[摘要] 隨着U盤 用戶的增加,U盤漸漸成爲主流的移動存儲設備,針對U盤開發商的病毒應運而生,和U盤病毒作鬥爭就成爲了廣大用戶的煩惱之一。就目前U盤病毒的表象和症狀進行了分析,並提出了可行的解決辦法。
[關鍵詞]U盤;U盤病毒;症狀;解決方案;autorun
一、引言
隨着電腦與網絡在日常生活和工作中的日益普及,價格越來越低的USB存儲器逐漸成爲移動存儲設備的主流。隨着U盤的廣泛使用,U盤 感染病毒的現象也相應增多。目前更出現專門利用U盤 傳播的病毒。如果出現雙擊U 盤 無響應或顯示U盤內容爲0字節等現象,那麼你的U盤中毒[1]了。
1.1瞭解U盤病毒
隨着科技的不斷髮展,電子產品的不斷更新,現在U盤已經成爲了最主流的移動存儲設備。它具有攜帶容易,使用方便以及價格便宜等優點、這就使一些黑客把目光轉移到了它的身上,現在利用U盤來傳播病毒已經是黑客最重要的手段了。
1.1.1 U盤病毒的定義與原理
顧名思義,U盤病毒就是通過U盤傳播的病毒,其實就是U盤病毒也只是習慣用語,它還可以通過MP3以及移動硬盤等移動存儲設備傳播。自從發現U盤的autorun.inf漏洞之後,U盤病毒的數量與日俱增,到現今可以說是多到氾濫的程度了。
1.1.2 U盤病毒的攻擊原理
病毒首先向U盤寫入病毒程序,然後更改autorun.inf文件。autorun.inf文件記錄用戶選擇何種程序來打開U盤。如果autorun.inf文件指向了病毒程序,那麼Windows就會運行這個程序,引發病毒。一般病毒還會檢測插入的U盤,並對其實行上述操作,導致一個新的U盤病毒產生,並且用戶的電腦將會被其感染。
1.2 U盤病毒的特徵
1.2.1 自動運行性
所謂的自動運行性就是利用其配置文件來根據用戶的操作習慣使病毒文件自動運行,通常U盤病毒是用戶在雙擊打開U盤時自動運行的。
1.2.2 隱藏性
病毒程序不會輕易地讓用戶發現,一般它都是巧妙地存在U盤中的。U盤病毒一般通過以下三種方式隱藏。
(1)裝作系統文件隱藏
一般系統文件是看不見的,這樣就達到了隱藏的效果。現在的大多數U盤病毒也採用了這種隱藏方式。
(2)藏於系統文件夾中
雖然看似與第一種方式相同,但實際上並不相同。這種系統文件夾一般都具有迷惑性,例如文件夾的名稱爲“回收站”。
(3)僞裝成其他文件的圖標
有些病毒程序會將自身圖標改爲其他文件的圖標,因爲默認情況下電腦中不顯示文件的擴展名,或者文件名太長看不到擴展名,所以會導致用戶誤打開。
擁有上述3種情況的任意兩種及以上方式的組合的U盤病毒迷惑性更大,用戶中毒的機率也就更高。
2.1常見u盤病毒的表現形式及解決辦法
在電腦上無法顯示u盛信息時,可以根據不同的情況,使用不同方法應對。
2.1.1病毒修改文件顯示屬性的解決方法
在插入u盤前,先確認一下要操作的計算機是不是也中毒了。如果已經中毒,就不要插入u盤,以免u盤被感染。如果計算機是安全的,可先插入u盤,但暫且不要打開。首先在桌面上建立一個RAR的壓縮包文件,然後打開壓縮包文件,再選擇”添加”,可以找到u盤,打開u盤後會看到裏面的文件包括系統隱藏的文件,然後再打開裏面的文件,這種方式打開U盤可以保證本臺計算機安全。正常的雙擊打開u盤可能不會是電腦中毒,但仍無法查閱u盤中被隱藏的文件。然後,用DOS命令來恢復文件的顯示模式。在“開始”---“運行”---輸入cmd回車,進入DOS界面。在DOS提示符後輸入U盤的盤符,然後回車。如果U盤插入後默認爲F盤,就輸入F,回車進入F盤。然後輸入命令恢復顯示文件attrib/d/s-s-h-a-r.attrib是調整文件的屬性,/s/d表示所有文件,S表示System系統屬性,h表示隱藏屬性,a表示存檔文件屬性,r表示只讀文件屬性。此舉可恢復文件的顯示屬性,使文件“可見”。
