席克資訊

今天有一個使用 NOD32 的客戶發訊息過來, 說有一部電腦中了 Kavo 病毒, 但是已經從網路上找到一個工具處理掉了. 仔細詢問之後得知, 原本 NOD32 持續跳出偵測到 autorun.inf 檔案的警告訊息, 後來執行網路下載的工具之後, 就沒再出現偵測到病毒的訊息了. OK, 從這樣的描述, 多數人應該都會認為狀況已經解除, 而且應該有不少人是使用同樣的方法來解決病毒的問題. 而事實是什麼?

在進入主題之前, 先說一下 Kavo 這個惡意程式. 最近這二個月, 我們公司應該至少處理過上百部感染這個惡意程式的電腦, 而且變種非常多. 如果您是使用 NOD32 的話, 感染到這個惡意程式, 應該會持續看到類似下面的訊息:

或者, 如果您的 NOD32 是設定成偵測到病毒時, 讓 NOD32 自動處理, 那您也可以在 NOD32 控制中心的 “病毒日誌” 中, 看到類似這樣的記錄:

回到主題, 本文一開始提到的狀況, 確實從病毒日誌來看, 已經未發現持續偵測到 autorun.inf 這個檔案. 但事實是, 這個惡意程式仍然存在於該部電腦中. 這其實也是大多數使用者判斷是否中毒的依據, 當防毒軟體未發出病毒的警訊時, 便認定系統是安全無毒的. 以這個案例來說, 當我們的技術支援人員透過席克線上支援系統連上該部電腦, 一檢查便發現 Kavo 病毒並沒被清掉. 後來我們手動找出所有的惡意程式之後, 才確認問題已經解決.

也許您會有疑問, 那為什麼後來沒再出現偵測到 autorun.inf 這個檔案? 因為前面提到從網路下載的工具, 執行後會刪掉 autorun.inf, 並在同樣的位置建立了 autorun.inf 的資料夾, 所以病毒無法再重新產生 autorun.inf 的檔案. Windows 系統不允許有相同名稱的檔案及資料夾. 這裡有二個問題, 一是病毒的作者似乎未考慮週詳. 建立 autorun.inf 檔案之前, 應該先檢查是否有同名的資料夾, 如果有的話, 先刪掉再建立該檔案. 另一個問題是, 建立 autorun.inf 資料夾來避免病毒建立 autorun.inf 的檔案, 這樣的方法是否恰當? 會不會反而誤導了使用者, 而誤以為病毒已經解決, 就如這個例子一樣.

另外, 您是否還有個疑問, 那為什麼這部電腦的 NOD32 沒有警示其他的惡意程式檔案? 很簡單, NOD32 看不懂. 任何一套防毒都沒有辨法達到百分之百的偵測率, 因此都有機會遇到偵測不到的情形. 除了依靠防毒軟體, 也許還需要有人來處理, 就像這個例子一樣.

您的系統真的沒有病毒嗎? 或者只是防毒軟體誤導的假象?

本文張貼於 星期五, 10月 26th, 2007 at 5:01 pm 並分類為 文件, 防毒. 您可以透過 RSS 2.0 feed 來追蹤任何的迴響. 您也可以 留下迴響, 或從您的網站 引用通告(trackback).