[隨身碟病毒] 第二話 使徒本質!!

系列文章:
[隨身碟病毒] 第一話 使徒來襲!!
[隨身碟病毒] 第二話 使徒本質!!(本篇)
[隨身碟病毒] 番外篇-隨身碟病毒檢測法

上篇提到十一使徒(隨身碟病毒)

首先,我們當然要先認識侵害我們手上Evangelion的第十一使徒:

我們都知道文中的十一使徒=隨身碟病毒,但是為甚麼會針對隨身碟呢?一般病毒不是應該就是直接入侵到.exe或是office檔案裡面,跟著一起執行?那為什麼還要叫做「隨身碟病毒」?


這個,就要牽扯到一個叫做autorun.inf的檔案,也許你不認是他,但是你一定用過它:
有沒有印象以前(現在可能沒有)買了遊戲回來,光碟一放進去光碟機,就會自動執行一些程式?那就是autorun.inf的功能!!autorun.inf本來的設計就是為了方便使用者拿到光碟以後可以快速上手,本意當然是好的,而且從Windows 98就開始了,那時主流的儲存媒體裝置:軟碟、CD片,軟碟染毒太容易發現-讀取聲音很大;CD片又只能唯讀(讀取也要特定軟體)。所以autorun.inf看起來不至於造成任何威脅

圖片講解:

相信很多人對於類似以下的畫面應該都多少有印象吧?光碟插入以後不需要動用到鍵盤/滑鼠就可會出現這樣子的視窗:
紅色警戒二的自動播放

而我們在光碟片上面按下右鍵可以發現,自動播放已經被改成預設動作,也就是你點兩下光碟其實也會去執行自動播放程式
右鍵選單

而我們也可以很明確的看到這裡光碟裡面有一個叫做autorun.inf的檔案,也就是罪魁禍首

然而,電腦發展極為迅速,再USB出來以後,儲存媒體除了軟碟、CD、DVD以外,隨身碟、隨身硬碟都紛紛出來了。這些裝置不像光碟一定要用特定的燒錄軟體才能寫入資料,也不像軟碟機速度慢慢慢,大家當然愛用阿!!從16MB、512MB、1GB、16GB甚至32GB也是有人賣。

隨身碟固然方便,但是別忘了上面才講完autorun.inf可以讓光碟一插入就執行軟體,那隨身碟呢?是的,隨身碟也不是問題。而且如果autorun.inf只有這樣子,關掉自動播放就沒事啦。可惜……autorun.inf實在太強大,除了上述的功能外,還可以修改儲存裝置在我的電腦裡面的右鍵選單,像是呆呆翰手上的「紅色警戒2」,右鍵預設的項目就已經被改「自動播放」,而不是用檔案總管瀏覽這片光碟的資料。

問題出來啦,autorun.inf可以讓你點兩下你的光碟、隨身碟、硬碟時,去執行特別的程式檔,光碟資料不能改,但是隨身碟呢?隨身碟病毒就是利用autorun.inf來觸發病毒執行檔的。

圖片講解:
在這張圖,呆呆翰寫了一些內容到autorun.inf隨身碟裡面的autorun.inf,結果如下:

如果你跟觀察夠仔細,會發現:本來應該存在的「開啟」這個選項竟然不見了!!沒錯,呆呆翰已經把開啟給取代成了「十一使徒入侵模擬」,如果這隻病毒心機稍微重一點,改了以後名字繼續叫做「開啟」,那又要有很多無知的使用者上當了呢!!

這也是為甚很多人隨身碟會跳出「開啟檔案」的視窗。因為本來被指定要去執行的程式不見了,所以windows當然要問你怎麼開啟啦~而這種狀況通常都是發生在電腦裡面的防毒軟體可以偵測到使徒本體,卻沒把autorun.inf一起刪除所造成的。解決方法留到下一頁吧

圖片說明:
在放入模擬的autorun.inf以後,呆呆翰在將目標檔案給小小的改名,就出現了這樣的視窗:
Windows:你要怎麼開啟H:\這個檔案呢?

這種情況的造成相當的簡單,防毒軟體砍掉了病毒主體,但是沒把共犯-autorun.inf一併砍掉,所以造成你點兩下這個隨身碟/隨身硬碟/硬碟/記憶卡出現了這樣子的詢問視窗。當然你可以把這顆裝置拿到沒有A.T.Field的電腦將autorun.inf刪除,就可以獲得解除

你說就這樣?當然不是!!使徒有A.T.Field,我們的隨身碟病毒當然也會有阿
為了不要讓你發現你的Evangelion已經被使徒入侵,這裡的第十一使徒會展開A.T.Field讓你永遠看不到隱藏檔,然後再把他的病毒主程式跟autorun.inf統統設定隱藏,這下子就有了「虛假檢驗」的效果了,這病毒心機很重,對吧?但是也是因為如此,我們通常都會檢查電腦中是否存在A.T.Field來判斷這台點腦有沒有遭到入侵,詳情請洽翻外篇(施工中)

如果隨身碟病毒只有這樣子,我們可以利用國產的Wow Usb Protector或是類似的軟體來進行阻擋。

當然不夠,還記得動畫裡的第十一使徒剛開始很怕臭氧,在nerv開始大量釋放臭氧之後,反而開始把臭氧轉換為本身的能量。

是的,在新世紀福音戰士裡面的使徒會進化,隨身碟病毒也是有在進化的。

這篇連載暫時先打到這裡,下一篇開始介紹防不勝防的進化版十一使徒

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *