Hiện nay virus autorun lây qua USB đã trở nên quá phổ biến. Cơ chế hoạt động của loại virus này là: tạo 1 file autorun.inf ở thư mục gốc của USB cùng với 1 file thực thi của virus. File autorun.inf có nhiệm vụ kích hoạt file thực thi (chứa mã virus) khi USB được cắm vào máy tính.
Có nhiều tool để chống lại loại virus này như: USB Disk Security, Panda USB and Autorun Vacine, Autorun Remover... nhưng tất cả chỉ có thể loại bỏ được file autorun.inf - điều kiện cần để kích hoạt virus loại này. Ngoài ra, còn có một số phương pháp khác để phòng chống loại virus này như: tạo file autorun.inf giả, tạo folder autorun.inf, dùng tính năng security với NTFS...nhưng cũng không hiệu quả cho lắm và quan trọng nhất là vẫn chỉ loại bỏ file autorun.inf của virus (chưa hiệu quả lắm). Đối với những người dùng máy tính bình thường - với họ, dùng máy tính tương đương với việc double click - thì các biện pháp trên cũng coi như bỏ.
Qua quá trình dùng máy tính và tiếp xúc với loại virus này, tôi thấy có thể dùng policy của windows để phòng chống virus USB. Cách làm như sau:
1. Vào control panel -> Administrative Tools -> Local Security Policy. Click phải vào: Software restriction polices chọn Creat new police
2. Windows sẽ tạo thêm 2 mục : Security level và Additional rules. Click phải vào Additional rules chọn New path rules:
Khi tạo policy mới thì mặc dịnh sẽ là disallowed. giờ tạo policy không cho phép thực thi file autorun.inf ở thư mực gốc của mọi ổ đĩa (kể cả USB cho chắc ăn ).
3. Bây giờ tạo policy riêng cho USB. Giả sử máy tính có các ổ đĩa: C, D, E (ổ CD) và có vài cổng USB. Khi đó nếu cắm USB vào thì ổ này sẽ là F, G, H... Chúng ta sẽ tạo policy cho ổ F (G, H làm tương tự).
Như đã nói, virus autorun có 1 flie thực thi có phần mở rộng dạng: exe, com, bat, cmd, scr, vbs... Chúng ta sẽ tạo policy không cho phép thực thi file dạng này ở thư mục gốc của USB nữa:
Hình trên ví dụ USB là ổ F và cấm file .exe, còn với ổ G, H... và file dạng com, bat, cmd, vbs...làm tương tự. 1 chú ý nho nhỏ nữa là: có 1 số virus còn tạo 1 folder ẩn và núp trong đó như folder : recycle (conficker khét tiếng năm 2009 cũng núp trong này với file *.VMX), hay folder restore...vậy cần tạo thêm policy nữa cấm tất cả file trong các folder này luôn:
Vậy là đã xong. cách này có ưu điểm là cấm luôn cả file thực thi của virus chứ không chỉ dừng lại ở việc loại bỏ file autorun.inf. hơn nữa chỉ dùng chính những phương tiện có sẵn của windows. Với phương pháp này, người dùng khi duoble click vào file hoặc folder "bị cấm" đó (như virus new folder.exe chẳng hạn) thì bị deny ngay. Chú ý là policy này có hiệu lực với tất cả user account có trên máy, kể cả user admin mà bạn đang dùng để tạo policy.
Note: Với Windows 7, mặc định là các file autorun trên USB, CD, DVD... sẽ không được thực thi mà cần có sự xác nhận của người dùng. Chỉ cần cẩn thận 1 chút là OK
Bạn Download chương trình autorun eater! về cài đặt vào máy. Nó sẽ tự động diệt autorun trong USB.
Để an toàn, bạn hãy tạo thói quen đừng kích đúp vào USB mà đầu tiên hãy mở nó bằng chương trình WINRAR (máy nào chả có chương trình này). Lúc này Autorun eater đã diệt file autorun.inf nên không sợ nó tự động vào máy nữa. Một chức năng ít người biết đến của Winrar là hiển thị file ẩn. Như vậy bạn có thể nhìn rõ từng con virus trong USB. Virus sẽ ở dạng application (*.exe) với các tên la hoắc, bạn hãy delete chúng đi (đừng lỡ tay ấn enter là được). Hãy delete những gì không phải là của bạn copy vào.
Cũng để an toàn, ngay trong cửa sổ winrar, bạn có thể dùng Ctrl + C để copy file muốn copy vào máy (kích chuột phải không có chữ copy như bình thường đâu). Như vậy không phải vào USB nữa --> an toàn tuyệt đối, không cần cài chương trình diệt virus khác làm gì cho nặng máy ra
Phòng hơn là chống, tốt nhất bạn nên down Panda USB vaxin vào máy, nó sẽ ngăn ko cho autorun hoạt động trên usb( chỉ ngăn ko cho nó hoạt động chư ko diệt dc). Tuy vậy nên cài cho chắc