淺談隨身碟病毒 (10/06/22更新)

 

起源

自從某次中了隨身碟病毒,掃瞄不出來就乾脆後重灌系統,但硬碟仍舊無法開啟後我和這傢伙結下了不解之緣~
雖然這已經是有點年紀的病毒種類,但個人覺得對於普通上班族跟學生而言它的危害性和常見性遠高於其他種類的病毒,因此,特地在此整理出對於它相關的一些資料和防治方法。

在講解前要先聲明,autorun 跟 autopaly 是不同的東西,autoplay 一般叫做自動執行,它是當 windows 發現到有新的裝置連線後會跳出的引導程序。autorun 則叫做自動啟動,跳過點擊執行檔直接執行,舉個例子,WindowsXP 的安裝光碟一放入電腦中,會跳出"您希望用哪個程式開啟"的視窗,這即是 autopaly;而開啟我的電腦,直接點擊光碟機的話,則會跳過進入光碟的動作直接啟動XP的安裝程序,這就是 autorun。

若覺得文字太多不想看;或想直接看最速方法,不含下載時間大約只花你1分鐘的,請直接跳到總結~

此文章分為幾個部份:
一、病毒原理解說:被盜用的 autorun.inf
二、病毒預防(一):向自動執行說不:KB971029、讓 Windows 把Autorun.inf 視為安裝資訊檔、限制 NoDriveTypeAutoRun、停用 “Shell Hardware Detection" 服務、修改MountPoints2的權限
三、病毒預防(二):幫隨身碟打免疫針:設置無法被刪除的 autorun.inf 或同名資料夾。
四、殺毒軟體:介紹 EFix 腳本編輯使用方式
五、進階:自訂美美的資料夾吧!利用對 desktop.ini 的自訂來觀察隨身碟中是否藏有病毒。
六、總結

一、病毒原理解說:被盜用的autorun.inf

我們先來看看 autorun.inf 的內容到底是什麼:

[autorun]
icon=shell32.dll,13 (隨身碟圖示,可以是.ico、.bmp、.dll、.exe等等)
label=text(隨身碟的名稱)
open=cmd.exe (隨身碟點兩下時直接啟動的檔案)
shell\open=Me(右鍵選單中的名稱(若是病毒的話,很可能就是"開啟"or"檔案總管"等)
shell\open\command=cmd.exe (點選test1選項後要執行的檔案,若是非執行檔ex:.txt,那就要在檔名後多加個"\"再指定用來開啟的檔案)

而 autorun.inf 只在裝置的根目錄下有用(根目錄就是最上層目錄,在我的電腦內直接將隨身碟點兩下進去的地方就是了)
原先是給 CD 和 DVD 安裝軟體時使用,讓人不用在光碟內複雜的目錄找安裝檔,可以讓你直接對光碟機圖示點兩下或右鍵找出選項來輕易完成安裝。

那麼,讓我們看看隨身碟插入電腦後電腦所做的一連串動作吧!

這邊引用網友FYI的解說圖(我重繪過)看看微軟如何把簡單的功能用複雜的流程呈現(笑)

插入隨身碟後:

插入隨身碟後

 

打開我的電腦後:

打開我的電腦後

由上面的內容可知,點兩下中毒、按著 shift 再開啟也中毒(這只是跳過autoplay 而已)、對著隨身碟右鍵檔案總管也會中毒(這時右鍵選項中的檔案總管其實是已經被 autorun.inf 替換掉,但要在其他地方開啟檔案總管(ex:win+e),利用+號跳過就不會執行autorun.inf!!!~)

而另一種常見的傳播方式,會將隨身碟根目錄下的所有檔案隱藏,再創建同檔名而圖示為資料夾(XP版舊圖示,還沒看過vista版的~)的病毒檔案(ex:登山照片資料夾.exe),雖然只要看看副檔名或在 xp 以上 windows 版本就可以知道是病毒,但大多數人仍然是XP+隱藏副檔名…

此種病毒對於非資料夾的處理方式有幾種,有創建捷徑後把檔案隱藏,但捷徑是指向病毒;一種是刪光光(囧…雖然大多是只是隱藏或不理睬~);Office 類的話有看過圖示和檔案屬性為 office 文件但副檔名是.exe(可參考這個樣本)

中毒隨身碟

這些偽裝自己的病毒雖然有些蠢且好解決(不要點它們並 delete光光即可),但仍要當心!不過可以簡單的使用下面第二章介紹的"6. 只顯示 .exe 的副檔名(新增)"來解決這個問題!

而病毒在隨身碟中,只會把自己複製在根目錄中(不用擔心其它子目錄被入侵),並且設置隱藏和系統屬性;所以要看到它們,你必須在"工具-資料夾選項-檢視"中取消"隱藏保護的作業系統檔案"跟"顯示所有檔案和資料夾"。

若覺得每次都要層層按入太麻煩(我個人平時都是把隱藏作業系統打勾的,覺得隨身碟有問題時才解除檢查),可以在視窗的標準按鈕列按右鍵-自訂,可用按鈕拉到最下面有個"資料夾選項",點它一下再按新增即可。
自訂工作列

二、病毒預防(一):向自動執行說不

要說明的一件事,我所說的"預防"並非指不會中毒,而是讓病毒不會"隨身碟圖示點兩下就中",讓你可以安心的打開隨身碟在去做查殺的動作!!而分成兩部份的電腦端和隨身碟端,是做兩道防線用,避免其中之一被破解時兩邊同時失效這樣。
雖然說大部分原理都不簡單,但執行一次後永遠受用~何樂不為?
一般來說選其中一像操作就能達成預防的效果了,我這人是使用方案5,但選擇什麼又怎麼做下一步就看您自己的想法了。

1.KB971029
效果:

硬碟機: Autorun 有效。  卸除式媒體裝置: Autorun 終止。  Autoplay: 有效
微軟的更新,取消執行卸除式磁碟機的 autorun.inf,但光碟機的仍能用:KB971029

2.讓 Windows (csrss.exe) 把 Autorun.inf 視為單純的安裝資訊檔:NOAUTRUN.REG
以下方法來自於 Nick Brown’s blog: Memory stick worms
任選一即可!

A.下載 NOAUTRUN.REG 後雙擊匯入。
A’.將以下內容貼到純文字檔案(.txt)後將副檔名改成.reg匯入!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

機碼NOAUTRUN
保險點這個方案還須要再搭配3來用!

3.限制 NoDriveTypeAutoRun:DisableAutorun.reg
效果:

硬碟機: Autorun 終止 。卸除式媒體裝置:Autorun 終止 Autoplay 有效
NoDriveTypeAutoRun是在某次微軟的更新後修改它才有用!(目前僅知2008/03/25前修改這個沒用)
任選一即可!

A.下載 DisableAutorun.reg 後雙擊匯入。
A’.將以下內容貼到純文字檔案(.txt)後將副檔名改成.reg匯入!

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoDriveAutoRun"=-
“NoDriveTypeAutoRun"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
“NoDriveAutoRun"=-
“NoDriveTypeAutoRun"=dword:000000ff
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
“NoDriveAutoRun"=-
“NoDriveTypeAutoRun"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
“Autorun"=dword:00000000

這個我個人還沒做完整測試!故先保留自己看法。

4.停用 “Shell Hardware Detection" 服務
效果:

硬碟機: Autorun 有效。 卸除式媒體裝置: Autorun 終止 Autoplay: 終止

A.在"開始-執行"中輸入 services.msc
B.雙擊 Shell Hardware Detection,將它停用並把啟動類型改為停用。

Shell Hardware Detection 服務

這個因為影響廣泛,所以有些網友並不推薦將它停止!

5.修改MountPoints2的權限
效果:

硬碟機: Autorun 終止。 卸除式媒體裝置: Autorun 終止 Autoplay 有效

任選一即可!

