前幾天用了公司的電腦讀取了隨身碟,回到家中用 Mac 一看,哇勒,這不是 forever.exe 嗎?在去年二月時曾經讓公司幾乎每台電腦都中毒的玩意,怎麼這回又出現了呢?我記得之後電腦幾乎重灌處理,而且也把有毒的隨身碟給收好不用,怎麼會…等等?
話說為什麼安裝的時候要用 ClamAV Portable 呢?主要的原因還是 AntiVir 的安裝程式容量太大了,如果每一台要掃毒的電腦都要安裝一個 AntiVir 實在不方便,因此改用可以裝在隨身碟內自由複製的 ClamAV Portable 要方便多了。
USB Virus Scan是本次「實驗」中發現最好用的軟體,掃描時間不過 3 分鐘,又能有效地掃出病毒跟阻止二次感染。不過它沒辦法很乾淨地把所有 USB 病毒清走,一些躲在深層資料夾的病毒就可能被忽略,最後還是得靠防毒軟體幫忙。
同事:「喔,前幾天要傳檔案沒有東西裝,只好把那個有病毒的隨身碟拿出來用,沒想到又中毒了(抱怨)」
我:「⋯」
當我在網路上搜尋時注意到幾件事情
- 號稱解毒軟體的程式,本身可能是更大的垃圾程式
- Google 排行第四名的文章就是我的…,但我無解啊!
「不過既然文章都寫了,我也應該負點責任繼續研究下去,反正我也沒什麼事情做(噓,別張揚)。」
▲ 遇到問題時卻只能自助,此時是又驕傲又悲哀 XD
病毒出現的癥狀
- 最明顯的就是 USB 的 autorun.inf 被抽換,內容為自動播放 forever.exe 去感染電腦
- 為了避免你察覺,它會還變更隱藏檔案設定,讓你就算設定成顯示隱藏資料依然看不見 autorun.inf
- 電腦被感染之後,主要會在 Windows 資料夾(%WINDIR%)自我複製
- %WINDIR%\system.exe
- %WINDIR%\userinit.exe
- 為了避免使用者利用線上掃毒,它會順便抽換 %SYSDIR%\drivers\etc\hosts 檔案,讓你無法連結掃毒網站
- 其他的資訊留給 AVIRA 解釋什麼是 TR/Spy.69632.390 病毒
我怎麼知道隨身碟中毒了
- 拿到一台 Mac 或 Linux 電腦檢查
- 關閉電腦自動播放功能,使用命令提示字元(cmd)用指令檢查有沒有 autorun.inf。參見高登所寫的《USB 隨身碟讀不到,怎麼辦?》
解決辦法
和去年不一樣的一點,我沒有使用中研院開發的 Wow! USB Protector ,其中一個理由能是它的資料庫更新日期一直沒有再推進,一直停留在 2011年9月。取而代之的是一款名叫 USB Virus Scan 的軟體,軟體玩家曾有介紹過,可惜這套是付費軟體,在 Limited Version 下只能進行掃描不能清除病毒。準備軟體
- KavoKiller(清除 autorun.inf 使用,對 forever.exe 無效)
- USB Virus Scan(試用版只能拿來做偵測,完整版可以掃毒)
- AntiVir 或 ClamAV Porable(掃毒軟體,以上兩個),不過根據 virscan.org 的報告,AntiVir 或 ClamAV Porable 對於 system.exe、userinit.exe、forever.exe、Romantic.exe 都可偵測;ClamAV 對 userinit.exe 就沒辦法。
Step by Step
- 使用 KavoKiller 刪除 inf 檔,恢復看不見隱藏檔案的設定
- 安裝 USB Virus Scan 進行掃描。完整版可在此階段找出 system.exe、userinit.exe 和隨身碟第一層資料夾的 autorun.inf 與 forever.exe
- 用 USB Virus Scan 的 FixSystem 修復被更改的系統設定
- 使用 AntiVir 掃描病毒,或使用攜帶版的 ClamAV Porable 來掃描都行
- 前一步驟完成後,病毒應該都被掃光,由 USB Virus Scan 負責長駐,未來插入 USB 隨身碟時都會先幫忙掃毒,避免再次中毒。
感想
話說為什麼安裝的時候要用 ClamAV Portable 呢?主要的原因還是 AntiVir 的安裝程式容量太大了,如果每一台要掃毒的電腦都要安裝一個 AntiVir 實在不方便,因此改用可以裝在隨身碟內自由複製的 ClamAV Portable 要方便多了。
USB Virus Scan是本次「實驗」中發現最好用的軟體,掃描時間不過 3 分鐘,又能有效地掃出病毒跟阻止二次感染。不過它沒辦法很乾淨地把所有 USB 病毒清走,一些躲在深層資料夾的病毒就可能被忽略,最後還是得靠防毒軟體幫忙。
額外加映:《USB 病毒造成 Explorer.exe 無法正常開機》
Tags
玩電腦