u盘自动运行病毒分析与解决方法

U盘自动运行病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘 的时候，自动执行相关的文件。今天带来U盘(auto病毒)类病毒分析与解决方案！

一、U盘病毒简述：

U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘 的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的 U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析：

所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。

常见的Autorun.inf文件格式大致如下：

[AutoRun]　　//表示AutoRun部分开始，必须输入

icon=C:C.ico　//指定给C盘一个个性化的盘符图标C.ico

open=C:1.exe　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行；

在Windows系统有允许和阻止自动运行的键值的方法：

在注册表中找到如下键：

键路径：[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Exploer]

在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

设备名称 第几位 值 设备用如下数值表示 设备名称含义

DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备

DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器

DRIVE_REMOVABLE 2 1 04h 可移动驱动器

DRIVE_FIXED 3 0 08h 固定的驱动器

DRIVE_REMOTE 4 1 10h 网络驱动器

DRIVE_CDROM 5 0 20h 光驱

DRIVE_RAMDISK 6 0 40h RAM磁盘

其中： 保留 7 1 80h 　未指定的驱动器类型

以上值"0"表示设备运行，"1"表示设备不运行。

从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运 行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动 器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除， 但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。

三、解决方案：

1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):

①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。
②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。

2、手动解决办法：

①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。

②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。