[摘要] 随着U盘 用户的增加,U盘渐渐成为主流的移动存储设备,针对U盘开发商的病毒应运而生,和U盘病毒作斗争就成为了广大用户的烦恼之一。就目前U盘病毒的表象和症状进行了分析,并提出了可行的解决办法。
[关键词]U盘;U盘病毒;症状;解决方案;autorun
一、引言
随着电脑与网络在日常生活和工作中的日益普及,价格越来越低的USB存储器逐渐成为移动存储设备的主流。随着U盘的广泛使用,U盘 感染病毒的现象也相应增多。目前更出现专门利用U盘 传播的病毒。如果出现双击U 盘 无响应或显示U盘内容为0字节等现象,那么你的U盘中毒[1]了。
1.1了解U盘病毒
随着科技的不断发展,电子产品的不断更新,现在U盘已经成为了最主流的移动存储设备。它具有携带容易,使用方便以及价格便宜等优点、这就使一些黑客把目光转移到了它的身上,现在利用U盘来传播病毒已经是黑客最重要的手段了。
1.1.1 U盘病毒的定义与原理
顾名思义,U盘病毒就是通过U盘传播的病毒,其实就是U盘病毒也只是习惯用语,它还可以通过MP3以及移动硬盘等移动存储设备传播。自从发现U盘的autorun.inf漏洞之后,U盘病毒的数量与日俱增,到现今可以说是多到泛滥的程度了。
1.1.2 U盘病毒的攻击原理
病毒首先向U盘写入病毒程序,然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么Windows就会运行这个程序,引发病毒。一般病毒还会检测插入的U盘,并对其实行上述操作,导致一个新的U盘病毒产生,并且用户的电脑将会被其感染。
1.2 U盘病毒的特征
1.2.1 自动运行性
所谓的自动运行性就是利用其配置文件来根据用户的操作习惯使病毒文件自动运行,通常U盘病毒是用户在双击打开U盘时自动运行的。
1.2.2 隐藏性
病毒程序不会轻易地让用户发现,一般它都是巧妙地存在U盘中的。U盘病毒一般通过以下三种方式隐藏。
(1)装作系统文件隐藏
一般系统文件是看不见的,这样就达到了隐藏的效果。现在的大多数U盘病毒也采用了这种隐藏方式。
(2)藏于系统文件夹中
虽然看似与第一种方式相同,但实际上并不相同。这种系统文件夹一般都具有迷惑性,例如文件夹的名称为“回收站”。
(3)伪装成其他文件的图标
有些病毒程序会将自身图标改为其他文件的图标,因为默认情况下电脑中不显示文件的扩展名,或者文件名太长看不到扩展名,所以会导致用户误打开。
拥有上述3种情况的任意两种及以上方式的组合的U盘病毒迷惑性更大,用户中毒的几率也就更高。
2.1常见u盘病毒的表现形式及解决办法
在电脑上无法显示u盛信息时,可以根据不同的情况,使用不同方法应对。
2.1.1病毒修改文件显示属性的解决方法
在插入u盘前,先确认一下要操作的计算机是不是也中毒了。如果已经中毒,就不要插入u盘,以免u盘被感染。如果计算机是安全的,可先插入u盘,但暂且不要打开。首先在桌面上建立一个RAR的压缩包文件,然后打开压缩包文件,再选择”添加”,可以找到u盘,打开u盘后会看到里面的文件包括系统隐藏的文件,然后再打开里面的文件,这种方式打开U盘可以保证本台计算机安全。正常的双击打开u盘可能不会是电脑中毒,但仍无法查阅u盘中被隐藏的文件。然后,用DOS命令来恢复文件的显示模式。在“开始”---“运行”---输入cmd回车,进入DOS界面。在DOS提示符后输入U盘的盘符,然后回车。如果U盘插入后默认为F盘,就输入F,回车进入F盘。然后输入命令恢复显示文件attrib/d/s-s-h-a-r.attrib是调整文件的属性,/s/d表示所有文件,S表示System系统属性,h表示隐藏属性,a表示存档文件属性,r表示只读文件属性。此举可恢复文件的显示属性,使文件“可见”。
基于U盘病毒具有的特性,用户很容易“中招”。下面介绍几种方法来打开U盘,并且不自动运行其中的.EXE文件。
利用【运行】对话框打开U盘
利用【计算机】窗口打开U盘
利用IE浏览器打开U盘
2.1.2 U盘病毒AutoRun.inf的解决方法
U盘感染AutoRun.inf病毒后,会调用Windows的自动播放功能, 自动运行病毒。解决方法:直接删除盘符里的autorun.inf文件和SXS.exe文件。由于这两个文件是隐藏的,在Windows下是看不见的(即使显示所有文件也看不见)。因此,这里介绍几种解决方法。
方法一是组策略关闭autorun功能。
如果想一次全部禁用Windows XP的自动播放功能,可以按下述步骤操作[2]:
① 单击“开始一运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打歼“组策略”窗口;
② 在左窗格的“本地计算机策略”下,展开“计算机配置一管理模板一系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”;
③ 单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭“组策略”窗口。
方法二是修改泞册表,在注册表中关闭AutoRun功能。
具体操作如下[3] :
①在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到:“HKEY_CURRENT_USER\SottwarekMicrosoft\Windows\CurrentVersion\Policies\Exploer主键下”
在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDR0M 或硬盘的AutoRun功能。
