dllee: 禁能所有磁碟自動播放(含USB隨身碟/光碟機)

IE6, IE5 對不起了 | 主頁 | 網路電視資源整理

March 14, 2009

禁能所有磁碟自動播放(含USB隨身碟/光碟機)

dllee 在天空部落發表於22:38:00 | 　應用軟體

鼓勵此網誌：9　

(不想了解技術細節，只想直接禁能所有磁碟自動播放，可以直接點這裡

)自從 USB 隨身碟病毒流行以來，我自己都沒中過，幫親友及客戶解過不少次的毒。我原本使用的方式是修改 Registry 讓 AutoRun 不自動執行：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

並在每一磁碟建立 autorun.inf 的隱藏目錄。對於出給客戶的機台電腦，我們也都使用相同的方式處理，不過，客戶還是很容易就中隨身碟病毒，表示經過以上方法的處理，仍然是有中毒的機會。

上個月在高登老大家看到「隨身碟的正確使用方法」，文中提到正確的使用方法，我想大部分的問題都是客戶直接使用「我的電腦」去開啟隨身碟，由我的電腦點選隨身碟時，若隨身碟已中 autorun.inf 的毒，則每點一次，等於執行病毒一次。有些 USB 毒還不會幫你開磁碟，導致在中毒時，無法直接點進 USB 磁碟。

即然無法限制使用者的操作，還是得找到方式解決才行。

經過一番努力及實測，總算有了以下結果。

其實，行政院國家資通安全會報技術服務中心在 2008/02/26 就已發佈 USB 病毒的防護建議，各大公家機關及學校都會收到國家資通安全會報技術服務中心所發出資安公告。不過，在官方網站竟然找不到公告連結

以下是我將所找到的資源做個整理，順便附上檔案，以利不時之需。

資料來源: 遠東科技大學計算機中心

國家資通安全會報技術服務中心
漏洞/資安訊息通告

發佈編號	ICST-ANA-2008-0002	發佈日期	2008/02/26 14:18:29
事件種類	其他	發現時間	2008/02/25
通告名稱	USB蠕蟲威脅及防護建議
內容說明	目前使用者經常利用USB儲存裝置(USB隨身碟、大拇哥、USB外接式硬碟機) 進行備份資料或資料傳遞、交換，然而USB儲存裝置具有可能導致散播惡意程式的風險。已知目前有許多惡意程式會利用微軟Windows作業系統中提供之「裝置自動執行(Autoruns)」功能進行散播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕蟲 (USB Worm)」。使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時，可能感染其他電腦。在受感染的電腦上使用USB儲存裝置也可能使正常的USB儲存裝置成為帶原體，進而成為散播惡意程式的幫兇。在技術細節上，「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf檔案，當使用者插入該磁碟裝置，並從桌面「我的電腦」點選進入該磁碟代號時，預設情況下作業系統會自動讀取autorun.inf並執行autorun.inf中所指定的惡意程式，進而使惡意程式感染電腦。關閉作業系統裝置自動執行功能可以降低此威脅的風險，而目前網路上常見關閉作業系統裝置「自動播放」功能的防護方法並無法徹底根絕此威脅的發生。本資安訊息提供另一種關閉裝置自動執行的設定方式供各單位於USB蠕蟲威脅防護之參考。
影響平台	Microsoft Windows XP/2003/Vista
影響等級	高
建議措施	1.可考慮關閉作業系統中裝置自動執行功能，降低USB Worm的散播風險，相關設定方式請參考本警訊之附件說明。 2.關閉作業系統裝置自動執行功能亦可能造成部份使用該功能之正常服務無法正確運作，請參閱附件中之說明。
參考資料	本警訊提供徹底關閉作業系統「裝置自動執行(Autoruns)」功能的設定方法，供各單位參考使用。相關設定方式請參考本警訊之附件說明。
此類通告發送對象為通報應變網站登記之資安聯絡人。若貴單位之資安聯絡人有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw/）進行修改。若您仍為貴單位之資安聯絡人但非本事件之處理人員，請協助將此通告告知相關處理人員。如果您對此通告的內容有疑問或關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。國家資通安全會報技術服務中心 (http://www.icst.org.tw/) 地址：台北市富陽街116號聯絡電話： 02-27339922 傳真電話： 02-27331655 電子郵件信箱： service@icst.org.tw

文中提到的附件，則是在台灣藝術大學電算中心-資訊安全頁面找到

國家資通安全會報技術服務中心（事件編號：ICST-ANA-2008-0002)。
[ 附件下載 PDF ] (2008-02-27)

PDF 檔案的內容節錄：

微軟 Windows 作業系統關閉裝置自動執行(Autorun)功能設定方法

主要原理：

對HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2 機碼之Everyone 的權限進行限制，USB 裝置仍可以正常使用，但不會再執行 autorun.inf 檔中的設定。
以下說明的設定方式只針對目前登入電腦的使用者，若同部電腦下以不同的使用者帳號登入，則須以相同之步驟進行設定。本方法設定後無須重新開機，即刻生效。

