒0 _. W0 b5 y) b6 b
5 l) |' D  T! q0 K& q. y3 W3 q% U4 H
基於以上的特徵我做了一個小程式來防止: [5 {6 z2 z  Y. f
首先是  autorun.inf  的防堵..." ?* f' Q5 f  O! f+ J6 L1 A
autorun.inf是用來自動播放所用到的檔案) J' b3 y  f8 d- u
負責引導方向的( b; {, \/ h9 P0 l: D; m- `
所以  刪除這個檔案是最好的作法; B  b, p9 @9 i0 ~
沒有這個檔案有病毒  只要不要去底到病毒  就不會中毒
9 \8 U3 A) q; }; V) N- \/ T但是 總不能每次都來刪除autorun.inf檔案) t3 w9 `; |$ q9 V# ]: ?% h
刪除完  被感染又會有毒1 Y  t3 _7 S# N" Z1 K8 \  D
這樣永遠搞不完
+ I+ @0 E% N3 p) q5 l! D所以呢  先建立一個 autorun.inf 為檔名的資料夾( V+ Y# f4 u' x! {6 x9 g

  [: Y* L+ t8 S& x! X9 h因為病毒檔案是 *.cmd 一般人是不會放cmd檔案在根目錄內的...
5 A  g$ y+ d5 J* K7 A會放也都是放 bat 所以刪除*.cmd檔案1 H$ E" G' _- C* D) M  d& s
也不怕刪除錯
$ i& W5 ?# G7 ~' R3 [* S4 J/ m$ G5 a8 B% N8 O* z. I5 [( f
刪除與資料夾檔名相同的EXE檔案; T( Q& k& `" y- ?. y! P2 |
沒人會無聊到建立一個和資料夾相同檔名的exe檔吧7 o! O4 w5 C0 L9 R  ?& _7 M

+ d8 {" q6 ^3 p; C解除被隱藏的資料夾
$ A9 \! ^5 [* C/ u: u& c因為病毒為了不讓被EXE檔代替的資料夾備發現2 V' y$ `+ I+ W+ J4 J  q; g
所以會把原本的資料夾給隱藏起來6 u. r  q  E" K$ K# \8 o

& @) q6 o& A! k1 {  b4 q0 X所以呢....$ |: ~$ U( h( f
整理一下唷.... k- X$ z2 C  w: S; l) {) M+ Q  b" z' N
本程式會執行的動作:
& k; c0 e0 |# m2 y, D+ Y1.autorun.inf檔案
! @1 V; m" J: T6 r' E( H2.建立以autorun.inf為檔名的資料夾) X* P# v( b) k3 M! H
3.刪除根目錄內的所有cmd檔案(不會涉及到子目錄)
( s, S/ Z# F/ K$ A3 H4 l4.刪除與資料夾相同檔名的EXE檔案* G3 c6 d7 y5 n: H- a/ Z+ w* ^
5.解除被隱藏起來的資料夾' i  [( l" S, P5 b- B' A7 `# z/ O
6.解除隱藏檔案鎖定(手動)
( e7 b& V/ f! b4 F, X/ M9 ?$ H' x, S2 S; R1 ]
第1步:下載

載點:這裡
1 _$ A4 j2 B* e2 i9 C解壓縮密碼:skybox.pp.ru

. O1 d& v8 u$ V: O! p6 T' @1 s
第2步:執行...

建議  請不要放在桌面   ) M7 Y5 S$ s: q( |
因為它開機會執行...
+ j# F6 A- K2 S9 R/ l所以  請找個好地方讓他呆著...
: A. w, S. U6 }, B) i4 o' k) p. g' A$ j! O" }
這是單檔執行8 c$ F) `) x7 e1 Z
執行後  會再同目錄內  建立一個檔案  T/ X% e2 F* G. \8 I
你砍除他 我沒意見
8 H- q9 G7 }8 m* X, Z但你刪除後  他又會在產生  所以呢...0 q. D/ m5 B' r# q6 L, c" o
不要去管它是比較好的唷  ^^
$ _+ j& K1 ~. R6 c, a


& x; T+ c5 R% R( @5 I/ o第3步:奇怪  我開啟後  怎麼沒有視窗出現

因為它會常駐在右下角) B  A2 s: n% P5 y" H
可以很容易的看到它唷...
/ g' h) j2 G+ v$ h! ]9 T5 g* d1 G8 h" R' F3 x/ Q


( i2 Z$ ]1 a  z第4步:點一下右下角的圖示

會出現主視窗
+ F& o! w1 i+ k. i4 p看起來沒啥改變...
2 z, s6 I1 U2 H/ |! ^, o' ^' \

# ~$ E3 x, i  U/ W
第5步:插一支有毒的USB上去

這次我特別小心的取出病毒....
& Z: N) G3 l5 o4 n超恐怖的咧...
" ~- b  Y5 ?( u7 o2 o這是第2代USB病毒
* }4 F( I3 \8 Q- ~8 Q' K- @會隱藏資料夾的
) Z/ M3 n6 y6 v8 C5 s先看看內容物吧7 U- j. H% |# w6 z1 s
((不該看的  都會隱藏  不讓我們看到
+ d5 z/ x: G3 a5 ]7 x

) p( F; r$ t& k2 D8 k% E
第6步:插入電腦  .....