A.下載iamcj製作的這個批次檔,解壓縮後執行cjDisableAutorunInf.bat

A’.到"開始-執行"中輸入regedit,開啟登錄編輯器。
B.找到機碼:
HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2
2000的話是
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints
C.點選該機碼,按右鍵選擇「使用權限」。
D.新增使用者 Everyone。
E.將使用者 Everyone 的完全控制權限設定為「拒絕」,選取套用,確定警告視窗後離開。

MountPoints2的權限

因為 MountPoints2 影響範圍尚無定論,怕誤擋其它功能所以也有網友不推薦它,但我這樣改了2年到現在還沒遇到什麼明確問題,所以我覺得還OK!

6. 只顯示 .exe 的副檔名(新增)

面對偽裝行隨身碟病毒,最好的方法是打開顯示副檔名,但對很多人來說這樣子其實是不小的困擾,所以有人寫出了這個批次檔,讓系統只顯示 .exe 的副檔名,這樣子就算病毒偽裝成資料夾也可以很輕易看出來!!

下載這個,解壓縮後執行"顯示EXE.bat",解除的話只要執行"NO顯示.EXE.bat"即可

三、病毒預防(二):幫隨身碟打免疫針

因為在 windos 端 autorun.inf 的操控複雜,所以我們乾脆利用微軟所規定的資料夾內不可有兩個同檔名文件這項規定讓病毒無法創建它的 autorun.inf。

目前沒有任何免疫是能完全預防的,想想看,你能新增一個資料夾或檔案,反向進行你就能刪除它,病毒當然也可能做得到……所以本機的安全保護也要做好!

要聲明!插到有毒的電腦仍會將病毒複製進來,但至少在安全的電腦中可以簡單的點兩下打開隨身碟,開啟後解除隱藏系統檔案後盡情殺毒!!

1.同名資料夾
使用 USBCleaner 設置無法被刪除的 autorun.inf 資料夾,官方網站
單純的設同名資料夾並改為唯讀已經沒用了!現在絕大多數的病毒會先清除同名資料夾的資料夾屬性後照刪不誤,所以得依靠某些程式的特殊功能(雖然很多程式號稱的免疫也只是單純的創建唯讀資料夾而已……)
USBCleaner 是在 autorun.inf 資料夾內設置另一個特殊資料夾,再藉著讓此資料夾的檔名和真正的檔名不同來達成無法刪除!以我長期使用的經驗,目前似乎還沒有病毒能成功刪掉它(頂多是資料夾屬性被消除、解除隱藏及系統而已);但我最近測試,使用 XueTr 是能刪除成功的!!可見以後還是可能被破解。
USBcleaner免疫

2.無法被刪除的 autorun.inf 文件
此方法轉載自 PCZON 的 FYI 網友,但在我手邊的三台電腦和兩款隨身碟上都無法重現,若有人知道詳細的發法,希望能和大家分享一下:

在卸除式磁碟建立無法刪除或變更的 Autorun.inf (FAT16/FAT32),方法是從磁碟的 Directory Table 找到 “AUTORUN INF" 進入點,然後將第12 個位元組,也就是檔案屬性(00ADVSHR),原來是0x20,代表 Archive, 改成 0xE5 或 0xE2,按照小弟的實驗,以上技巧在於設定未定義(公開)的位元(Bit6, Device),導致作業系統無法存取 Autorun.inf (存取被拒),這個方法不但可以愚弄 Windows XP,也可以通過磁碟檢查,這就達到為卸除式磁碟打預防針的目的,實在是一個聰明的辦法,當然結果並非完全免疫,而是免於自動執行,操作步驟如下:

A.以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 “AUTORUN.INF" (大寫)
B.開啟 Tiny Hexer
C.點選 “File -> Disk -> Open drive…"
D.選擇卸除式磁碟代號, “Load" 輸入 “64″ -> OK, 數字愈大, 讀取愈快,但可用空間會更小…
E.按下 Ctrl-F, 輸入 “AUTORUN INF " (有兩個空格), “Find text" 打勾, 點擊 “Find"
F.點擊 “Yes to All"
G.找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零
H.紀錄標題所顯示的 “sectors" 起始位置
I.關閉檔案, 重新載入, “Load" 輸入 “1″, “First sector" 輸入以上起始位置 , OK
J.找到目標後, 將 “AUTORUN INF " 改成 “AUTORUN INF@"
K.儲存並退出隨身碟
L.重新插入隨身碟, 嘗試讀取, 更名或刪除 “AUTORUN.INF"

