2008 技術通報 - USB病毒防治要點
一、 何謂USB病毒
病毒透過USB可攜式裝置散播,受感染的電腦在各磁碟機會產生autorun.inf檔案,當使用者在磁碟機的圖示上點兩下,便會執行autorun.inf與病毒檔案,倘若在受感染的電腦上使用USB可攜裝置,便會將病毒檔案與autorun.inf複製到USB裝置內,當該裝置插入其他電腦使用時,因為自動播放功能會自動執行autorun.inf,病毒便可再次感染其他電腦
二、 USB病毒特性
常見的病毒檔案為kavo.exe、ntdelect.com、kavo1.dll(1可能為其他數字)、ubs.exe,並在各磁碟機下產生autorun.inf檔案,而autorun.inf通常為隱藏檔。感染病毒後系統無法勾選顯示隱藏檔的選項,藉以避免使用者發現病毒檔案。
三、 如何恢復系統設定
當防毒軟體刪除病毒檔案後,因為autorun.inf依舊存在在電腦,使用者會無法使用點兩下的方式瀏覽各磁碟機,會出現以下圖示:
要解決上述狀況,必須刪除autorun.inf。
四、 解決方案
1. 少數用戶端處理方式-KAVOREMOVE.zip:
將kavoremove.zip檔案解壓縮至暫存資料夾,解壓縮密碼為novirus,解壓縮後請進入安全模式後依序執行下列檔案
a. kavoremove.exe
此檔案會刪除下列病毒檔案:
●所有磁區的autorun.inf、ntdelete.com、ntdelect.com
●%windir%\system32\下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe、kavo0~9.dll、taso0~9.dll
●%windir%\system\ 下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe、kavo0~9.dll、taso0~9.dll
●Documents and Settings\Administrator\Local Settings\Temp\*.*
●%windir%\temp\下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe
b. Fixreg.exe
此檔案會刪除病毒產生的機碼,執行之前請先備份機碼
c. 恢復隱藏檔機碼.exe
執行該檔案可修正系統無法選取顯示隱藏檔的功能
2. 大量用戶端處理方式-DCT999
若您公司內部有大量電腦均感染USB病毒且需要刪除autorun.inf,請您部署版本號碼為999的DCT,請先備份原本的DCT檔案,包含tsc.exe、tsc.ini、tsc.ptn,路徑位置如下:
C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin
部署步驟如下:
a. 將tsc_999.zip解壓縮至上述路徑取代原先檔案,解壓縮密碼為novirus
b. 請將C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\Touch\Tmtouch.exe複製到C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin資料夾下
c. 開啟命令提示字元視窗(cmd),切換到C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin執行下述指令:
tmtouch tsc.*
d. DCT999會自動部署到用戶端,且OfficeScan Client會自動重起即時掃描服務
當您選擇部署DCT999之後,請確認用戶端均恢復正常,然後請您務必還原原始的DCT版本,還原的步驟如下:
a. 將原先備份的tsc.exe、tsc.ini、tsc.ptn複製回C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin資料夾下
b. 再次開啟命令提示字窗,切換至C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin路徑下執行下述指令:
tmtouch tsc.*
c. 原本的DCT版本會自動部署至用戶端,OfficeScan Client會自動重起即時掃描服務。
d. 請右鍵點選右下角工作列中的心電圖圖示選元件版本確認DCT版本是否正確
最後 趨勢科技建議您設定病毒爆發防範策略防止USB病毒相關檔案寫入系統
啟用病毒爆發防範策略的方式 請參閱技術通報 - 如何啟用OPP防護病毒攻擊
文章定位:
