作者:劉醇瑞
 

駭客利用漏洞進行攻擊的事件頻傳,同仁們也顯得十分在意。藉著Judy的提問,小劉和小戴詳細說明了病毒運作的原理,並提供自保之道。

Judy 「最近Google揚言退出中國的新聞鬧得沸沸揚揚,從Gmail帳號被入侵,牽扯出間諜和駭客事件,簡直比連續劇還要有張力。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張侃侃而談:「中國對於網路方面的監控與限制,向來與Google的『Don't be Evil』企業文化大相逕庭,這次的事件成為壓倒駱駝的最後一根稻草。雖然佩服Google的堅持,但企業畢竟是為了獲利而存在的,因此我認為最有可能的結局是,達成某種協議或放棄部分業務,但不太可能如媒體早先報導的全面退出中國。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「你們知道嗎,這次的事件是透過IE瀏覽器的一個漏洞,而且屬於針對性的入侵。攻擊者先準備一個利用此漏洞的網頁,再透過郵件或即時訊息發送網址給特定對象,只要搭配我們曾提過的一些手法,輕易就能讓受害者點選,進而感染木馬程式。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy 「哈,果然每個人吸收資訊的角度都不同呢。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「要預防這種漏洞引起的攻擊,只能藉由軟體的更新修補對吧?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「基本上是如此,但許多修補程式都是在漏洞被發現利用後,原廠才開始著手研發,在完成之前就會存在一段空窗期。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Judy 「怎麼聽起來比H1N1還複雜,那萬一不幸遭到攻擊,防毒軟體又沒有攔截,電腦中了木馬該怎麼辦?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

小戴 小戴笑著說:「喔,Judy妳可丟出了一個大問題。每個病毒、木馬的手法都不相同,小劉可能會解釋到今晚回不了家。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「我們還是先從一些概念講起吧。現今電腦病毒多由利益所驅動,主要目的在竊取資料及作為犯罪跳板,因此在運作的過程中,反而不像早年的病毒會進行破壞行為,而是著重於隱匿蹤跡以延長寄宿時間。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy提出疑問:「一般遇到程式異常時,重開機不是都可以解決嗎,為什麼這招對病毒無效呢?」

病毒運作流程
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「從圖表中就可以了解,病毒在運作之後,會寫入下次開機執行的設定,進而形成一個循環。這也表示,對受害電腦而言,除了硬碟中會多出病毒檔案之外,同時某些系統的設定也被變更了。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「反過來說,只要阻斷這個循環之中的關鍵點,就能阻止病毒囉。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 小劉點點頭:「一般的情況下,只要移除病毒檔案或開機設定其中之一,下次開機後病毒就無法繼續運作。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「這邊說的開機設定,應該不僅僅是『開始』-『程式集』-『啟動』那邊吧。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「在Windows之中,微軟設計了名為登錄(Registry)的特殊資料庫,用以存放系統及應用程式的相關設定。登錄的架構類似檔案總管的目錄結構,都是以樹狀的方式呈現。我們可以透過『開始』-『執行』-輸入『regedit』-『確定』,開啟登錄編輯程式。」

登錄編輯程式畫面,顯示出登錄的樹狀結構
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy抱怨:「這看起來好複雜唷,一般人哪知道要修改哪裡呢!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴趕緊解釋:「其實就算是IT人員,也不可能完全了解登錄的所有內容。但最起碼,使用者可以試著學習這個工具的操作。舉例來說,2009年曾引起一陣波瀾的Conficker病毒,微軟當時就發佈了一篇警訊,只要會操作regedit這個工具,就能按照指示檢查並移除病毒。」

微軟編號KB962007警訊擷取
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 小劉一邊操作:「像我們剛談到的開機啟動設定,實際上散佈在登錄各處不易管理,因此微軟提供了一個方便的工具。可以從『開始』-『執行』-輸入『msconfig』-『確定』,開啟系統設定公用程式,用勾選的方式就能決定開機啟動的程式。」

系統設定公用程式,可簡化啟動登錄的管理,
將可疑項目的檔名記下,並透過搜尋引擎尋找說明

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴補充:「雖然這個工具親和許多,不過Judy應該還是有相同的疑問。一開始我也弄不清楚該如何判斷,於是就先將檔名記下,透過搜尋引擎其實很容易就能找到相關說明,進而判斷該程式是否為必要。多操作幾次之後,對於合法的系統程式會越來越熟悉,相對的,也就能夠更快專注於檢查那些陌生程式。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「看來這個概念就類似白名單,也就是懷疑所有不熟悉的程式。不過一般人由於久久才操作一次,可能無法像小戴一般記得哪些是正常程式。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「這時可以搭配一些方法輔助,例如在你電腦運作正常的時候,先把這個啟動畫面抓圖下來,當電腦中毒時,就能透過比對方式找出差異的項目。如果來不及抓圖,也可以另外找一台乾淨的電腦交叉比對。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴比手畫腳:「接下來就可以在硬碟中找出剩餘可疑檔案,上傳到VirusTotal網站進行掃描,以進一步確認其安全性,同時透過msconfig工具,取消不安全或不必要的程式載入,並重新開機。更棒的是,這個工具的作法是『停用』而非『刪除』,因此隨時都能夠再予以啟用。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小劉 「管理開機登錄設定是一門重要的課題,除了病毒之外,有許多合法程式也常濫用此功能,造成電腦速度越來越慢,而使用者往往束手無策。熟悉這類工具的應用,就能夠排除關鍵的問題點,避免走上重灌之途。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 

重點整理:

定期更新雖然簡單有效,但許多修補程式都是在漏洞被發現利用後,原廠才開始著手研發,在完成之前就會存在一段空窗期
一般的情況下,只要移除病毒檔案或開機設定其中之一,下次開機時病毒就無法繼續運作
阻止病毒在開機時載入的步驟:
1. 利用msconfig工具,列出開機時會啟動的程式
2. 將啟動項目中的檔名記下,透過搜尋引擎尋找相關資訊,進而判斷該程式是否為必要
3. 排除系統及合法程式後,在硬碟中找出剩餘可疑檔案,上傳到VirusTotal網站進行掃描
4. 透過msconfig工具,取消不安全或不必要的程式,並重新開機
   
經濟部中小企業處 主辦 中華民國資訊軟體協會 執行

Copyright © 2008 Information Service Industry Association of R.O.C. All Rights Reserved.
版權所有,禁止侵害,違者必究