隨身碟病毒感染流程與危機化解
根據可信資料,一天新增的最新變種隨身碟病毒大約2~3支,沒有任何一套防毒軟體能在第一時間就取得最新樣本並即時更新病毒碼,所以中毒的情況屢屢發生~
隨身碟病毒之所以受人矚目且厭惡,原因就在這隻病毒會改變或破壞電腦的正常狀態,
例如:磁碟機無法以左鍵開啟、隱藏檔無法顯示、即時通無法登入等等,當然隨著變種病毒增生,
對電腦產生的影響也就隨之不同,這種情況與木馬為了盜取帳號通常會把自身隱藏起來的特性有很大的不同,
一般使用者中了KAVO病毒多半在第一時間就會知情,但電腦中藏了木馬則常常是換了防毒軟體之後才知情~
但也就因為隨身碟病毒的這些特性反倒讓使用者有了根本的防治之道,
在說明之前,先來溫習一下隨身碟病毒的感染流程:
1.乾淨的電腦插上已中毒的隨身碟,首先電腦偵測到隨身碟中被病毒寫入的autorun.inf便會予以執行,並開始執行另一個或數個同樣存在於隨身碟中且被設定成隱藏的檔案(病毒本體)
2.病毒執行後先在使用者電腦中把自身複製到指定位置(不一定是哪裡,大多位於c:\下)或直接新增一個類似的病毒且以類似的系統檔案名稱命名,如常見的NTDETIECT.COM,以降低被找到的機率,
而這個檔案已具備相同的毒性及散播功能~
3.再來病毒開始在各磁碟的根目錄下(如c:\ d:\ e:\),開始建立新的autorun.inf及新的病毒,
以確保每個磁碟被讀取時能再次引發病毒執行
4.病毒開始修改使用者電腦中的登錄檔機碼值或新建機碼以變動檔案顯示屬性,
使用者的電腦就有了中毒症狀且具備感染能力~
了解中毒及成為帶原者的步驟之後,再來介紹目前常見的解毒方式及其利弊:
1.防毒軟體解毒:根據防軟公司蒐集到的樣本提取特徵碼,製作成病毒碼供用戶下載,
用戶掃描時會根據此病毒特徵碼比對檔案並進行刪除病毒動作,
好處是對不斷更名的病毒也有一定效用,缺點是萬一防軟公司未蒐集到最新的病毒樣本,則無任何防護作用,
而且大部分防軟在刪除病毒之後並不能修復被竄改的系統
2.批次檔殺毒:隨身碟病毒風行,國內許多會寫程式的熱心人士有感於防毒軟體的無能且有展現功力的機會,
紛紛推出自行編寫的隨身碟專殺程式,而且的確造福了許多電腦中毒的人。
此方法好處是改版快速且大多內建系統修復工具,通常執行完就能解毒且讓電腦恢復正常,
缺點則是以批次檔殺毒須正確掌握病毒位置及檔案名稱,因此新舊版變得很重要,版本不適合就變成了垃圾,
而編寫人員的功力及樣本來源也嚴重影響到程式的功效
3.直接取消電腦的USB裝置讀取功能或自動執行功能:這兩種方法雖然可以有效防止中毒,
但實際上並無關防毒或掃毒,且以喪失功能來換取安全,在此就不多做討論了~
在上述病毒發作過程中我以紅字標出兩個隨身碟病毒必備的流程,
這兩個步驟關係到這隻病毒是否能成功對電腦進行感染及完成其任務,甚至關係到其是否具備再感染的能力,
因此假使能完善監控這兩個動作並即時進行阻擋的動作,理論上應該就能完全阻止隨身碟病毒的感染動作~
或許有人會認為,如果真的這麼簡單,為何防軟公司不能針對具有此動作的檔案都直接進行查殺呢?
理由其實很簡單,具備上述動作的程式不下萬種,我想沒一家防軟公司敢這麼天真直接吧?
因此不管你是使用哪一種防毒軟體,對於此類不斷變種的病毒,大概也只能自求多福了~
HIPS,英文“Host Intrusion Prevent System”的縮寫,中文翻譯有很多種,但我習慣將它稱為"系統防火牆",
因為他的功能跟一般印象中的網路防火牆(NIPS)相當類似,都是針對入侵動作提出警告,
因此稱之為系統防火牆比較貼切~HIPS是個統稱,並不單指某一軟體或程式,也因此網路上的相關軟體不難搜尋,
但繁體中文版則很難找到(頂多中文化),相關介紹我找了兩篇文章供大家參考~
HIPS(程序動作攔截器)規則割裂防護體系 瞭解什麼是HIPS?HIPS有哪些軟體可用?
看完上述文章之後,應該更能清楚明瞭HIPS的功用了吧?當然HIPS不是萬能,
要對付功力高深的駭客可能沒這麼簡單,但應付一般的病毒應該是輕輕鬆鬆啦~
最後要說的是,HIPS軟體大多是要付費的,而且在沒有中文版的情況下,要運用是有點困難的,
而且沒有搭配防毒軟體可能會被一連串的詢問動作煩死,因此我更覺得江民防毒實在是物超所值!!
因為他居然內建中文版的HIPS....不但看得懂還跟防毒結合,
一般的病毒先被江民砍了就不會觸發HIPS,被詢問次數自然相對降低囉~
頁:
[1]