2008年9月22日 星期一

防治病毒感言-kavo

終於有人跳出來敢說可以對附隨身碟病毒

USB病毒讓許多使用者和MIS頭痛不已,因為它防不勝防,殺了又中、中了再殺,無止盡的變種病毒更讓防毒軟體防不勝防。 許多人認為抓不到病毒是防毒軟體的原罪,於是尋求其他的解決方案。但在之下,這些方法真的有效嗎?本文將帶你深入了解USB病毒的危害、手法及防禦之道。

去年,USB病毒的主要目的是竊取線上遊戲的帳號和密碼,針對其目的而言,如果使用者本身沒有玩線上遊戲,這些病毒並不會帶來多大的損失,頂多只是看不到系統的隱藏檔,系統效能被拖慢一些。但在病毒持續變種之下,除了竊取帳號密碼,還會破壞網路裝置(網路中斷)、無法進入安全模式、停用防毒軟體、無法執行某些程式…。當到這個階段,使用者才會感到麻煩大了。

在病毒感染的初期,使用者大多不知情,因為他們只是插入USB隨身碟存取資料。防毒軟體更新後,順利的偵測出病毒,一切又恢復正常。可惜好景不常,病毒作者一直改寫新的病毒,演化出破壞力更強大的病毒。加上它變種的速度比病毒碼更新的速度更快。當你更新完防毒軟體,可以偵測到病毒時,又有新的變種出現。

我們整理一下,當電腦遭受USB病毒感染後,可能會出現以下症狀:
網路裝置元件故障:導致無法上網及更新病毒特徵碼
破壞作業系統:導致程式執行發生錯誤、系統當機(BSOD)、系統日期錯誤
破壞防毒軟體:導致防毒軟體無法運作,或部份元件無法執行
解毒後可能無法直接開啟磁碟機,系統會詢問要以何種應用程式來開啟。或是出現程式執行錯誤的提示訊息。


如果發現電腦有上述症狀,建議立即中斷網路連線(拔除網路線),在確認安全之前,絕對不要使用此電腦登入帳號及密碼,以免被竊取。並且在解毒之後,立即變更密碼。




預設下,當電腦偵測到USB裝置時,Windows系統會自動尋找並執行autorun.inf,進而執行其他應用程式。而病毒也就是利用這個特性來感染。從2006年開始,USB病毒的原型就已經現身,它使用的技術簡單、破壞力也不大,並沒有引起太大的討論。

二年時間過去,它已經不再只是使用單一技術與手法,而是混合多種技術來保護自己不被發現和清除,例如看門狗、自動隱藏、自動更新、社交工程…等。而感染管道也不僅只是USB裝置,它可以透過多種管道來危害你得電腦安全,例如網路磁碟、電子郵件附件檔或檔案。

為了讓使用者更了解USB病毒的感染和擴散方式,以下是我們針對USB病毒(Trojan-GameThief.Win32.OnLineGames.saro、Trojan-GameThief.Win32.Magania.ypk、Trojan-GameThief.Win32.OnLineGames.arvf)進行的分析:

第1階段:木馬程式開始執行
1.在tmep資料夾產生DLL格式的木馬程式。
2.替換系統驅動程式檔案vga.sys,造成防毒軟體元件損毀,無法進入安全模式。
3.產生隱藏屬性的檔案,例如:
windir\system32\kxvo.exe
windir\system32\kxvoX.dll(X為累加數)
4.kxvoX.dll插入explorer.exe執行程序,並持續惡意行為。

第2階段:IExplorer.exe自動下載惡意軟體
1.IExplorer.exe自動下載木馬程式ff.exe至 temp 下,此惡意軟體經常變種,名稱為Trojan-GameThief.Win32.OnLineGames.xxxx。
2.IExplorer.exe會持續在 temp 路徑刪除與建立ff.exe。

第3階段:ff.exe自動執行
1.ff.exe執行後會破壞防毒軟體,或造成某些元件無法運作。
2.替換系統驅動程式檔案tdi.sys。遭替換的tdi.sys檔案會造成網路裝置無法使用,在撥接上網時出現錯誤代碼769。
3.產生隱藏屬性的檔案,例如:
windir\system32\j3ewro.exe(Trojan.Win32.Vaklik.xxx)
windir\system32\jwedsfdo0.dll(Trojan-GameThief.win32.OnLineGames.xxxx)
4.新增登錄檔,以便在登入系統後自動執行惡意軟體。
5.當jwedsfdo0.dll插入explorer.exe執行程序後,由jwedsfdo0.dll持續惡意行為,ff.exe即停止運作。

第4階段:IExplorer.exe自動下載惡意軟體
1.IExplorer.exe自動下載木馬程式cc.exe至 temp 路徑,此惡意軟體經常變種,名稱為Trojan-GameThief.Win32.OnLineGames.xxxx。
2. IExplorer.exe會持續在 temp 路徑刪除與建立cc.exe。

第5階段:惡意軟體藉由explorer.exe執行程序進行惡意攻擊
1.刪除temp路徑下ff.exe惡意軟體。
2.持續修改登錄檔,藉以隱藏惡意檔案。
3.新增登錄檔:當使用者透過「我的電腦」開啟任何磁碟區(包含隨身儲存裝置)時,就會觸發惡意軟體執行。
4.持續在磁碟根目錄刪除與建立autorun.inf及39ysi89.com。

第6階段:cc.exe自動執行
1.如同ff.exe,cc.exe會下載tdi.sys並置換。
2. 產生隱藏屬性的檔案,例如: windir\system32\kxvo.exe (Trojan-GameThief.win32.Magania.xxx)
windir\system32\kxvoX.dll (Trojan-GameThief.win32.Magania.xxx)
3.新增登錄檔,以便在登入系統後自動執行惡意軟體。
4.當kxvoX.dll插入explorer.exe執行程序後,由kxvoX.dll持續惡意行為,cc.exe即停止運作。

第7階段:惡意軟體會在開機時自動啟動及更新




由於病毒持續的變種(透過網路下載新的變種病毒),防毒軟體需要持續更新資料庫,才能偵測出最新的病毒。但是在樣本回報和病毒碼釋出前的空窗期,防毒軟體並無法偵測新的變種。加上它能中斷網路(無法更新)和破壞防毒軟體(無法掃毒),所以坊間出現不少專殺工具和「民俗療法」。

如果正常的醫療管道沒有效果,中國人習慣採用民俗療法。對抗USB病毒的狀況也很類似。新變種、看法狗、停用防毒…等病毒手法,讓使用者不堪其擾,我們收集了網路上流傳的各種治療偏方,請參考下表:


網路偏方 效果說明
建立Autorun.inf資料夾
停用Autorun功能 部份有效 可以暫緩病毒發作。新的變種病毒會先刪除舊有的Autorun.inf資料夾或檔案,或是自行啟動Autorun功能。
建議移除該資料夾安全性頁籤中的所有使用者及群組,才能防止被竄改。
按住 Shift 鍵開啟隨身碟 無效 只能關閉Autoplay,無法關閉Autorun。
在隨身碟上按右鍵開啟檔案總管 部份有效 透過「我的電腦」去點選,仍會遭感染。若正確地透過「檔案總管」來開啟,則不會感染。
啟用隨身碟的唯讀功能 無效 若是隨身碟已感染病毒,只要能執行,就可以感染作業系統。
軟體限制原則 部份有效 能阻止病毒從USB裝置擴散,但無法防範從網路磁碟或郵件附件檔執行。
禁用USB裝置 部份有效 能阻止病毒從USB裝置擴散,但無法防範從網路磁碟或郵件附件檔執行。
USB病毒專殺工具 短期有效 若未定期更新,只能清除舊病毒。而且工具來源不一定安全。
正規療法 效果說明
一般防毒軟體 部份有效 只能偵測已知病毒。
啟發式分析 部份有效 能偵測部份未知病毒,需持續更新規則才能偵測新變種。
HIPS防護軟體 部份有效 需設定正確的規則,才能夠防止病毒執行,設定上較複雜。
KIS 2009有效 具備防毒、啟發式分析及HIPS功能,可有效防護USB病毒。


