新硬碟也有木馬！注意USB病毒

希捷（Seagate）的3.5吋Maxtor外接式硬碟日前傳出遭植入木馬程式，使用該硬碟的電腦可能面臨資料外洩。

該批受感染的產品為希捷旗下的Maxtor Basics Personal Storage 3200 產品，包含500GB與350GB兩種容量，法務部調查局電腦犯罪偵辦科科長藍元鳴表示，約10月底時接獲民眾報案，懷疑新款硬碟可能被植入木馬程式，於是開始追查。

木馬程式透過USB介面進入外接式硬碟

使用USB隨身碟的標準動作

因為USB隨身碟可能暗藏USB病毒，在插上USB隨身碟或外接硬碟前，要先按住Shift鍵不放，直到電腦已經連結了該裝置，才可以放開Shift鍵，這樣就可以不讓電腦自動執行USB隨身碟的檔案。

藍元鳴表示，希捷硬碟被植入的惡意程式與USB隨身碟受感染的方式、擴散的途徑相同，這類型病毒會主動感染USB隨身碟，當其他電腦再插上受病毒感染的USB隨身碟後就會跟著中毒，再藉由USB隨身碟移動的特性，於是將病毒快速散播。

Maxtor Basics Personal Storage 3200是被植入名為Virus.Win32.AutoRun.ah的病毒（根據 Kaspersky定義）以及autorun.inf程式，只要使用者將受感染的外接式硬碟連上電腦後，autorun.inf就會自動執行惡意程式，然後感染電腦中的autorun.inf與windows.scr檔案，並會將資料上傳至www.nice8.org或www.we168.org兩個網站。

根據希捷於網站公布的資料，被植入的病毒會搜尋線上遊戲的密碼，然後傳送到位於中國的伺服器，此外，它還會刪除其他竊密軟體，並且停用病毒偵測軟體。

希捷表示，現階段已經對一家Maxtor中國轉包商追蹤此問題，推測該事件發生的原因是人員在進行格式化與測試的時候，由於使用的電腦已經被植入惡意程式，導致受測試的硬碟也被感染。這批產品除了出貨到臺灣，亦出貨到歐洲等其他市場。

希捷表示，當硬碟出貨給OEM廠商時，一般都沒有進行格式化，所以被植入病毒的可能性微乎其微，因此其他系統廠商不用擔心硬碟中被植入木馬程式。

在今年十月，另一家廠商Buffalo的RUF系列隨身碟，亦在出廠前被植入木馬程式，原因可能是在安裝資安防護程式時不慎一併被植入。

預防外接裝置散播病毒
賽門鐵克（Symantec）資深技術顧問莊添發表示，一般來說，只要有安裝防毒軟體和定期更新病毒碼，就能防止被病毒入侵，但若防毒軟體的病毒碼未更新或病毒突變，還是可能被植入惡意程式。

他進一步表示，企業要防止這類病毒入侵，在使用外接式硬碟或USB隨身碟時，可先關閉電腦的Autorun功能，或是接上裝置時一直按著Shift鍵，直到確定電腦連接上外接裝置後再放開，就能避免自動執行外接裝置中的惡意程式。

若使用者欲確認外接裝置是否有惡意程式，可在DOS介面中使用attrib指令，查詢所有外接裝置中檔案的類型，當發現外接裝置內含autorun.inf檔案，就有可能是被植入惡意程式。

另外，也可透過防護軟體中的檔案控管功能，以防止電腦被惡意程式入侵。莊添發以賽門鐵克新版端點防護軟體Symantec Endpoint Protection 11.0為例，就可設定特定檔案名稱、檔案類型不能被開啟。

即使使用者未在第一時間發現病毒，讓電腦不慎被植入木馬程式，莊添發表示，因為木馬程式會主動對外連線，若有安裝個人防火牆，電腦會出現訊息通知，詢問是否要允許對外連線，這時候就要格外注意是否被植入木馬程式，另外，也可透過NAC（Network Access Control，網路存取控制）設定安全政策檢查，當電腦要對外連線時，會主動偵測該電腦是否有被植入病毒。

希捷受感染的Maxtor Basics Personal Storage 3,200外接硬碟約於9月出貨，出貨數量約為2,000臺（消費市場約有300多臺），代理Maxtor硬碟的建達國際則已經將有問題的產品下架和回收提供消費者換貨服務。文⊙許雅婷