USB卸除式裝置病毒(隨身碟病毒)研究

ref:http://scream.csie.ncku.edu.tw/music/index.php?/archives/793-USB.html

將這幾天針對USB卸除式裝置病毒(隨身碟病毒)的研究，
寫成下面比較像地球人閱讀的文章。
歡迎大家詳細閱讀這篇文章，
如果有任何錯誤請多多指教。

一、感染途徑
當USB卸除式裝置插入電腦時，會載入系統並自動運行，
如果該裝置的根目錄包含"Autorun.inf"檔案，
將會根據該檔案的內容「自動」指向其它檔案，
大部分是*.exe的病毒執行檔。
因此，若無防毒軟體加以阻擋，
病毒極容易執行，並且輕易地將惡意程式、木馬等駭客程式植入系統內。

二、症狀
1. 將USB卸除式裝置插入電腦後，點兩下無法正常開啟，
必須按右鍵點選檔案總管間接地開啟。
2. 若電腦的資料夾設定選擇檢視隱藏檔案及資料夾，
可發現裝置內增加許多不明檔案或資料夾，如"Autorun.inf"、"RECYCLER資料夾"等。
3. 根據病毒變異特性，以及綑綁其它惡意程式和木馬的能力，會產生不同的症狀，
如選單文字含亂碼、系統時間自動變更、瀏覽器(IE)不正常運作、跳出不明網頁(通常是導向包含木馬的網頁得以植入更多駭客程式)。

三、解決及預防方法
目前網路上的惡意程式千百種變異無常，沒有防毒軟體保證擁有百分之百的阻擋能力，
且自發現新變種病毒至防毒軟體釋出新病毒定義檔會有空窗期，
因此，除了被動依賴防毒軟體阻擋外，養成良好的使用習慣是更重要的。
以下方法提供大家作為參考

1. 群組原則設定

開始→執行→鍵入"gpedit.msc"→確定，
在群組原則視窗中，選擇「電腦設定」→「系統管理範本」→「系統」，
點選右方窗格「關閉自動播放」，選擇「已啟用」，
下方的下拉式選單「停用自動播放在」，選擇「所有磁碟機」。

2. 修改登錄檔

開始→執行→鍵入"regedit"→確定，
至HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer，
NoDriveTypeAutoRun的值變更為0×000000FF。

至HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，
NoDriveTypeAutoRun的值變更為0×000000FF。

重新開機。

3. 預置相同檔名

利用作業系統檔名唯一性，在裝置的根目錄新增一資料夾，名稱為"Autorun.inf"，
但是變異性的病毒仍有可能有能力覆蓋預先新增的資料夾。

4. 變更開啟動作

除了使用以上關閉病毒「自動」執行的方法以外，
開啟裝置時，按右鍵開啟取代點兩下開啟，
若按右鍵後選單包含自動播放的選項，
代表該裝置內含病毒，請盡速使用防毒軟體移除之。