擷取自 http://domynews.blog.ithome.com.tw/post/1252/39128
可移除式硬碟是現今惡意軟體最普遍的傳染帶原途徑。破壞程式經由這些帶原媒介孳生擴散至載具上,感染更多的使用者。使用者需要採行反制動作來保護系統。方法之一就是保護可移除式硬碟免受破壞程式使用Autorun自動執行功能。
最普遍的保護法是開啟一個檔案夾或檔案,並將之重新命名為AUTORUN.INF。此動作會讓惡意軟體在使用者未執行動作的狀況下能自動執行系統。如果在感染前就已先製作這樣的一個檔案,原則上是會讓破壞程式無法以此方式自動執行。
不過這個方法並不完善。破壞程式會偵測並刪除現存的AUTORUN.INF,並以惡意版本的檔案取代。這就讓使用者自己進行的防護失去效益。但是如果使用檔案"授權許可"(file permissions)方式來限制變動,那麼就可以更加有效地保護AUTORUN.INF檔。
注意:務必確認你的外接式硬碟是以NTFS來格式化的,因為這個程序使用的是特殊的NTFS功能。如果你的可移除式硬碟是以FAT或FAT31來格式化的,就需要先將硬碟上所有的資料先行備份,再重新以NTFS來格式化。這些動作將需要配合Windows Vista或Windows 7。
在可移除式硬碟的根目錄上製作一個新的檔案夾,將之命名為“AUTORUN.INF”。
在同一個位置上製作另外四個檔案夾,分別命名為“recycle”,“recycler”,“recycled”,和“setup”。
注意:recycle,recycler,recycled和setup這四個檔案夾的製作並非必要,但建議使用者製作,因為這些檔名也經常被惡意軟體所使用。
開啟一個命令執行字元(command prompt,cmd.exe),進入可移除式硬碟的根目錄中。使用以下的DOS指令將檔案夾歸類:
attrib autorun.inf /s /d –a +s +r
圖1、設定檔案夾屬性
使用以下的DOS指令來設定檔案夾的特權等級(privilege leve):
cacls autorun.inf /c /d administrators
圖2、設定檔案夾的特權等級(privilege level)
在出現“Are you sure(Y/N)”(確定,是/否)時,選擇‘Y’然後按壓enter鍵。
要測試時,可以嘗試刪除,修改,重新命名,複製或開啟檔案夾。如果無法執行以上任何一種功能,就表示此程序成功了。
圖3、當使用者刪除所製作的檔案夾時,系統所出現的訊息提示
除了上述的程序外,使用者也可選擇使用硬體的防護方式。某些可移除式硬碟配備有外部開關,可預防裝置被覆寫。這可防止惡意軟體對硬碟進行任何設定的修改,包括AUTORUN.INF檔案。不過因為這類的開關會造成不便,使用上述的程序仍是比較好的選擇。
Trend Micro趨勢科技過去曾在部落格中報導過利用可移除式硬碟來繁衍的主要威脅:
Autorun Worm Invades ZIP(自動執行破壞程式入侵ZIP壓縮程式)
The Mess that is WORM_DOWNAD(DOWNAD破壞程式造成混亂)
Belated Odinga Campaign(過時的Odinga競選活動)*Odinga肯亞總理Raila Odinga
只要保護好你的可移除式硬碟,就可以避免讓此些威脅繼續繁衍。
@慶祝全新版本上市,趨勢科技 推出「PC-cillin 2010防毒USB限量盒裝版」,每一限量盒裝版都將提供內建長達一年期趨勢科技USB防毒軟體 (Trend Micro USB Security) 的紀念版隨身碟,讓PC-cillin 2010與防毒USB隨身碟能為消費者提供全方位軟硬兼施的雙重安全防護!PC-cillin 2010一套軟體可安裝在3台電腦上
@原文來源:How to Maximize the Malware Protection of Your Removable Drives
@欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪
留言列表