網路流傳的隨身碟防毒招數有效嗎？

| | | | | | 1則回應

    

「網友推薦多套防隨身碟病毒的軟體，哪一套最好用？」

在討論上述疑問之前，有必要先說明隨身碟常見的誤解。隨身碟正式的全名為「可攜式儲存設備」(Removable storage device)，包含姆指碟、行動硬碟、記憶卡(如SD、CF卡)、數位相機、數位 MP3播放器、數位行動電話等設備。所以並不是只有姆指碟是隨身碟，以上這些設備也都有感染隨身碟病毒的風險。

隨身碟病毒利用隨身碟攜帶方便的特性，交互感染受害電腦，以竊取敏感資料，影響範圍包含信用卡資料 [註1]、遊戲帳號與密碼 [註2] 或其它重要資訊等。從近年來的資訊安全新聞中發現，雖然防毒軟體的技術不斷進步，但是更新速率仍然不及日新月益的變種與新型態的病毒，這使得防毒軟體的偵測率趕不上病毒的演化。

筆者整理了近年隨身碟病毒重大新聞如下：
- 2006 年 10 月，防毒軟體廠商 F-Secure 發布日本麥當勞出廠 1 萬台含有隨身碟病毒的 MP3 播放器的新聞 [註3]。
- 2007 年 3 月，資訊安全網站 Zone-H 發布隨身碟病毒再度流行的警訊 [註4]。
- 2007 年 5 月，防毒軟體廠商 Sophos 發布隨身碟病毒嚴重肆虐的新聞 [註5]。
- 2007 年 11 月，Business Journal 發布隨身碟病毒對企業機密檔案的潛藏風險報告 [註6]。

當防毒軟體不再能夠保證電腦安全時，網路上紛紛出現專門處理隨身碟病毒的錦囊與軟體。然而這些錦囊是否有效？或這些軟體之中，哪種最好？接下來會與讀者一起驗證錦囊，並於最後推薦開放源碼的隨身碟防毒軟體 - Wow! 隨身碟防毒系列，只需此招便可讓電腦遠離隨身碟病毒。

破解網路流傳的防毒錦囊

錦囊一：建立 Autorun.inf 的唯讀資料夾

隨身碟病毒的感染與 Autorun.inf 檔案的內容有關。於是有人建議在隨身碟內建立 Autorun.inf 的唯讀資料夾，則可避免隨身碟感染病毒。

這個方法目前適用於大多數的隨身碟病毒，而且成效不錯。但是若往後的病毒有解除唯讀並刪除資料夾的能力，則這個方法則完全失去了保護作用。

錦囊二：使用機碼 (Registry) 啟動隨身碟的唯讀功能

作業系統可以設定隨身碟為唯讀。網路上建議在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

下，新建 DWORD 值為 1 的 WriteProtect 機碼，則作業系統可以避免隨身碟病毒的感染。

這個機碼的目的是禁止作業系統對隨身碟的寫入權限，讓隨身碟只可讀取而不可寫入。然而感染病毒只需擁有讀取權限即可，不需寫入權限，

所以即使作業系統啟用此項設定，也不能避免隨身碟病毒。

可以動手試試簡易的測試步驟，如下：

1. 在作業系統上設定 WriteProtect 且值為 1 的機碼。
2. 重新啟動電腦，使第一步驟生效。
3. 將 TEST_WowUSBProtector [註7]測試病毒解壓縮至隨身碟第一層路徑內。
4. 重新插入隨身碟。
5. 開啟桌面「我的電腦」，並直接開啟隨身碟磁區。
6. 測試結果：測試病毒正常觸發，證明此方法無效。

錦囊三：按住 Shift 鍵開啟隨身碟

Windows 作業系統有「自動運行(autorun)」與「自動播放(autoplay)」的功能，這兩者很容易混淆。「自動運行(autorun)」功能可以令隨身碟或 DVD播放器等自動執行某程式，這也是隨身碟病毒利用的特性；而「自動播放(autoplay)」是提供控制選單，畫面如下：

圖 12

網路上流傳，在插入隨身碟時按住 shift 鍵即可停止隨身碟自動運行(autorun)功能，避免隨身碟病毒的感染。但是按住 shift鍵僅是關閉自動播放(autoplay)，並不會停止自動運行(autorun)功能，兩者是不一樣的。