② 双击“NoDriveTypeAutoRun”,在默认状态下没有禁止AutoRun功能,在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00。其中第一个值“95”是十六进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101,其中每位代表一个设备,Windows中不同设备会用不刚的数值表示。
设备名称 | 第几位 | 值 | 设备用如下数值表示 | 设备名称含义 |
DRIVE_UNKNOWN | 0 | 1 | 01h | 不能识别的类型设备 |
DRIVE_NO_ROOT_DIR | 1 | 0 | 02h | 没有根目录的驱动器 |
DRIVE_REMOVABLE | 2 | 1 | 04h | 可移动驱动器 |
DRIVE_FIXED | 3 | 0 | 08h | 固定的驱动器 |
DRIVE_REMOTE | 4 | 1 | 10h | 网络驱动器 |
DRIVE_CDROM | 5 | 0 | 20h | 光驱 |
DRIVE_RAMDISK | 6 | 0 | 40h | RAM磁盘 |
以上值"0"表示设备运行,"1"表示设备不运行。从上面可以看出对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、
DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。
方法三 修改权限法,具体操作如下 :
①点开始.>运行输入regedit.exe回车;
② 打开注册表编辑器后展开项,进入
[HKEY_CURRENT_USER\SoflwareLlVlicrosoft\Windows\CurrentVersion\Explorer\MountPoints21];
③右键点MountPoints2选择权限;
④ 依次点击“安全中的用户和组”,在下面的权限中都改成拒绝;
⑤刷新一遍,此后即使u盘有病毒也不会激活,可正常进入U盘。
方法四是隐藏驱动器法,具体操作如下:打开注册表编辑器,进入
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer,新建二进制值“NoDrives”,缺省值是00000000,表示不隐藏任何驱动器。键值由4个字节组成,每个字节的每一位(bit)对应从A到Z的一个盘,当相应位为1时,“我的电脑”中的相应驱动器就被隐藏了。第一个字节代表从A到H的八个盘,即0l为A、02为B、04
为C. 依此类推,第二个字节代表I到P;第三个字节代表O到x;第四 个字节代表Y和Z。U盘的盘符是接着现有盘符往下推。如果硬盘已经分区为C、D、E、F,那么U盘采用G:作为盘符,再插入一个u盘就用H:。此时只需将G:和H:隐藏,则插入u盘也不会在“我的电脑”里显示。当然,用注册表编辑器修改注册表的方法操作起来较为复杂,现
在有很多专门修改注册表的软件,如WINDOWS优化大师中展开“系统性能优化/系统安全优化/更多设置/选择要隐藏的驱动器”,将要隐藏的盘符前的方框里里打钩钩,确定即可。
方法五 禁止创建AutoRun.inf,具体操作如下:
在根目录下建立一个文件夹,名字就叫AutoRun.inf。由于Windows规定在同一目录中,同名的文件和文件夹不能共存,这样病毒就无法创建AutoRun.inf文件,即使您双击盘符也不会运行病毒。
2.1.3 IE保护黑自名单
此病毒通过u 盘传播,双击u 盘就会运行病毒。另一个传播方式是打开网页时弹出ActiveX插件安装的对话框,点“是”,病毒就会自动运行了。表象是在每个磁盘的根目录下生成文件auto.exe和autorun.inf,并在system32文件夹中生成一个由8个字母和数字随机组合而成的exe文件。
解决方法:
① 关闭已经运行的病毒程序进程和服务:先到“任务管理器”中把一些疑似病毒木马的进程结束掉,如auto.exe和其生成的随机8位字母和数字组合的exe和dll等文件(右击任务栏——任务管理器——进程——点中疑似进程——结束进程)。
② 下载 sreng 软件运行后,依次点击“启动项目”——“服务”——“Win32服务应用程序”,再勾选“隐藏经认证的微软项目”,在出现的列中,查找那种不规则的随机8位字母(大写)和数字组合的服务,然后选中下面的“删除服务”并单击设置按钮,在弹出的框中点“否”。③防止病毒在机器启动时自动运行:运行——“msconfig”——确定一启动一将其中的疑似启动项前的对号去掉一应用。
④用“瑞星卡卡上网安全助手”将.bak、.bmp、~ .、.~ 等临时文件清除干净,具体操作:“系统优化”——“系统垃圾智能清理”——全盘扫描——全选一清除。
二、结论
通过对常见病毒及病毒的感染原理的分析,本文有针对性地总结了多种简单可行的防御和清除U盘病毒的方法。这不仅有助于我们学习经验的增长,而且更加有助于减小广大用户的损失。
参考文献:
[1]范志力,孙静丽,包春芳等. u盘病毒及其应对策略[JJ. 赤峰学院学报(自然科学版),2008,24(4):3-4.
[2]周芳.Autorun病毒启动机理分析及其根治方法研究[J].北京科
技大学学报,2007,29(2):187~189.
[3]甘容.计算机病毒解析[J].计算机与信息技术,2007,P45-46.
【喜欢这个地方了,可以更新补充学习知识。】
1015
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
