标题: Win10 U盘防病毒科普 创建: 2023-03-15 13:01 更新: 2023-03-15 21:43 链接: https://scz.617.cn/windows/202303151301.txt A君在B单位做实验,有些实验数据需要从B单位C机上复制到自己的U盘中。事后B单位 同仁们告诉A,C机有病毒,应该用空U盘接入C机。B单位同仁们都是在各自主机上安 装某款杀毒软件,U盘插回各自主机时会检查一番。但C机本身未装任何杀毒软件,为 什么C机本身不装杀毒软件,原因不明,据说有某些规定,C机上病毒从何而来,不知。 A君请我检查U盘,果然中招。 在C机带毒的情况下,是否用空U盘接入,意义有限,但不是全无意义。在本例中,A 君U盘中所有exe、xlsm被感染。那些exe只能删了,xlsm本质上是压缩包,可以清除 病毒部分而保留数据。假设用空U盘接入,至少不会破坏已有exe、xlsm等文件,发现 中招时,可以格式化或全盘删除,不必费心分拣资料。 有个重要安全原则,去打印店、别人电脑、公用电脑插U盘,绝对不能用存放了大量 有用资料的U盘,必须得是一个可以随时格式化、全盘删除的过渡型U盘,这是个非常 重要的安全原则,很多人图方便、图省事,直接违反。打印店可能容易引起警惕,别 人电脑、公用电脑就经常被忽视,对自己来说,这三者是一回事,皆为风险区。所以, IT小白建议始终用空U盘接入非本人主机。 空U盘接入的意义仅限于此,并非用空U盘接入C机就能避免病毒传播至本机。有些病 毒会将某个exe的图标刻意改成文件夹图标样式,大多数人的资源管理器并未设置始 终显示扩展名、始终显示文件类型,看到这样的exe会以为是目录,双击进入,实际 变成双击执行exe,这个中招过程与最初是否用空U盘完全无关。A君电脑已经始终显 示扩展名、始终显示文件类型,但这样还不够,要养成先看文件类型再打开的习惯, 看到是exe仍然双击打开,这种属于无可救药型。 在资源管理器名称栏上右键,勾选"类型",将类型列调至名称列右侧。exe的类型列 是"应用程序",目录的类型列是"文件夹",无论exe的图标怎么变,类型列会暴露它。 -------------------------------------------------------------------------- 选项 查看 隐藏已知文件类型的扩展名 (默认是勾选,现在清空) -------------------------------------------------------------------------- 显示扩展名只是辅助手段,有被视觉欺骗的可能。有些特殊字节出现在文件名中时, 从视觉效果上看到的可能是另一个让你觉得无害的文件名。这块我没研究过,想来与 LRO、RLO序列相关,参看 How to use Unicode controls for bidi text https://www.w3.org/International/questions/qa-bidi-unicode-controls 还是尽可能检查文件类型为妙。即便上面都做得很好,仍有可能中招,U盘支持接入 后自动运行某个程序的功能,放狗搜"autorun.inf"了解更多细节。现代Windows可能 从根上对此有预防措施,若不放心,可以手动关动这种自动运行功能。有多种技术方 案关闭U盘的自动运行,只说Win10的两种 -------------------------------------------------------------------------- 控制面板 所有控制面板项 自动播放 把所有行都调成"不执行操作" -------------------------------------------------------------------------- 设置 设备 自动播放 -------------------------------------------------------------------------- 前面说的几点都做到,U盘将病毒传至本机的风险已经很小。对于普通用户,不建议 在Win10上安装第三方杀毒软件,Win10自带"Microsoft Defender",实时保护默认是 打开的。U盘接入本机时,实时保护可能起作用,若不放心,右键选中U盘,使用 "Microsoft Defender"扫描一下。一般exe有问题,直接就搂中,xlsm这类有问题时, 可能第一遍扫描会漏,原因不明,那就多扫一次。无论扫不扫,进入有问题的目录时, 实时保护都大概率会搂中,不然为什么叫实时保护呢,所以可以人工遍历一下U盘, 尤其是子目录,于是空U盘的优势得到加强。 本次科普面向非IT人士,只聚焦于U盘接入Win10的风险及应对措施。对目标人群而言, 前述相关操作还是太复杂,人是靠不住的,得靠软件体系,普通用户千万不要裸奔, 杀毒软件必装,实时保护必开,万一发现异常,切勿自行处置,第一时间寻求专业支 持。 A君U盘中了好些招,其中一个是"Trojan:O97M/Madeba.A!det"。演示一下ChatGPT提 问。 -------------------------------------------------------------------------- Q: Microsoft Defender报 Trojan:O97M/Madeba.A!det containerfile: X:\Path\some.xlsm file: X:\Path\some.xlsm->xl/vbaProject.bin 简要介绍该木马,解释containerfile、file行的技术含义,xl/vbaProject.bin是什 么东西?x1是什么概念?xlsm中为什么会有其他文件,还带目录结构的? Answer in English always during current conversation. A: ChatGPT 2023-03-15 Trojan:O97M/Madeba.A!det is a type of Trojan malware that infects Microsoft Office documents, specifically Excel files with macros enabled. This Trojan can perform various malicious activities, such as stealing sensitive information and downloading additional malware onto the infected system. In the context of the Windows Defender report, containerfile refers to the Excel file (some.xlsm) that was scanned and found to be infected with the Trojan. The file line (X:\Path\some.xlsm->xl/vbaProject.bin) indicates that the specific part of the file containing the malicious code is the vbaProject.bin file within the xl folder of the Excel file. The vbaProject.bin file is a binary file that contains the Visual Basic for Applications (VBA) code for the macros in the Excel file. The xl folder contains various components of the Excel file, such as worksheets, charts, and macros. In an xlsm file, other files and directory structures can exist to support the various components of the Excel file. For example, the xl folder contains multiple subfolders, including _rels, theme, and charts, which contain files related to those components. These files and directory structures are used to organize and support the various components of the Excel file. D: scz 想起来了,xlsm就一压缩包,用7-Zip打开即可。病毒告警说的是,some.xlsm中含有 xl/vbaProject.bin,这是病毒主体。参看 https://malwarefixes.com/threats/trojano97mmadeba-adet/ -------------------------------------------------------------------------- Q: Excel 2016如何禁用宏 A: ChatGPT 2023-03-15 文件->选项->信任中心->信任中心设置->宏设置->禁用所有宏,并发出通知 --------------------------------------------------------------------------