KAVO隨身碟病毒 介紹及防止方法
KAVO病毒會怎麼普及,主要因為:
1. 利用Windows 自動執行功能,將儲存設備(隨身碟、MP3、記憶卡..等),放入這檔案”Autorun.inf”,作業系統會依這檔案的內容,進行基本的設定,像磁碟的圖示,儲存碟右鍵後的功能設定,自動執行預設的檔案,KAVO就是利用自動執行檔案這功能,做為執行病毒及傳染的媒介。
2. 儲存裝置的普遍使用,手機、相機、隨身碟、MP3、記憶卡,都是KAVO病毒拿來做傳染的裝置,只要將有感染KAVO病毒的隨身碟,插入有安裝Windows 作業系統的電腦,就會依照病毒所改寫的Autorun.inf內容,來執行預設的Kavo病毒檔案,讓個人電腦被感染病毒,當另一個新的隨身碟插入後,個人電腦在對新隨身碟進行感染,反覆感染到其他儲存設備上。
3. 無立即性的影響,KAVO病毒,主要被拿來當成木馬的功能,潛伏到個人電腦中,竊取特定的資料,或著被有心在遠端進行操控,一般中毒後,電腦不會有明顯異常發生,電腦無異常錯誤發生,自然不會去留意,是否已感染了病毒。
Autorun.inf 淺談
Autorun.inf,不是病毒,是拿來給作業系統,在執行自動執行這功能時,拿來做為設定上的參照使用,最初是為了方便,常見的像光碟片放進去後,就會參考Autorun.inf的內容,執行預設的檔案,跳出選單或安裝訊息,在磁碟、隨身碟、記憶卡,也使用這方式來執行預設的檔案。
大部份的Kavo病毒會在磁碟區下創建autorun.inf這個檔案,也會在內容中加入,一些亂碼,讓人覺的這內容看不懂,就自然不去在意。
只有紅色框框內的內容,才是autorun.inf會使用到的。
open=執行檔案。
範例:oper=utcn8c 63.exe,當儲存裝置插入或被開啟時執行utcn8c 63.exe檔案。
Shell\1\Command=執行檔案。
Shell\1\Command=utcn8c 63.exe,對磁碟區圖示點右鍵,功能表第一個選項點擊後執行utcn8c 63.exe。
KAVO基本檢查方法:
1. 點選開始-à執行(視窗鍵+R),輸入CMD,將命令提示字元打開,輸入”dir/w/ah/as” ,/ah 查看隱藏檔 /as查看系統檔。
如果有發現這檔案,表示有98%中了隨身碟病毒。
2. 系統無法開啓,看隱藏檔或系統檔的選項。
將隱藏保護的作業系統檔案的勾系移除,和不顯示隱藏的檔案和資料夾,選擇顯示所有檔案和資料夾。
套用後關閉資料夾選項,在重覆第一個動作,開啓資料夾選項,如果發現剛才更改的顯示系統檔和隱藏檔,被改成隱系統檔和不顯示隱藏檔,表示99%中毒了。
3. 有異常的情況發生:
(1) 即時通訊無法使用。
(2) 開網頁時好時壤。
(3) 使用電腦常跳出錯誤訊。
(4) 電腦執行速度明顯變慢。
(5) 電腦容昜當機。
清除隨身碟病毒及防止方法。
1. 使用KAVO_Killer程式,將目前常見的KAVO病毒刪除,及不能修改顯示系統檔和隱藏檔的設定修正,也可以在各碟碟下新增autorun.inf的目錄,防止病毒的執行和傳染。Kavo_Killer程式下載點如下。
2. 安裝防毒軟體,小紅傘、AVG、AVAST……等,安裝防毒軟體後,對磁碟進行全面性的掃毒,
3. 若有發現可疑的檔案,可以上傳到下面網址,進行多個防毒軟體,去掃瞄上傳的檔案是否為病毒。
4. 將每個隨身碟和記憶卡,建立Autorun.inf的資料夾,最好在Autorun.inf目錄下在建立一個123.目錄防止病毒將Autorun.inf砍掉後,複製自已寫好的utorun.inf檔案,CMD(命令提示字元)新增Autorun.inf指令如下:
CD\ (回到最底層(root)C:\)
D: (C:、D:、E:….等,選擇磁碟代號)
MD autorun.inf (建立autorun.inf資料夾)
CD autorun.inf (進入autorun.inf資料夾)
MD 123..\ (建立123..\目錄)
補充:如果要刪除123.目錄,要退到底層(root),執行RD /S autorun.inf指令,/S表示autorun.inf下的資料夾和檔案一併刪除。
5.使用Wow! USB VirusKiller 這軟體,會在每次放入或插入的儲存設備時,做一些基本的檢查,查看是否有KAVO或其他隨身碟病毒。下載位址如下,選擇第二個中文版即可。
沒有留言:
張貼留言