Virus menyelinap melalui autorun dan recycler |
Apabila saya dan kawan-kawan membuat hardening atau troubleshoot komputer kakitangan Skali ada kes-kes mengenai virus yang tersebar melalui pemicu USB atau pemicu cakera CD berlaku.
Virus-virus dari luar terutamanya pendrive akan memasuki pc setelah dicocok di plug USB atau pembaca CD-ROM.
Contoh senarai benda asing dalam pendrive:
1. Autorun.inf
2. New Folder.exe
3. Bha.vbs
4. Iexplore.vbs
5. Info.exe
6. New_Folder.exe
7. Ravmon.exe
8. RVHost.exe
9. Images.bat
Untuk melihat senarai semua fail termasuk yang hidden dan system anda boleh mencuba CMD prompt berikut:
dir/w/o/a/p
Antara cara virus ini masuk adalah melalui fungsi Autorun dalam Windows kita.
Justeru itu ada beberapa langkah atau cara untuk menutup fungsi autorun atau menghalang kemasukan virus dari drive luar.
1. Mematikan Fungsi Autorun/Autoplay (Turn OFF drive AUTORUN)
- Pergi ke Start Menu > RUN (Windows +R)
- Taip “GPEDIT.MSC”
- Pergi USER Config> Admin Templates> System
- Di panel kanan, double click pada TURN OFF AUTOPLAY
- Tukar nilai ENABLED & pilih ALL DRIVES dari combo box
- Ulang semula proses tersebut untuk TURN OFF AUTOPLAY option dalam COMPUTER Config> Admin Templates> System
2. Menetapkan Software Policy Restrictions
-Buka GPEDIT.MSC
-Pergi ke Computer Configuration> Windows Settings > Security Settings
-Klik Kanan tetikus pada Software Restriction Policy & pilih Create New Policies. (Sekiranya pilihan itu tidak ada hanya buka/expand path SRP tu.)
-Klik kanan tetikus pada Additional Rules dan pilih “NEW PATH RULE”
-Masukkan drive letter pemacu usb anda & set SECURITY LEVEL as Disallowed dan klik Apply.
Ulang semula langkah diatas untuk setiap USB drive bergantung mana-mana port usb drive yang ada di pc anda.
Sekarang semua fail-fail executable (*.exe, *.bat, *.cmd, *.vbs, *.scr) yang ada dalam usb drive akan dihalang dari dijalankan (execution).
Sekiranya anda ingin menjalankan fail-fail tersebut dari usb drive, copy aplikasi itu dalam pc iaitu local drive anda.
3. Menghalang Aplikasi Virus dari Menghasilkan Autorun.inf dan folder RECYCLER.
Dalam Windows, untuk menghalang fail dihasilkan pada satu direktori adalah dengan membuat folder dengan nama fail tersebut, daan untuk menghalang nama folder dihasilkan adalah dengan membuat nama fail sama seperti nama folder.
Pendek kata, fail digunakan untuk melawan folder dan folder digunakan untuk menghalang fail.
Contoh fail myskali.txt tidak akan dapat dibuat sekiranya ada folder dengan nama myskali.txt.
Contoh folder myskali tidak dapat dibuat sekiranya ada fail myskali.
Jadi, kaedah ini dapat digunakan untuk menghalang ada aplikasi yg cuba menyelitkan fail autorun.inf dan folder RECYCLER.
Untuk menghasilkan fail tersebut hanya perlu:
1. Membuat folder bernama autorun.inf (untuk menghalang file autorun.inf dihasilkan)
2. Membuat fail RECYCLER (untuk menghalang folder RECYCLER dihasilkan)
Berikut arahan CMD promt yg mudah:
attrib -r -s /s /d autorun.inf
attrib -r -s /s /d RECYCLER
del autorun.inf
del RECYCLER
md autorun.inf
md autorun.inf\con
md autorun.inf\con\aux
md autorun.inf\con\aux\nul
echo. >NUL 2>RECYCLER
attrib +h +r +s +a /d autorun.inf
attrib +h +r +s +a /d RECYCLER
(pastikan anda sudah cd ke driver media yang ingin dilindungi itu atau anda boleh buat fail .bat)
Arahan diatas menyebabkan fail dan folder itu hilang pada pandangan dan bersifat read-only.
Pembuatan folder CON, AUX dan NUL adalah untuk memastikan folder CONFIG.INF tidak boleh didelete secara suka-suka.
Sebabnya nama-nama berikut memang tidak boleh dibuat melalui kaedah biasa kerana dah reserved untuk system:
CON Keyboard and display
PRN System list device, usually a parallel port
AUX Auxiliary device, usually a serial port
NUL Bit-bucket device
A: sehingga Z: Drive letters
COM1 First serial communications port
COM2 Second serial communications port
COM3 Third serial communications port
COM4 Fourth serial communications port
LPT1 First parallel printer port
LPT2 Second parallel printer port
LPT3 Third parallel printer port
Cuba anda buat nama folder dengan nama diatas. Folder dengan nama diatas hanya dapat dibuat melalui commad prompt atau hasilan Linux.
4. Menggunakan Aplikasi anti-Autorun atau USB Virus Remover
Di internet terdapat banyak pembuat aplikasi yang membantu anda untuk mengatasi masalah virus dari storan media USB.
Berikut antara yang dpt saya senaraikan:
http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
http://research.pandasecurity.com/panda-usb-vaccine-version-1-0-1-4/
http://www.autorunremover.com/download.html
Saya telah sertakan 3 aplikasi dalam satu fail download:
http://mir.cr/1BOXQUJ1
Sekian. Wahuallam..
Panda USB Vaccine |
Autorun Virus Remover |