從上表來看,一些網路偏方根本沒有效果,另一些則只能治標無法治本,即使「禁用USB裝置」,仍然會感染病毒。USB病毒專殺工具的優點是能夠很快速解毒,但效用並不長,大概只有2週的生命周期,病毒作者就會更改新的檔案名稱,或利用其他手法。

目前比較可行的防禦方式是使用HIPS,在病毒執行時就加以阻擋,但對一般使用者而言,設定上比較繁鎖。而內建HIPS功能的KIS 2009,則是由系統自動將程式分類,建立專屬的存取規則,可以很方便快速的就擋下USB病毒。




你也許會問,為什麼防毒軟體無法提供有效的防護呢?
其實答案很簡單。防毒軟體屬於被動防護,必須要有病毒特徵碼,才能偵測與解毒。當病毒樣本未被分析之前,防毒軟體就無法偵測。加上病毒都是小區域暴發(之前是全球大規則暴發,較易收集樣本),根據卡巴斯基實驗室的統計,與台灣相比,中國就較少出現這類型的病毒。

防毒軟體能否解毒的關鍵因素為,是否已經病毒樣本,並將病毒特徵碼(包含偵測及解毒方式)加入病毒資料庫中。為了有效解決USB病毒(KAVO),並且快速收集未知病毒的樣本,奕瑞科技提供USB病毒的解毒與樣本收集工具-NGS(New GetSample),希望透過社群的力量,一同對抗惡意軟體。

使用者只要點選此工具,即可刪除已知的惡意物件,並將可疑物件壓縮加密,請將桌面上的VirusSample.rar寄回奕瑞科技客服信箱:techsupport@kaspersky.com.tw 。





此專殺工具由奕瑞科技提供於正版使用者,若您有需求可透過e mail,寄至客服信箱:techsupport@kaspersky.com.tw

來信敬請附上您的「使用者名稱」、「序號」;若您是企業用戶,敬請附上「公司名稱」、「統一編號」、「聯絡人以及聯絡方式」



奕瑞科技提供的NGS工具,將會檢查系統狀態,並執行下列動作:

步驟1、檢查系統開機模式,並提示進入安全模式
在安全模式下,只會載入必要的程式和服務,可避開「看門狗」,並能直接刪除檔案。建議在安全模式下進行解毒工作。

步驟2、清除電腦中IFEO資料
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

步驟3、清除惡意物件
依照清單的內容,清除已知的惡意物件。在清除物件前需停止某些程序:
1. 停止電腦中的處理程序[StopProcess]
2. 停止並刪除系統服務[DelService]
3. 停止並刪除系統驅動[DelDrivers]
4. 刪除特定登錄檔[DelRegValue]
5. 收集特定檔案並且刪除之[DelSpecFiles]

步驟4、檢查磁碟機根目錄是否有Autorun.inf,及附屬其中的執行檔
若偵測到Autorun.inf及其附屬的執行檔,均會加以刪除。


步驟5、修正顯示隱藏檔的登錄檔
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001

步驟6、重設hosts檔案為預設值
127.0.0.1localhost

步驟7、呼叫卡巴斯基防毒軟體掃描啟動物件

步驟8、確認是否重新啟動電腦

NGS的處理過程會記錄在使用者桌面的gvslog.txt檔案中,可疑樣本會壓縮加密為VirusSample.rar,而卡巴斯基防毒軟體的掃瞄記錄即儲存在autoscan.log。


未來,隨著雲端運算的發展,樣本的收集和分析速度將會越來越多。透過Kaspersky Security Network服務,卡巴斯基的產品將能更快速的識別新威脅,並減少針對新安全風險所花費的時間。該服務收集選定的安全和應用程式資料,將它們上傳到卡巴斯基實驗室進行分析,以便確定新的威脅和它們的來源,並協助提高使用者的安全性和產品功能。




預防感冒的最佳方法是均衡飲食、時常運動、注意衛生;預防中毒的最佳方式,則有以下幾點:
不要因為一時的好奇心,而任意開啟或執行來路不明的檔案。
在開啟檔案之前,建議先以防毒軟體進行掃瞄。
定期更新防毒軟體、並執行完整掃瞄。
選擇具備主機型入侵防禦系統(HIPS)的安全防護軟體。

沒有留言:

張貼留言