這邊再提供CCF論壇的LeoDou網友的另一個方法:

用 Winhex 打開優盤,定位到 AutoRun.inf 文件,可以看到文件後面是一個空格,中間也是一個空格,試了一下,改中間的空格不行,這樣文件名就改了,把後面的空格(20)改為 (E5)——成功。
文件名沒改,但這個文件刪不掉也沒法改名!

winhex

以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備。

四、殺毒軟體:介紹 EFix 腳本使用方式

我並不是很想推薦常駐行的隨身碟病毒安全軟體,畢竟一天下來頂多插拔個十幾次,每次使用前都要等十幾秒掃瞄。為了這少少的使用結果平時得浪費資源在常駐軟體上實在不划算!!若不常駐而每次插入時才開啟掃瞄那花更久的時間(還有可能忘記…)!!

與其這樣消耗電腦資源、浪費時間和降低操作便利性還不一定擋的住病毒,到不如花點時間在預防上還更加值得。

那中毒的話呢?怎麼殺??很可惜的是我只相信手動殺跟 EFix(爆)

以下只是我個人的經驗,當然每個人遇到的狀況可能都不太相同!!

因為其它軟體都常在我可見範圍內失誤;小紅傘、avast和諾頓在沒解除隱藏系統資料夾的狀況下常常掃不到毒,雖然說解除就掃的到了但都已經花時間去解除了乾脆手動殺算了…avg測試還不夠久不敢下定論,usbclerner、Wow! USB VirusKiller 被我淘汰了…都已經是專殺還查不到病毒實在不應該!,而卡巴則是少數有效的防毒軟體(至少在這幾年中還沒看他出包過)(撇頭推薦)但我很討厭它對於inf完全不分析,管它是預防是自己設定還是中毒見了就砍的機制…

若要防禦很強大的話,Wow! USB VirusKiller是很不錯的,雖然有殺不到毒的經驗,但還沒遇到它擋不下autorun.inf過(雖然得讓它一直長駐就是了。)
要是中毒而且舊防毒掃不掉的話,目前免費軟體中只有 EFix 還沒讓我失望就是了~

手動以後再補充(逃)

在此要補充舊版的 EFix 的腳本功能,若是你自己查出病毒位置但防毒認不出來,可用這個功能手動殺,但若非真正瞭解自己在做什麼的,作者強烈反對你使用此功能!以下轉自作者的介紹:

Script
File:
Reg:

其中 Script 是腳本啟動程序,沒這段文字腳本是不會執行的請務必注意
再來是 File:
File 這一部分是裡面是你要刪除的檔案
比如像下面:

File:
C:\Windows\system32\1.exe
C:\Program Files\debug\12345678.dll

類似像上面的寫法,注意萬用字元不可使用,會有問題

再來是 Reg:
Reg 的寫法和一般直接用 Reg 檔匯入的方式一樣
寫法是這樣

Reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“IMJPMIG8.1″=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“appinit_dlls"=""

上面的 Reg 寫法我說明一下
首先是 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“IMJPMIG8.1″=-
這一段的意思是將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
機碼內的 IMJPMIG8.1 這個字串值刪除,刪除就是用"-"

再來是
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
這一段的話是表示將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
整段機碼刪除,包含底下所有的字串值和子機碼
而 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“appinit_dlls"=""
這一段是表示將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 裡面的 appinit_dll 這個字串值內容變空白但不刪除這個字串值

這樣說應該可以瞭解吧….Reg 的登錄檔寫法大致上是這樣
以上面的範例來看所有寫完之後的文字範本就像底下

Script
File:
C:\Windows\system32\1.exe
C:\Program Files\debug\12345678.dll

Reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“IMJPMIG8.1″=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“appinit_dlls"=""

就會變成像上述文字的格式
ok….這時就到 EFix 資料夾內部執行 Runthis.bat 這個檔案

當執行完畢之後 EFix 資料夾內會產生兩個檔案,一個為 Reg.txt,一個為 File.txt
其中 Reg.txt 的內容為

Reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“IMJPMIG8.1″=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
“appinit_dlls"=""

