[資安訊息通告] USB蠕蟲威脅及防護建議

• 發布日期： 97-03-03
• 最後更新日期：111-08-03
• 資料點閱次數：1384

國家資通安全會報 技術服務中心國家資通安全會報 技術服務中心 漏洞/資安訊息通告 發布編號：ICST-ANA-2008-0002 發布時間：2008/02/26 14:18:29 事件類型：其他 發現時間：2008/02/25 通告名稱：USB蠕蟲威脅及防護建議 內容說明： 目前使用者經常利用USB儲存裝置(USB隨身碟、大拇哥、USB外接式硬碟機) 進行備份資料或資料傳遞、交換，然而USB儲存裝置具有可能導致散播惡意程式的風險。已知目前有許多惡意程式會利用微軟Windows作業系統中提供之「裝置自動執行(Autoruns)」功能進行散播。此類利用USB儲存裝置進行散播的惡意程式被稱為「USB蠕蟲 (USB Worm)」。 使用受「USB Worm」感染之USB儲存裝置至其他電腦交換資料時，可能感染其他電腦。在受感染的電腦上使用USB儲存裝置也可能使正常的USB儲存裝置成為帶原體，進而成為散播惡意程式的幫兇。 在技術細節上，「USB Worm」會在磁碟裝置根目錄中寫入一個autorun.inf檔案，當使用者插入該磁碟裝置，並從桌面「我的電腦」點選進入該磁碟代號時，預設情況下作業系統會自動讀取autorun.inf並執行autorun.inf中所指定的惡意程式，進而使惡意程式感染電腦。 關閉作業系統裝置自動執行功能可以降低此威脅的風險，而目前網路上常見關閉作業系統裝置「自動播放」功能的防護方法並無法徹底根絕此威脅的發生。本資安訊息提供另一種關閉裝置自動執行的設定方式供各單位於USB蠕蟲威脅防護之參考。 影響平台：Microsoft Windows XP/2003/Vista 影響等級：高 建議措施 1.可考慮關閉作業系統中裝置自動執行功能，降低USB Worm的散播風險，相關設定方式請參考本警訊之附件說明。 2.關閉作業系統裝置自動執行功能亦可能造成部份使用該功能之正常服務無法正確運作，請參閱附件中之說明。 參考資料 本警訊提供徹底關閉作業系統「裝置自動執行(Autoruns)」功能的設定方法，供各單位參考使用。相關設定方式請參考本警訊之附件說明。 此類通告發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw/）進行修改。若您仍為貴單位之資安聯絡人但非本事件之處理人員，請協助將此通告告知相關處理人員。 國家資通安全會報 技術服務中心 (http://www.icst.org.tw/) 地 址： 台北市富陽街116號 聯絡電話： 02-27339922 傳真電話： 02-27331655 電子郵件信箱： service@icst.org.tw