可以動手試試簡易的測試步驟，如下：
1. 將 TEST_WowUSBProtector [註7]測試病毒解壓縮至隨身碟第一層路徑內。
2. 重新插入隨身碟，同時按住 shift 鍵，停止自動播放(autoplay)。
3. 開啟桌面「我的電腦」，並直接開啟隨身碟磁區。
4. 測試結果：測試病毒正常觸發，證明此方法無效。

錦囊四：在隨身碟磁區上右鍵開啟檔案總管

檔案總管可以避免隨身碟自動運行 (autorun) 的功能，而避開病毒的感染，但是要視操作步驟而定。若是直接在隨身碟磁區上，按滑鼠右鍵開啟檔案總管，則仍然會感染隨身碟病毒。

可以動手試試簡易的測試步驟，如下：
1. 將 TEST_WowUSBProtector [註7]測試病毒解壓縮至隨身碟第一層路徑內。
2. 重新插入隨身碟。
3. 開啟桌面「我的電腦」，用滑鼠右鍵選擇隨身碟磁區，並點選「檔案總管」開啟磁區。
4. 測試結果：測試病毒正常觸發，證明此方法無效。

若操作步驟是先開啟檔案總管再選擇隨身碟磁區，則確實可以避免隨身碟病毒的感染。

可以動手試試簡易的測試步驟，如下：
1. 將 TEST_WowUSBProtector [註7]測試病毒解壓縮至隨身碟第一層路徑內。
2. 重新插入隨身碟。
3. 由「程式集」→「附屬應用程式」→「Windows 檔案總管」的方式開啟檔案總管。
4. 點選隨身碟磁區。
5. 測試結果：測試病毒沒有觸發，證明此方法有效。

錦囊五：使用機碼 (Registry) 關掉自動運行功能

網路上流傳 NoDriveTypeAutoRun 機碼可以關掉隨身碟自動運行 (autorun) 的功能。但這個方法仍然無法避免隨身碟病毒的感染。

可以動手試試簡易的測試步驟，如下：
1. 下載 NoDriveTypeAutoRun 機碼的設定並執行 [註8]。
2. 重新啟動電腦，使第一步驟生效。
3. 將 TEST_WowUSBProtector [註7]測試病毒解壓縮至隨身碟第一層路徑內。
4. 開啟桌面「我的電腦」，並直接開啟隨身碟磁區。
5. 測試結果：測試病毒正常觸發，證明此方法無效。
6. 下載恢復 NoDriveTypeAutoRun 預設值機碼的設定並執行 [註9]。

結論

網路錦囊驗證一覽表

==================================================
錦囊 證實結果
一. Autorun.inf 的唯讀資料夾 存疑
二. 機碼啟動隨身碟的唯讀功能 無效
三. shift 鍵開啟隨身碟 無效
四. 隨身碟磁區上右鍵開啟檔案總管 無效
五. 機碼關掉自動啟動功能 無效
===================================================

以上證實網路錦囊並不能解決隨身碟病毒的問題。因此對於採用錦囊的讀者，我們建議改用隨身碟防毒軟體為解決方案。

註1：如防毒軟體廠商 Sophos 命名為 W32/MemServ-A 的隨身碟病毒。(http://www.sophos.com/virusinfo/analyses/w32memserva.html)

註2：如防毒軟體廠商賽門鐵克(Symantec) 命名為 W32.Gammima.AG 的隨身碟病毒。(http://www.symantec.com/zh/tw/security_response/writeup.jsp?docid=2007-082706-1742-99)

註3：F-Secure: McDonalds ships MP3 players with a trojan (http://www.f-secure.com/weblog/archives/00000997.html)

註4：Zone-H: Digital worms through USB ports (http://www.zone-h.org/content/view/14615/31/)

註5：Sophos: Danger USB! Worm targets removable memory sticks to infiltrate business (http://www.sophos.com/pressoffice/news/articles/2007/05/usbstick.html)

註6：Business Journal: USB devices make companies vulnerable to computer viruses, data theft (http://www.bizjournals.com/phoenix/stories/2007/11/12/focus21.html)

註7：TEST_WowUSBProtector (http://antbsd.twbbs.org/~ant/antivirus/TEST_WowUSBProtector.zip)

註8：DisableAutorun.reg (http://antbsd.twbbs.org/~ant/antivirus/DisableAutorun.reg)

註9：EnableAutorun.reg (http://antbsd.twbbs.org/~ant/antivirus/EnableAutorun.reg)

作者為中研院資訊所自由軟體鑄造場經理。本文獲中研院同意轉載，原文請見該所網站。