Phòng chống virus autorun lây qua USB

[game.]

Hiện nay virus autorun lây qua USB đã trở nên quá phổ biến. Cơ chế hoạt động của loại virus này là: tạo 1 file autorun.inf ở thư mục gốc của USB cùng với 1 file thực thi của virus. File autorun.inf có nhiệm vụ kích hoạt file thực thi (chứa mã virus) khi USB được cắm vào máy tính.

Hình minh họa USB có virus autorun
​

Có nhiều tool để chống lại loại virus này như: USB Disk Security, Panda USB and Autorun Vacine, Autorun Remover... nhưng tất cả chỉ có thể loại bỏ được file autorun.inf - điều kiện cần để kích hoạt virus loại này. Ngoài ra, còn có một số phương pháp khác để phòng chống loại virus này như: tạo file autorun.inf giả, tạo folder autorun.inf, dùng tính năng security với NTFS...nhưng cũng không hiệu quả cho lắm và quan trọng nhất là vẫn chỉ loại bỏ file autorun.inf của virus (chưa hiệu quả lắm). Đối với những người dùng máy tính bình thường - với họ, dùng máy tính tương đương với việc double click - thì các biện pháp trên cũng coi như bỏ.

Qua quá trình dùng máy tính và tiếp xúc với loại virus này, tôi thấy có thể dùng policy của windows để phòng chống virus USB. Cách làm như sau:

1. Vào control panel -> Administrative Tools -> Local Security Policy. Click phải vào: Software restriction polices chọn Creat new police

​

2. Windows sẽ tạo thêm 2 mục : Security level và Additional rules. Click phải vào Additional rules chọn New path rules:

​

Khi tạo policy mới thì mặc dịnh sẽ là disallowed. giờ tạo policy không cho phép thực thi file autorun.inf ở thư mực gốc của mọi ổ đĩa (kể cả USB cho chắc ăn ).

​

3. Bây giờ tạo policy riêng cho USB. Giả sử máy tính có các ổ đĩa: C, D, E (ổ CD) và có vài cổng USB. Khi đó nếu cắm USB vào thì ổ này sẽ là F, G, H... Chúng ta sẽ tạo policy cho ổ F (G, H làm tương tự).
Như đã nói, virus autorun có 1 flie thực thi có phần mở rộng dạng: exe, com, bat, cmd, scr, vbs... Chúng ta sẽ tạo policy không cho phép thực thi file dạng này ở thư mục gốc của USB nữa:

​

Hình trên ví dụ USB là ổ F và cấm file .exe, còn với ổ G, H... và file dạng com, bat, cmd, vbs...làm tương tự. 1 chú ý nho nhỏ nữa là: có 1 số virus còn tạo 1 folder ẩn và núp trong đó như folder : recycle (conficker khét tiếng năm 2009 cũng núp trong này với file *.VMX), hay folder restore...vậy cần tạo thêm policy nữa cấm tất cả file trong các folder này luôn:

Vậy là đã xong. cách này có ưu điểm là cấm luôn cả file thực thi của virus chứ không chỉ dừng lại ở việc loại bỏ file autorun.inf. hơn nữa chỉ dùng chính những phương tiện có sẵn của windows. Với phương pháp này, người dùng khi duoble click vào file hoặc folder "bị cấm" đó (như virus new folder.exe chẳng hạn) thì bị deny ngay. Chú ý là policy này có hiệu lực với tất cả user account có trên máy, kể cả user admin mà bạn đang dùng để tạo policy.

Note: Với Windows 7, mặc định là các file autorun trên USB, CD, DVD... sẽ không được thực thi mà cần có sự xác nhận của người dùng. Chỉ cần cẩn thận 1 chút là OK

 

[canhsong73]

Cách này cũng hiệu quả đó, mình cũng sẽ áp dụng thử xem sao. Máy mình dùng chung nhiều người nên bị lây virus quá tay luôn

 

[999999999]

Theo mình thì bạn nên dùng Autorun Eater 2.4 kết hợp với antivir và clamwin là trị hết 100% con Autorun này. Ngoài ra bản XP2 cũng có lổi do đó bạn cần download thêm Kidokill.exe để quét toàn bộ thiết bị nhất là C: hệ thống.

 

[bing-bing]

ui, cứ cài antivirus pro một tí là đỡ ngàn mối lo

 

[batnc]

Dùng tools là một giải pháp, nhưng theo cách mình đang áp dụng cho công ty là áp Policy disable tính năng autorun, cộng với việc sử dụng một trình antivirus (dùng Avira free cho đỡ tốn tiền).

 

[pntan]

cái này đối với máy local hoặc chạy trong Group thì chỉ cần turn off "Autoplay" là được rồi, còn tạo Policy khi cần deploy cho nhiều máy hàng loạt thông qua Active Directory trên domain thui. Nhưng gần đây, trong hệ thống lớn, người ta hay sử dụng 1 thiết bị để control hay gọi là NAC để quản lý, hoặc phần mềm như Symantec Endpoint Protection hay Symantec NAC.

đơn giản, có thể làm các bước ngắn gọn như sau:

mở Group Policy bằng cách vào run, gõ: gpdit.msc -> chọn Computer Configuration -> Administrative...-> System -> Turn off Autoplay -> chọn Enable + All drives và OK là xong. Để áp dụng ngay lập tức thì chỉ cần vào run, gõ: gpupdate /force

 

[1102]

Em thì dùng thằng Autorun remover, gọn nhẹ, diệt chết luôn cả mấy thằng romantic.exe với forever.exe. bác nào càn thì em share

 

[spiderman]

Theo mình hiểu biết người dùng khi sử dụng cũng quan trọng lắm lắm. Mình thấy luôn nên để chế độ hiển thị file ẩn và đuôi file, đừng autorun, đừng nhấp đúp vào ổ đĩa ............

 

[hoangxuanminh]

em đang dùng soft USB DiskSecurity thấy cũng ổn

 

[xiao_long]

Ủng hộ USB DiskSecurity, dùng cái này + antivirus là ổn khỏi fải lăn tăn gì nữa.

 

[cakeo]

Mình nghĩ chỉ cần 1 phần mềm Antivirus đủ mạnh là có thể yên tâm rồi. Vote 1 phiếu cho Kaspersky
Ai xài win7 có bản CBE free, xài hơi bị được.

 

[traibapchualuoc]

Mình đang dùng chương trình BIS (Bitfender Internet Sercurity 2010) bản quyền và cũng ko cần bận tâm đến cái vụ này!!!

 

[ylangnhang]

xài avira free cũng chẳng cần đến cái này mà không có con sâu nào lọt vào được

 

[Freelancerhn]

Có một thủ thuật với các bác như sau.

- Tạo một folder trong USB, cấp quyền everyone: modify cho thư mục này (ví dụ thư mục này là "test" nhe)
- Hủy toàn bộ quyển của tất cả các user ở usb.
Từ h trở đi không một virus nào có thể lây vào được usb của bạn (tính autorun thôi nhé). Để copy thì vào folder test để copy là xong.

 

[naivangngongac]

Tôi thì có cách này thấy cũng hạn chế được tính năng autorun đó là ban vào Run/gõ gpedit.msc rồi Enter.Click Administrative Templates/System bên phải bạn double vào Turn off Autoplay, ở khung Turn off Autoplay on chọn All driver rồi tíc vào Enable xong OK.Cách này giúp loại bỏ tính năng tự động chạy chương trình khi cắm USB hay đĩa CD...
Them nữa bạn nên dùng Explore để duyệt cây thư mục, không nên double click

 

[quankyo]

mình ghét ai cắm USB máy mình lắm, vì cứ mỗi lần cắm là lại có chuyện (Virus.....), nên mình cài luôn cái Disale USB cho hết đường cắm USB, lúc nào hỏi mượn máy chép cái này cái kia, chịu, lúc nào cần cop cái gì Enable lại, hihi

 

[liberty73]

Mình cài chương trình Bitdefender trên máy rồi và cũng ko còn lo nghĩ đến việc cắm USB của ai vào máy mình cả. Khá an toàn và chưa hề bị lây lan gì hết

 

[phầnmềmbánhàng]

Qua quá trình dùng máy tính và tiếp xúc với loại virus này, tôi thấy có thể dùng policy của windows để phòng chống virus USB. Cách làm như sau:

1. Vào control panel -> Administrative Tools -> Local Security Policy. Click phải vào: Software restriction polices chọn Creat new police

Đây là cách tương đối tốt để không thực hiện Autorun khi cắm USB vào máy tính. Khi làm thao tác bỏ Autorun như ở trên thì máy của các bạn sẽ giảm thiểu khá nhiều việc lây nhiễm từ USB.

Bên cạnh việc làm bảo vệ máy tính như ở trên, thiết nghĩ cộng động mạng chúng ta phổ biến tiếp công cụ để bảo về cả cái USB của mình để tránh bị nhiễm khi cắm vào một máy mà ko biết máy đó có virus hay ko. Trước kia điều này có thể chống bằng protect cứng (1 cái lẫy nhỏ của USB) nhưng ngày nay hầu như loại USB đó không xuất hiện nữa (có lẽ là vì giá thành phải giảm tối đa nên nhà SX ko sản xuất loại USB có bảo vệ). Chính vì vậy chúng ta cần phải protect USB của mình nhưng bằng phần mềm. Xin giới thiệu với các bạn công cụ Autorun Protector tại đây

​

Thanks and best regards,