菜鸟安全宝典：详尽了解战胜U盘病毒侵袭

guyou888

菜鸟安全宝典：详尽了解战胜U盘病毒侵袭

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1607 回复：1

目前病毒木马的主要传播通道是两个：一是网页挂马，浏览器或浏览器插件存在漏洞的电脑访问被黑客挂马的网页即可中毒；另一个传播病毒的主要通道就是U盘、移动硬盘、数码存储卡，因使用U盘的用户大都遇到过这类病毒，用户统称这类病毒为“U盘病毒”。

U盘病毒并不是一种新型的病毒，就象最初的病毒主要通过软盘传播一样，用户经常用来交换数据的媒介，会成为病毒传播的载体。如今的U盘病毒传播力远强过早期通过软盘传播的文件型病毒和引导型病毒，一个重要的原因在于Windows 系统配置的自动播放功能存在重大安全隐患——Windows提供自动播放功能的初衷是插入光盘时自动运行指定的程序，该功能对移动硬盘和U盘同样有效，用户将U盘、移动硬盘、数码相机存储卡、手机内存卡等连接到计算机的USB口时，特殊配置的U盘病毒就会自动运行。然后，这个U盘病毒会试图将同样的配置信息和病毒程序写入到任意一个新连接的移动存储设备，再伺机感染其它电脑。 早期的U盘病毒是依赖Windows 的自动播放功能的，任何病毒都可以通过这种途径入侵电脑。而最近的U盘病毒则利用社会工程学欺骗用户去执行病毒程序。 根据金山毒霸云安全系统统计，2009年4月，伪装成文件夹图标的U盘病毒的感染量一直占据病毒排名的前五位。

U盘病毒常见症状 这里以这个伪文件夹U盘病毒为例。 U盘原来存在的文件夹全部被隐藏，取而代之的是一个伪装成文件夹图标的EXE文件。 因为操作系统缺省情况下，并不显示已知文件类型的文件扩展名，也就是说类似于“我的工作报告.exe”的程序，缺省情况下我们只看到“我的工作报告”，并且这个文件看上去就是个文件夹，很多人就会去直接双击访问。 这个病毒很聪明，当你双击访问这个“我的工作报告”文件夹时，病毒会跳到被隐藏的真实文件夹中，你没有感觉到任何异常。而事实上，你已经执行了一次病毒程序。 如果你修改了文件夹选项，配置了显示文件的扩展名，这个文件夹伪装者就会露出真面目。

U盘病毒的变化 1.关键文件Autorun.inf Autorun.inf文件本身并不是病毒，它是自动运行的一个配置文件。这个文件通常在驱动器的根目录下(是一个隐 藏的系统文件)，文件的内容包含着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路 径下的图标，它的格式通常是下面这样： [AutoRun]open=auto.exe//自动运行auto.exe程序shellexecute=auto.exe//启动指定的auto.exeshell\Auto\command=auto.exe//定义设备右键菜单执行命令行，右键U盘的时候会出现auto菜单 2.披着各种伪装的U盘病毒 唉，又是Windows 缺省设置在帮助病毒传播者欺骗用户，缺省情况下windows 不显示文件扩展名。 U盘病毒伪装者利用社会工程学成功的入侵了超过50万台PC。

U盘病毒的清除

需要指出，如果仅在U盘、移动硬盘、数码存储卡、手机内存卡中发现伪装成文件夹图标的EXE文件，或者仅看到autorun.inf，这并不表示你的电脑已经中了U盘病毒。而只能表示，这个存储介质曾经中过U盘病毒，或者曾经安装过某个U盘免疫工具。

我们可以使用金山清理专家的进程管理器分析可疑进程

或者使用金山系统急救箱扫描系统，看看是否有可疑的加载项，来检查系统是否已经中了U盘病毒。在急救箱把U盘病毒的加载项禁用之后，我们就可以搜索系统中的异常文件(修改文件夹选项，选择查看隐藏文件和受保护的操作系统文件，显示文件扩展名)，当我们发现一个伪装成文件夹图标的exe文件时，可以观察其大小，生成日期，然后使用windows 的查找功能，将同样大小，同样生成日期的exe文件全部找出来，确认无误后，直接删除。

在排除系统中毒的情况下，只需要简单的删除U盘上的病毒文件就可以了。发现和识别U盘病毒非常简单：

我们可以用记事本打开autorun.inf(你可以先运行notepad打开记事本，再把autorun.inf拖进去查看，不用担心会中毒)。

根据open=的值，如果没有检查到对应的EXE文件，表示这个U盘上曾中过毒，但病毒已经被清除了。如果我们根据open＝的值，找到对应的EXE文件，当然就可以直接将其删除。

某些情况下会出现删除失败，这可能是病毒修改了该文件的访问权限。

有时候病毒作者会创建一个畸形的文件，导致简单的删除操作会失败。

你只需要把以下命令保存为扩展名为.bat的文件，将该畸形文件拖放到这个bat文件的图标上即可完成删除(特别提醒：因该操作非常危险，会无条件删除任何文件或文件夹，请一定不要误操作。)

DEL /F /A /Q \\?\%1RD /S /Q \\?\%1

U盘病毒的防御

(1) 运用组策略，关闭windows的自动播放功能

在开始、运行中输入gpedit.msc后回车。会出现组策略的控制窗口，在该窗口中选择

计算机设置->管理模板->系统->关闭自动播放，双击关闭自动播放，然后选择已启用，选择关闭所有驱动器。

需要注意的是windows xp的home版不支持编辑组策略，可以打开金山清理专家的U盘防火墙来实现。

(2) 可以在U盘根目录下新建一个免疫文件夹

(可以保存以下内容为bat文件然后保存到U盘根目录运行就行了)

md autorun.infcd autorun.infmd nodel...\cd ..attrib autorun.inf +s +r +h

后续 我一直认为自动播放功能是重大安全隐患，曾经建议杀毒软件在安装时直接将该功能禁用，很遗憾该建议一直未被采纳，理由是操作系统的缺省值不宜修改。 在我们即将迎来Windows 7时，有个好消息和大家分享：Windows 7中会修改自动播放功能，修改后，只有光盘可以执行自动运行功能，其它可移动媒体的自动运行功能均被关闭。也就是说，U盘病毒至少不会因为插入U盘的动作就触发了。

66101990

谢谢:*22*: