Posted by: lukeliu | 六月 6, 2009

Mac mini 殺毒記

別誤會!!不是 mini 中毒了,

是利用 mini 來殺 PC 所中的毒。

話說自女兒上了大學後,真是入了「毒窖」中,筆電中毒,隨身碟中毒是家常便飯,好在這些都能輕易解決,都是因為拜 Apple 電腦之賜啊!

因此,家裡的 PC 除了灌了一套家庭版的 Avast 外(免費的,註冊家庭版後,每年只要再申請下去就可以一直免費用下去–至少目前是如此),也就不用再買其他的防毒軟體了。

就這樣,一直相安無事,直到出現了這麼一支「jj2.com」的病毒才真正是讓我傷腦筋(AVAST 掃不到,下載了 Norton antivirus 2009 試用版,兩套的病毒碼已更新到最新也是掃不到,只要將中毒的隨身碟插到任何就算已裝有掃毒軟體的 PC 上,這台 PC 就中標了,然後你也看不到,後來好在是因為這支病毒會傳訊息到一個很怪的網站,但是被 AVAST 攔截,女兒覺得奇怪向我詢問,我將其隨身碟連到 MAC 才看到的,如下圖,而在 PC 裡這支病毒一直都是隱藏看不到,後面會有說明)。

在 MAC 下現出原形的「jj2.comvirus13

紅圈內的兩個檔都得殺掉,因為 autorun.inf 的內容如下圖,可使隨身碟一插入 PC 就執行:

virus07

如果是隨身碟中了,還好解決,因為一般都是 FAT32 格式(除非利用 convert–windows 內附,在command 模式下執行,可以轉成 NTFS), Mac 可讀寫,所以只要隨身碟接上 Mac mini 後,因為病毒無法在 OS X 下發作,因此便可輕易地將之殺掉(有時在清空垃圾桶時會需要配合 Option 鍵),這招我利用 iBook 已經解決了許多同事的隨身碟中毒情形。

因為病毒是鎖定的,按繼續以刪除,如下圖:

virus14

清空垃圾桶時要按著 Option 鍵,否則出現如下圖:

virus15

那如果是 NTFS 格式的筆電硬碟,因為 OS X 只能讀取 NTFS ,所以筆電硬碟以外接盒連上 MAC 後就只能「看得到,殺不到」,這時就要抬出 VMware Fusion了。但是要殺前得要先做一點安全防備:

先將目前乾淨的 Windows 系統 Take Snapshot…(這就好像是利用 Norton Ghost 做出 Image 檔的情形),然後再進入VMware Fusion下的 Windows。

接下來,開啟「我的電腦」,從選單中的「工具」->「資料夾選項」,如下圖:〔註〕

virus08

打開後,將下圖的第一個藍框不勾選,第二個藍框勾選:

virus09

〔註〕這支「jj2.com」真的很聰明,除了能夠避開掃毒軟體外,還能控制這項功能,一旦這支病毒常駐在記憶體(只要是已中毒的電腦,通常開機後就已經常駐了),讓這項功能失效,所以它就能一直隱藏著而不被發現。所以這也算是檢查你的電腦是否中了這支病毒的方式之一。

接下來有兩種情況,先說可以成功刪除病毒的方式。那就是要把筆電硬碟接 USB 的外接盒上,透過VMware Fusion連接到 Windows時(如果不會,請看VMware Fusion的手冊),此時病毒就會現出原形,如下的兩個圖:

virus05

virus06

現在可以放心地將這兩支檔案刪除並清空垃圾桶就大功告成了。

清完,為了安全起見(因為不知道病毒是否已讀入記憶體內),所以還要再度執行VMware Fusion的 Rollback功能以回復之前乾淨的 Windows,如下圖:

virus11

但若筆電硬碟接的是 Fireware 外接盒,因硬碟是分割成兩顆,所以接上後如下圖:

virus01

就得透過VMware Fusion的 Add Shared Folder…,如下圖:

virus02

才能讓 Windows 可以讀到,如下圖:

virus04

接下來就如前面以秀過的圖,病毒現形了,也可以刪除,但結束後,再次連到 MAC 卻發現病毒還在!!??再試幾次,還是如此!真是傷腦筋啊!用 USB 外接盒就不會如此,我想可能是VMware Fusion的 Add Shared Folder…功能有BUG,可是問題還是得解決,而手頭又沒有 2.5 吋的 USB 外接盒(女兒擺在學校沒帶回家),只好找出之前冰了許久的可以在 OS X 讀寫 NTFS 的程式:免費的可找NTFS-3G,要錢的可找Paragon NTFS,如此就可以如隨身碟般地刪除病毒了(只要安裝好,過程就如最前面所寫的說明那樣簡單)。

寫了這麼多,那麼 MAC 下會不會也有病毒呢?如果實在不放心,剛好 F-secure 有給 MAC 免費測試版,可以去下載來用用看。

如果沒有 Apple 的電腦怎麼辦呢?找找看親朋好友,看看誰有啊!這不是廢話嗎?我知道這篇文章可能是許多人期待的,但因現在於 PC 的使用並非是主要的,所以暫且提出一個要花點錢的方案(或許有其他,但我只知道這個方法),那就是購買 Norton Ghost ,內附有 SRD(Symantec Recovery Disk),將其燒成光碟並以此光碟開機,因為是利用 WinPE 開機,所以硬碟的病毒就沒辦法常駐記憶體,然後瀏覽硬碟,就可以看到如前述病毒的兩支檔案,將其刪除就 OK 了。

最新的發現,看來真要砍掉這隻病毒是得要花點錢買 Norton Ghost ,因為隨身碟的中毒可依上述的方式刪除而沒有問題,但若是電腦的硬碟(系統開機區)中毒就沒轍了,這隻病毒除了在 C:(啟動碟,也有可能是其他代號)的根目錄下可以找到外,也可能藏身在不知道的地方(MBR 或 FAT Table 或 …..懶得去研究了),解決之道就只能是利用 Norton Ghost 先前做的未中毒的  Image 來還原才能真正去掉(好在之前使用 PC 時都有習慣每隔一段時間做個 Image 檔),那沒有的人怎辦?只好說聲抱歉了,或許掃毒軟體過一陣子會出新的解決方案吧!

這篇文章就到為止了,因為我已能把自己的問題解決,剩下的就留給掃毒軟體公司去處理,他們要收錢,這是他們該做的。

不過,還是去查了一下,這裡有號稱可以殺掉 jj2.com 的軟體,但應該是要錢的,或許可以先試用一下是否真的可以清除,再考慮是否花錢用下去。(真不想寫這段,根據該站的說,這支病毒是在台灣最先發現的

張貼於電腦相關

«
»

分類