File 的內容為
File:
C:\Windows\system32\1.exe
C:\Program Files\debug\12345678.dll

發現了嗎?就是 Script 腳本裡面的 Reg 和 File 部分分離了
這時腳本程序就已經完成

再來就是在執行一次 EFix,就可以發現報告多了
move file c:\windows\system32\1.exe ==> c:\efix\backup\files\c\windows\system32\1.exe.vir
如上面這一類的
這就表示腳本內的檔案成功觸發了
但由於這邊刪除檔案是使用 Movefile 的關係,所以必須要重新開機之後檔案才會被刪除

基本上腳本的使用方式大致就是這樣…以後可能會改或新增,但大致上的使用方式就是這樣
有興趣自己來的可以試試,但對登錄檔不熟的人請勿輕易嘗試以免造成無法彌補的遺憾。

五、進階:自訂美美的資料夾吧!

自訂desktop.ini 觀察隨身碟中是否藏有病毒。


花了大量的時間總算讓電腦和隨身碟都預防好了(在此使用製作資料夾方式)(雖然實際操作不用2分鐘~),但要是讓病毒複製進來總覺得讓人不爽,每次要刪除都得解除來解除去的花時間檢查,要是沒檢查結果點到了那種偽裝自己成資料夾的病毒那麼又前功盡棄……。有沒有方法讓人能"隱藏系統資料夾又能觀察的到有沒有中毒"呢?那就是這個章節要介紹的啦~~

先講解個和 autorum.inf 有點像的東西 desktop.ini!
來看看它的內容:

[.ShellClassInfo]
IconFile=(資料夾圖示位置,支援絕對路徑,可省略硬碟名稱 ex:\Windows\system32\SHELL32.dll)
IconIndex=0
[.ShellClassInfo]
[{BE098140-A513-11D0-A3A4-00C04FD706EC}]
Attributes=1
IconArea_Image=(資料夾背景圖片位置,支援絕對路徑)
IconArea_Text=(資料夾內字體顏色,不輸入即為黑,RGB色碼 ex:黑色 0x00FFFFFF藍色0x00FF0000青色0x0000FF00紅色0x000000FF紫色0x00C000C0)

[AveFolder]
IconArea_Image=(vist版資料夾背景位置,不支援絕對路徑!!!)
ShadowedText=1(字體陰影)
Recursive=0(字體顏色)
TextR=0
TextG=0
TextB=0

把這個改好放在"系統"資料夾內,即可有個人專屬美化的資料夾囉~
囉唆一堆…重點在這"系統",要讓 desktop.ini 有作用的資料夾必須有"系統"屬性!
想起了沒??
沒錯~就是利用病毒會把 autorun.inf 資料夾的屬性給砍掉的特性;我們可以先自訂 autorun.inf 資料夾的圖示(背景什麼都是改好玩的~,ps.win7不支援背景!),若有病毒嘗試進入隨身碟創建autorun.inf,那麼這個 autorun.inf 資料夾系統屬性就會消失變回普通的圖示,如此一來就可以知道有病毒在隨身碟中了!(若本機預防作和隨身碟免疫都沒被破解,就算防毒軟體掃不出,手動砍一砍就夠了~)
若我們事先先把隨身碟中的資料夾通通都設定成漂亮的圖示,遇到那種"偽裝自己"的病毒也立刻現形(因為病毒只會偽裝成預設的資料夾圖示…真正的資料夾就被隱藏起來了)!!
資料夾美化

附帶一提,病毒只會影響根目錄中的資料夾,所以其它子目錄就不用修改了(除非你愛美XD)

那嚜,最關鍵的"系統屬性"怎麼設呢??