以下針對關閉自動執行功能提供二種設定方法，分別為利用工具修改及手動修改：

方法一(利用工具修改)：

本方法適合應用於自動化大量部署，可應用於網域登錄程序檔(Login Script)，於使用者登入網域時自動進行設定。

步驟

1. 下載 Windows Resource Kit Tools - SubInACL.exe 工具。

■ 下載網址：
http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en

2. 安裝完成後，於「開始/執行」中執行 cmd，進入命令列模式。

3. 進入 SubInACL 工具路徑(預設安裝路徑為 C:\Program Files\Windows Resource Kits\Tools。

4. 執行以下指令(如下圖 1 所示):

SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /deny=everyone=f

圖1

5. 按下 Enter 鍵執行，待執行結束，權限修改完畢(如圖 2 所示)。

圖2

6. 修改完成，點選進入光碟或 USB 隨身碟，將不會執行 autorun.inf 檔。

還原設定：

若要回復設定，請輸入以下指令:

SubInACL /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /grant=everyone=f

方法二(手動設定修改)：

( ... 方法二內容略 ... )

關閉裝置自動執行功能可能造成的影響：

1. 依據上述方法設定後，將關閉所有裝置的 autorun.inf 的執行功能，因此包含 CD-ROM/DVD-ROM 在內的裝置也將無法執行光碟片置入後自動執行的功能。

2. 已知目前部份具特殊功能之 USB 隨身碟(如指紋辨識、加密等)，使用 autorun.inf 功能來自動執行必要的應用程式，如經過上述設定後，此類隨身碟將失去自動執行的能力，必須由使用者自行點入隨身碟中執行。

會把方法二略去，是因為已測試過無效，一定要用方法一才有效。

※ 以上說明太過技術，現在簡單的來了

DisableAutoRun.zip (下載檔名會是 149bbb138752cd.zip 因為天空檔名都是亂碼

請見諒)

下載解壓，執行 DisableAutoRun.bat 就等同完成上述方法一的操作。操作後，即使插入含有 USB 病毒的隨身碟，由「我的電腦」去點隨身碟，也可以正常開啟隨身碟，同時不會自動執行病毒程式，這樣一來，只要不自己去點病毒程式，就不會中毒了。

誰推薦這篇文章：

留言 (12) | 引用 (0) | 人氣 () | 轉寄

此分類上一篇:天空網誌由國外連回台灣會當!! | 主頁 | 此分類下一篇:網路電視資源整理

引用 (你可以針對此文寫一篇屬於自己的blog/想法,並給作者一個通告)

引用

留言 (12筆)

12.

那如果已經把 USB 病毒殺掉了呢，不能再裝這個來防備嗎？還是說一定要把系統重灌？

板主回覆:
　
建議在沒中毒的系統下安裝，
才有防備的效果唷 ^__^

不一定要重灌啦 XD
　

潔咪於 2009-04-02 12:22:53 留言 |

11.

最近只要在學校上電腦課，帶回來的隨身碟就老是會掃到病毒。
潔咪也來用看看，看能不能連根拔除~~

板主回覆:
　
已經中毒的系統，還是需要殺毒的軟體來處理，

這篇介紹的方法，主要是給沒中 USB 毒的電腦防身用的唷。

建議在每次重灌完 Windows 後，就使用。
　

潔咪於 2009-04-02 10:28:37 留言 |

10.

*驚*
果然是病毒！
明天去用PC再來好好研究...orz

板主回覆:
　
大姊不是用 Mac，應該沒有自動播放的問題吧...
沒用過 Max 完全不知道狀況 (>////<)
　

天仙於 2009-03-18 08:13:39 留言 |

真是清楚的說明！讚！
借我引用到智谷論壇幫忙解釋給會員們聽
http://www.asia-learning.com/bbs/?fromuser=longson
小弟協助擔任「知識數位通」版主
dllee有空過來幫我們指導一下唷^^

板主回覆:
　
感謝愛用 ^^

話說，我到 http://www.asia-learning.com 找不到您耶...
　

longson1001 於 2009-03-16 09:36:29 留言 |

收下囉！^____^

板主回覆:
　
請慢用 ^^
　

索尼斯於 2009-03-16 09:18:28 留言 |

印象中有老師說
按住shift在插入隨身碟可以不讀取＠＠

板主回覆:
　
沒錯唷，按 Shift 再插入是不會 autorun，
但是按 Shift 插入後，由「我的電腦」去點選隨身碟的目錄，
一樣是中獎 XD 請參考

高登老大「隨身碟的正確使用方法」
http://gordon168.tw/?p=226

使用本文的作法，則可以不用按 Shift，也可以放心自「我的電腦」
去開啟隨身碟，都不會執行 autorun 唷 ^^
　