基於U盤病毒具有的特性,用戶很容易“中招”。下面介紹幾種方法來打開U盤,並且不自動運行其中的.EXE文件。
利用【運行】對話框打開U盤
利用【計算機】窗口打開U盤
利用IE瀏覽器打開U盤
2.1.2 U盤病毒AutoRun.inf的解決方法
U盤感染AutoRun.inf病毒後,會調用Windows的自動播放功能, 自動運行病毒。解決方法:直接刪除盤符裏的autorun.inf文件和SXS.exe文件。由於這兩個文件是隱藏的,在Windows下是看不見的(即使顯示所有文件也看不見)。因此,這裏介紹幾種解決方法。
方法一是組策略關閉autorun功能。
如果想一次全部禁用Windows XP的自動播放功能,可以按下述步驟操作[2]:
① 單擊“開始一運行”,在“打開”框中,鍵入“gpedit.msc”,單擊“確定”按鈕,打殲“組策略”窗口;
② 在左窗格的“本地計算機策略”下,展開“計算機配置一管理模板一系統”,然後在右窗格的“設置”標題下,雙擊“關閉自動播放”;
③ 單擊“設置”選項卡,選中“已啓用”複選鈕,然後在“關閉自動播放”框中單擊“所有驅動器”,單擊“確定”按鈕,最後關閉“組策略”窗口。
方法二是修改濘冊表,在註冊表中關閉AutoRun功能。
具體操作如下[3] :
①在“開始”菜單的“運行”中輸入Regedit,打開註冊表編輯器,展開到:“HKEY_CURRENT_USER\SottwarekMicrosoft\Windows\CurrentVersion\Policies\Exploer主鍵下”
在右側窗格中找到“NoDriveTypeAutoRun”,就是這個鍵決定了是否執行CDR0M 或硬盤的AutoRun功能。
② 雙擊“NoDriveTypeAutoRun”,在默認狀態下沒有禁止AutoRun功能,在彈出窗口中可以看到“NoDriveTypeAutoRun”默認鍵值爲95,00,00,00。其中第一個值“95”是十六進制值,它是所有被禁止自動運行設備的和。將“95”轉爲二進制就是10010101,其中每位代表一個設備,Windows中不同設備會用不剛的數值表示。
設備名稱 | 第幾位 | 值 | 設備用如下數值表示 | 設備名稱含義 |
DRIVE_UNKNOWN | 0 | 1 | 01h | 不能識別的類型設備 |
DRIVE_NO_ROOT_DIR | 1 | 0 | 02h | 沒有根目錄的驅動器 |
DRIVE_REMOVABLE | 2 | 1 | 04h | 可移動驅動器 |
DRIVE_FIXED | 3 | 0 | 08h | 固定的驅動器 |
DRIVE_REMOTE | 4 | 1 | 10h | 網絡驅動器 |
DRIVE_CDROM | 5 | 0 | 20h | 光驅 |
DRIVE_RAMDISK | 6 | 0 | 40h | RAM磁盤 |
以上值"0"表示設備運行,"1"表示設備不運行。從上面可以看出對應的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、
DRIVE_RAMDISK是可以自動運行的。所以要禁止硬盤自動運行AutoRun.inf文件,就必須將DRIVE_FIXED這些鍵的值設爲1,由於DRIVE_FIXED代表固定的驅動器(即硬盤)。如果僅想禁止軟件光盤的AutoRun功能,但又保留對CD音頻碟的自動播放能力,這時只需將“NoDriveTypeAutoRun”的鍵值改爲:BD,00,00,00即可。
方法三 修改權限法,具體操作如下 :
①點開始.>運行輸入regedit.exe回車;
② 打開註冊表編輯器後展開項,進入
[HKEY_CURRENT_USER\SoflwareLlVlicrosoft\Windows\CurrentVersion\Explorer\MountPoints21];
③右鍵點MountPoints2選擇權限;
④ 依次點擊“安全中的用戶和組”,在下面的權限中都改成拒絕;
⑤刷新一遍,此後即使u盤有病毒也不會激活,可正常進入U盤。
方法四是隱藏驅動器法,具體操作如下:打開註冊表編輯器,進入
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer,新建二進制值“NoDrives”,缺省值是00000000,表示不隱藏任何驅動器。鍵值由4個字節組成,每個字節的每一位(bit)對應從A到Z的一個盤,當相應位爲1時,“我的電腦”中的相應驅動器就被隱藏了。第一個字節代表從A到H的八個盤,即0l爲A、02爲B、04
爲C. 依此類推,第二個字節代表I到P;第三個字節代表O到x;第四 個字節代表Y和Z。U盤的盤符是接着現有盤符往下推。如果硬盤已經分區爲C、D、E、F,那麼U盤採用G:作爲盤符,再插入一個u盤就用H:。此時只需將G:和H:隱藏,則插入u盤也不會在“我的電腦”裏顯示。當然,用註冊表編輯器修改註冊表的方法操作起來較爲複雜,現
在有很多專門修改註冊表的軟件,如WINDOWS優化大師中展開“系統性能優化/系統安全優化/更多設置/選擇要隱藏的驅動器”,將要隱藏的盤符前的方框裏裏打鉤鉤,確定即可。
方法五 禁止創建AutoRun.inf,具體操作如下:
在根目錄下建立一個文件夾,名字就叫AutoRun.inf。由於Windows規定在同一目錄中,同名的文件和文件夾不能共存,這樣病毒就無法創建AutoRun.inf文件,即使您雙擊盤符也不會運行病毒。
2.1.3 IE保護黑自名單
此病毒通過u 盤傳播,雙擊u 盤就會運行病毒。另一個傳播方式是打開網頁時彈出ActiveX插件安裝的對話框,點“是”,病毒就會自動運行了。表象是在每個磁盤的根目錄下生成文件auto.exe和autorun.inf,並在system32文件夾中生成一個由8個字母和數字隨機組合而成的exe文件。
解決方法:
① 關閉已經運行的病毒程序進程和服務:先到“任務管理器”中把一些疑似病毒木馬的進程結束掉,如auto.exe和其生成的隨機8位字母和數字組合的exe和dll等文件(右擊任務欄——任務管理器——進程——點中疑似進程——結束進程)。
② 下載 sreng 軟件運行後,依次點擊“啓動項目”——“服務”——“Win32服務應用程序”,再勾選“隱藏經認證的微軟項目”,在出現的列中,查找那種不規則的隨機8位字母(大寫)和數字組合的服務,然後選中下面的“刪除服務”並單擊設置按鈕,在彈出的框中點“否”。③防止病毒在機器啓動時自動運行:運行——“msconfig”——確定一啓動一將其中的疑似啓動項前的對號去掉一應用。
④用“瑞星卡卡上網安全助手”將.bak、.bmp、~ .、.~ 等臨時文件清除乾淨,具體操作:“系統優化”——“系統垃圾智能清理”——全盤掃描——全選一清除。
二、結論
通過對常見病毒及病毒的感染原理的分析,本文有針對性地總結了多種簡單可行的防禦和清除U盤病毒的方法。這不僅有助於我們學習經驗的增長,而且更加有助於減小廣大用戶的損失。
參考文獻:
[1]範志力,孫靜麗,包春芳等. u盤病毒及其應對策略[JJ. 赤峯學院學報(自然科學版),2008,24(4):3-4.
[2]周芳.Autorun病毒啓動機理分析及其根治方法研究[J].北京科
技大學學報,2007,29(2):187~189.
[3]甘容.計算機病毒解析[J].計算機與信息技術,2007,P45-46.
【喜歡這個地方了,可以更新補充學習知識。】