怕麻煩可以去下載 Attribute Changer,安裝這個程式後對資料夾右鍵選單中會多出個 “Changer Attributes…",點選它就會看到進階的資料夾屬性設定,包含可以設定唯讀、隱藏、保存、系統、壓縮、索引(由左上到右下),還可以修改資料夾創見、修改日期等等;在此我們只需要將系統前面的筐筐打勾(按兩下)。
Attribute Changer設定屬性

不想安裝一堆軟體?我們可以利用系統預設的 attrib 指令來做到:

首先按"開始-附屬應用程式-命令提示字元"開啟 CMD
輸入以下內容後按 ENTER
Attrib +r “你的資料夾路徑"(+r代表增加系統屬性,+s代表增加隱藏屬性;反之亦然)
Ex:D槽裡Autorun.inf資料夾增加系統屬性
Attrib +r “D:\Autorun.inf"

CMD

我個人較喜歡裝軟體,一來我覺得這是理所當然的功能,二來才不用每次從學校拿隨身碟回到家後還要打一堆指令~

在刪除時,不太需要擔心刪到重要的系統檔案(我是說隨身碟喔!!硬碟就不能亂刪!!!)因為從temp到垃圾桶的資料夾還有*.com 預設上通~通不會也不應該出現在隨身碟根目錄中。看到的話,檢查下是不是.exe或是link或是.com等等~反正不是你的就刪啦~

還有,隨身碟的根目錄中最好不要直接放檔案,一則較整齊,二則某些病毒可能會把根目錄中的 office 及 .exe 大砍特砍,三則當看官你要手動殺毒時還要判斷哪些是病毒哪些不是啟不麻煩?。

六、總結

總算結束莫名冗長的講解了(擦汗)
若看官是沒看完資料或看到現在已經把前面忘光光的,讓我直接將重點一次打完吧!(遭毆)(但這些防治方法很多是建立在瞭解原理之上,還是希望各位能多看看~)

  1. 若是不清楚隨身碟中有無病毒且沒做預防,那麼可以用檔案總管的樹狀目錄點"+"跳過自動執行來進入隨身碟內檢查。
  2. 安裝更新 KB971029
  3. 下載 NOAUTRUN.REG DisableAutorun.reg 後雙擊匯入(警告視窗直接確定即可)
  4. 下載 usbcleaner,用它來免疫隨身碟(這裡是我個人提取的本體,除了免疫外其他功能一率無法使用)
  5. 安裝 Attribute Changer,對隨身碟中的根目錄中的 autorun.inf 資料夾 “右鍵-Changer Attributes…" 勾選 system (系統屬性),後下載這個把它解壓縮後的兩個檔案放入 autorun.inf 資料夾中,重新整理後,若是有開啟顯示系統檔案,因該會看到它的圖示變成一個驚嘆號
  6. 以後若是看到 autorun.inf 資料夾變回普通的圖示,那很有可能有病毒潛藏在隨身碟中,解除"隱藏系統檔案"和"顯示所有隱藏的資料夾和檔案"後把不屬於你的東西通通刪掉即可。

美化後的Autorun.inf資料夾

目前隨身碟病毒仍然非常氾濫,但經歷多年了仍然毫無特殊技術且害處一堆的垃圾病毒!(蝗蟲型的、亂砍檔案的、木馬的、刪驅動程式的、盜帳號的、刪掉網路卡驅動的)因此希望能多推廣對它的徹底防禦(希望沒因為打太多成了反堆廣就是了)能稍稍降低這種病毒的威脅!
共勉之~

若此篇文章有錯誤或者無法重現的部分,歡迎提出來討論,若OK我會盡快修正文章~

參考資料:
pczone防毒防駭版8樓17樓23樓39樓40樓48樓

ClassiClub ForuM精品論壇
Autorun.inf Entries
EFix腳本編輯使用方式
indeepnight的IT部落格: 自動執行的測試(Testing Autorun)
Nick Brown’s blog: Memory stick worms

  • 水鬼

    原來隨身碟病毒這麼複雜阿@@"
    感謝指導^_^
    話說…我這輩子只得過Kavo這種低階的病毒=ˇ=
    感謝主!
    ———————————————————————-
    回覆『水鬼』:
    剛剛檢查後台才看到你的回覆(冏),
    基本上Kavo不屬於低階病毒
    2007年的AV終結者,足夠你折騰的- / -..

  • larry

    無意中尋找舊文章時,拜讀了您的文章,獲益匪淺…..
    從您的文章中可以集各家大全,多謝您的分享,打字的手以及尋找、整理文章的腦子,辛苦了…