這次中毒後' V9 Y( e: q; b
刪除的檔案都會以氣泡提示來表示唷...
3 U) Y& z( p% ^1 B6 q- U1 _這樣方便知道刪除了哪些東西
- S2 [! o4 w1 c" k8 m# Z8 v8 |


- _9 X4 g9 u% l第7步:來看看隨身碟內部

病毒檔案已經說掰掰了...0 n3 R  b3 t& s: R' K
被隱藏的資料夾也恢復了  ^^0 Z' V9 o$ H7 x
嗯嗯...  真是好東西
7 {& N( n1 v, S3 g; f4 J+ U


& [# G* c1 k! j6 k6 U- z4 k& D第8步:與中研院的防毒比較

整體大小:sky:不到1M    |  中研院 30.3MB
% b& j% M3 K! C& P' r掃毒方式:已一定規則去掃  | 凡是隱藏檔案和在資料庫中的檔案都視為病毒' a9 a- k% J- o/ U/ h
刪除病毒速度:快速 連看都看不到 | 會彈跳出一大堆視窗來教你刪除
2 Q( R2 `3 ^. j) l" v0 W* w


% K. Z: u3 j+ {: N2 h( [* M第9步:注意

本程式為  事前預防
! O& {& D2 n2 v( w0 K6 m而不是事後補救唷...# o  N" c5 U, R
所以不要想說  哈哈  我中毒後再來解決

1

評分次數

  • upside

看起來很不錯耶- T+ F9 m7 `. o& f) w) ~2 `9 j# o9 s% ^
感謝分享噢  !!
5 ?& J7 X7 l# }4 t+ a! y2 f有人可以說一下這是什麼寫的嗎...?1 h* r& v; I; T1 Z" C
外表很亮漂
台灣微軟校園巡迴講座
看起來很不錯耶
1 P) p: @# k, Y& F) O$ W& c" [感謝分享噢  !!
+ T/ V8 m2 u  M' s" L有人可以說一下這是什麼寫的嗎...?9 Z0 T' [& f! \2 a7 R2 ]( c; [
外表很亮漂
8 r& ]9 U! V5 C" _6 S& o% I笨笨小子2 發表於 2009-7-5 12:00
' j4 t9 e2 O+ F% h3 l$ I

. B3 U# U' W& J( e4 O我適用  VB6  寫的
構想不錯 歡迎加入隨身碟病毒專殺之家族, B! n/ t2 ?9 h
不過大大可能對 隨身碟病毒 還了解的不夠透澈
9 |9 I* r0 |& M; i& I9 V這一篇是之前整理出來的資料 可以參考一下
2 p; P" m* |/ \' s再對此軟體 增加查殺範圍) }9 X9 q( R! j7 M6 J8 G) E
http://www.phate.tw/viewthread.php?tid=4336
9 u- R+ B* V3 N) ~
% T" `* g3 K0 Q0 Y7 i對此軟體有幾個大問題 提出來討論一下
" E3 Y2 h  T8 c* n1 x, w& F* i1. 建立 autorun.inf 資料夾 此法 僅對 KAVO 或較舊型病毒有效
+ a9 P. A% T& y7 N1 k3 M對複合型.磁碟機.資料夾病毒 無效( d/ z1 F: X, n  {  O# |
# T. t  a, |3 @
2. 病毒母體查殺範圍 僅有 .CMD 這太少了 參考一下那篇文章. w) z. Y4 p9 L
裡面有許多副檔名 如: .BAT .EXE .COM .VBS .PIF 等
" D/ j* f  e% C! H2 T. K另外 只有單獨 刪除此檔案 是無法完全清除病毒+ B7 I% c; i& r' N) {. a. m8 J
系統內的生成物 會互相保護 會繼續生成病毒母體 並更新變種% a% ]# n! N6 {8 Y
9 Z- o6 o7 j- d- f
3.隨身碟病毒 來源不一定是隨身碟 很多也是因為下載或開啟某網頁 就會中毒
  ~3 ?8 r1 i- \* m+ ^% C+ Z只有單獨對 USB 作監測 有點可惜 建議可同時監測各磁碟機下的檔案
解決問題的方法:
1.先檢查硬體(記憶體 主機板 硬碟)
2.檢查 系統登錄檔 尤其是 Run 的內容
3.翻書瞭解相關問題的原理 再設法解決
4.在論壇內或Google搜尋是否有類似的問題
5.到討論區以明確的標題來發問
4# upside
# [1 G( c0 X1 X$ _! }6 p7 m$ A) G& z7 B. [- _2 Z

6 w( O$ w2 \/ w) x% x1 q1 K9 Y( a1.因為這是目前  比較常見的
: f6 W8 l- F; J較新的病毒...  我這沒有樣本( N8 F( U4 d; v
   我只要隨身碟插上來  都會刪除 autorun.inf  所以只要關閉自動播放..
0 C% h! B, `9 v. V( i6 nautorun.inf  引導檔案 都被刪除  不在會去中毒  就算有毒還殘留在USB中  可以手動刪除
7 g9 x% ?. h9 M% |0 \8 C" P- E2.常見的就只有 CMD  其他的    我怕會誤刪  所以  就沒刪除..  不過  由於1點    可以自己手動刪除病毒  就好了) {- H; B. P$ Q0 O' Z& ]
3.抱歉唷..  因為我上網 沒重過USB病毒  所以沒有寫入...   我連防毒都沒灌   也沒重過毒
重點你還是沒有了解到
& Q" m, B& a8 {0 D9 ~9 L$ t這隻病毒 不是只要刪除 autorun.inf 與 *.cmd 就好了
* n6 z9 l* h. e6 a) ~, [還有 c:\windows\system32\kavo.exe 這類生成物
5 e+ G1 Q4 I% \, z7 M沒有清除它 是無法解毒的- d: _; u& h3 }7 }' J

4 U8 u2 U: O/ V, z( l5 h3 c0 G還有設計這種專殺程式 大多是要給一般使用者使用的7 p3 S. j, ~: O+ x! u; N6 G2 W: ]9 b
他們大多不會手動解毒 所以要把所有的步驟簡化  r# I' E2 D! W( L& r2 ^1 O
; f6 t1 h. h5 Z+ w6 t) y, r( J
設計專殺程式已經有4年時間 深深了解到一點
- o. s; {0 n  R/ s2 O5 [2 y- S2 U高手不會去使用你的程式 而新手是不會使用你的程式
解決問題的方法:
1.先檢查硬體(記憶體 主機板 硬碟)
2.檢查 系統登錄檔 尤其是 Run 的內容
3.翻書瞭解相關問題的原理 再設法解決
4.在論壇內或Google搜尋是否有類似的問題
5.到討論區以明確的標題來發問
重點你還是沒有了解到/ M; F' B* t) a
這隻病毒 不是只要刪除 autorun.inf 與 *.cmd 就好了4 z" b: d" U. A7 s+ W) p5 p8 d
還有 c:\windows\system32\kavo.exe 這類生成物4 C, B" [: X1 _2 X$ A- l/ L0 k
沒有清除它 是無法解毒的
7 W* P  t8 @$ t: e+ G; c) L5 ?; d
  R4 T  B1 C( U; X還有設計這種專殺程式 大多是要給一般使用者使用的
( t& F1 M. K2 y3 ^  z2 i" u$ Y他們大 ..., C# V& \3 [  V
upside 發表於 2009-7-6 15:06
" w* y; h- c$ v6 h' R* A8 _2 z) t: l% E9 j) p
位啥那邊會有毒?, F6 k$ B( u* m+ Z  @
都沒中毒 那便會有病毒唷?
第9步:注意
+ v9 Z% \8 k# o  ~; {( f: s
, J5 |) h5 w) E本程式為  事前預防5 V/ o0 {1 E) U1 s, I" a9 z) `
而不是事後補救唷...* t6 c5 O7 H/ [4 p* Q3 E8 O
所以不要想說  哈哈  我中毒後再來解決
看清楚吧
整篇 我看的很清楚 我知道你一定會說出這樣的話
9 f" }( ?: e7 e; r" I! m你不是第一個這樣的
4 V* g7 z3 h  X; X; A. |只是給你建議而已 這樣的預防我上面說的很清楚了
* q7 H9 v& }1 F; R: |" u( F效果不大 希望能多多改善
解決問題的方法:
1.先檢查硬體(記憶體 主機板 硬碟)
2.檢查 系統登錄檔 尤其是 Run 的內容
3.翻書瞭解相關問題的原理 再設法解決
4.在論壇內或Google搜尋是否有類似的問題
5.到討論區以明確的標題來發問
我目前還是學生5 v" y( {, R6 s. c: U
9 O0 l, b  G8 v- O( q6 E1 K6 F
像我們學校的電腦裡就有常駐行的隨身碟病毒+ ^9 {2 X9 @5 \& Y5 D: N! D

/ Z7 l, u) A; E8 B0 z" _: t& M9 K" T請問為甚麼都刪不掉
本帖最後由 linkyo 於 2009-7-8 19:43 編輯 0 X4 w2 r' B2 E

0 z& I; V  r( b摟上去看看他發的帖吧!去看看他發的帖吧!<<對你有所幫助>>
: ?6 _3 y5 n# Y但學校有裝還原卡..............................病毒永遠都在
9 T0 }) X* o. g' F' ~* a5 thttp://www.phate.tw/thread-6589-1-1.html
! I7 D- w: m5 J3 s- Z/ b至於板主其實用Windows去做軟體限制效果會比你寫的還好>>因為都是預防<<0 f5 q6 J3 m. A( |; z
去看我發的帖吧>>PS..這方法不是我發現的是別人教我的<<
6 t& E0 w# B! L4 ^6 A# K# uhttp://www.phate.tw/thread-6470-1-1.html
我什麼都不會 , 只會走走逛逛 , 打發時間XD
返回列表