這幾天忙著到處跑當然不可避免的也會使用USB
隨身碟從[ 家裡--辦公室--客戶 ]這三方互相COPY
資料,沒想到自己從事[ 資訊安全 ]相關產業,竟
然自己沒注意到這隻近期最流行的[ USB 隨身碟
病毒 ( KAVO.exe & ntdelect.com ) ]。
造成自己所屬電腦交互感染,吾深以為戒,特此收集相關資料公告週知。
影片:插入USB隨身碟感染
kavo 隨身碟病毒樣本 :
http://www.pczone.com.tw/vbb3/thread/28/136268/
ntdelect 隨身碟病毒樣本 :
http://www.pczone.com.tw/vbb3/thread/28/136806/
影片:使用 WinPE 檢查確定感染
什麼是Win PE:
感染症狀:
1.除了網路磁碟機外,會在每個可以有效寫入的磁碟機代號的根目錄( \ ) 處寫入
autorun.inf、ntdelect.com 兩個檔案,並將檔案屬性設定成唯讀、
隱藏、系統。病毒檔 ntdelect.com 與 XP 系統檔 ntdetect.com 檔
名類似。中間的 l 與 t 僅一個字母的差異。誤刪系統檔的話會不斷重新
開機。
檔名小寫時:病毒檔 ntdelect.com ;系統檔 ntdetect.com
檔名大寫時:病毒檔 NTDELECT.COM ;系統檔 NTDETECT.COM
2.在 C:\Winddows\System32 中,留下三個駐留檔案,分別是 kavo.exe、
kavo0.dll、kavo1.dll 三個檔案,並將檔案屬性設定成唯讀、隱藏、系統。
那個 KAVO.EXE 則是仿知名的防毒軟體 KAV 而來,實際上防毒軟體 KAV 的
執行檔不見得就是 KAV.EXE 而是其他的檔名。
3.在系統登錄檔寫入病毒相關資訊。
登錄檔的寫入資訊請參閱:[ 討論 - 有關於 kavo.exe & ntdelect.com 病毒 ]
影片:使用批次檔移除
Auto Run 病毒 & kavo 病毒 自動清除執行檔下載位置:
http://www.stjh.tcc.edu.tw/uploads/temps/antiviurs/del_kavo.rar (來源:台中縣立順天國中)
http://www.hatea.com.tw/tech/files/DelAutorun-Virus.bat (來源:裕笠科技)
http://super999.googlepages.com/kavo_killer.zip (來源:MOS認證網)
http://super999.googlepages.com/delautorun.zip (來源:MOS認證網)
檔案原始來源請參閱:
[ 行動碟「autorun.inf及ntdelect.com」病毒解除方法 ]
[ Auto Run 病毒 & kavo 病毒自動清除執行檔 ]
USB 防範方式:
其他相關參考資料:
討論 - 有關於 kavo.exe & ntdelect.com 病毒
行動碟「autorun.inf及ntdelect.com」病毒解除方法
