U盘病毒传播的研究论文(精选10篇)
〔内容提要〕U盘 病毒 安全防范
现如今,U盘已经成为军队日常工作中计算机用户最为常用的文件交换工具。然而,U盘在带来极大便利的同时,也为病毒寄生和繁衍提供了天然的温床。本论文由此出发,阐述了U盘病毒的危害,深入分析了U盘病毒的危害机理,并从技术和非技术两个方面介绍了U盘病毒的防范措施,为军队U盘的日常使用提供了一定的借鉴,具有较高的参考价值。
〔关键词〕U盘 病毒 安全防范
U盘也称优盘、闪盘,随着闪存芯片价格的急剧下滑,U盘以其体积小巧、便于携带、存储容量大、抗震性能强、即插即用等独特的优点而得以广泛普及,已经逐步取代软盘成为日常工作中计算机用户最为常用的文件交换工具
然而,U 盘在为人们带来极大便利的同时,也为病毒寄生和繁衍提供了天然的温床。我们常说的U盘病毒,并不是单指某一个具 体的病毒,也不是指只通过U盘才能传播的病毒,而是泛指所有可以通过移动存储介质进行传播的一类病毒,但由于U盘最常用,通过U 盘传播的概率最大,所以称之为U盘病毒。当前,U 盘病毒泛滥,U 盘使用的便捷性和安全性往往难以两全。只要用户在工作中无法做到完全放弃使用U盘,就必须了解U盘病毒的原理及症状,掌握U盘病毒的基本防治措施,采取正确的操作使用方法,形成良好的使用习惯,才能有效避免U盘病毒的威胁
U盘作为使用最为广泛的存储设备,如果将其作为病毒的载体,轻则破坏计算机文件或者系统,重则还可以破坏和瘫痪计算网络。U盘病毒是指利用U盘(移动存储设备)作为载体来传播病毒,其主要特征是在被感染的U盘中生成Autorun.inf文件,并附带有一个可执行程序。
一、U盘病毒危害
早期的U盘病毒仅仅是恶作剧,被感染计算机往往出现打不开文件,或者显示一些具有搞笑性质的东西。随着U盘容量的不断扩大和广泛使用,U盘成为传输文件等数据资料的主要存储介质之一,日常使用和交换的文件,包括涉密文件均是通过U盘来进行传输的。U盘病毒具有交叉感染的特点,即感染了U盘病毒的计算机,在插入一个未感染的U盘到感染计算机中时,病毒会自动感染U盘,当将已经感染U盘病毒的U盘插入未感染计算机中时,未感染病毒的计算机将感染U盘病毒。在对U盘病毒分析研究中我们发现,U盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到U盘中,当U盘插入到具有上网条件的计算机中使用时,U盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。
U盘病毒作为一种传染性病毒,其危害如下:
(1)在系统中占用大量cpu资源。
(2)破坏软件系统,影响工作。对于一般性U盘病毒将会破坏系统文件的完整性,导致系统不能正常打开文件,其危害程度较轻。
(3)删除或者更改文件。这种U盘病毒往往带有恶作剧,例如将系统中所有的word等文件全部删除,或者将Word文件的默认后缀更改为其它名称导致文件打不开,其危害程度中等。
(4)盗取系统中各种密码帐号,实施远程控制。目前很多个人计算机大多具备上网条件,一旦连接上网络,病毒就会主动连接控制端,将系统中的密码和帐号发到指定邮箱,并实施远程控制将其作为僵尸网络的木马端。
(5)平时窃取资料,战时破坏系统。U盘病毒平时蛰伏在计算机中,当具备互联网条件时将平时复制的资料通过网络传输到指定邮箱,当发生战争时可以破坏和瘫痪计算机系统或者计算机网络,其危害程度最大。
二、U盘病毒危害机理
U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件。目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析
(一)病毒的传播原理
U盘病毒主要通过U盘与计算机的交互来进行传播。近年来,在“黑色”产业链利益驱动下,利用U盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的网站“挂马”来实现,网站“挂马”主要利用的是IE等安全漏洞,当用户没有安装补丁程序而访问被“挂马”的网站中的网页时,系统就会“偷偷”地执行网页中指定的程序,从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行U盘病毒的传播。
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放功能是 Windows 系统为客户提供方便的一种特性,当这种功能启用时,U盘或光盘插入到计算机上时无须用户干预,就会自动运行介质中的指定程序,从而实现软件自动安装、媒体自动演示等功能。这一功能是通过U盘或光盘中的系统隐藏文件Autorun-inf来实现的,它是一个存放在驱动器根目录下的一个纯文本脚本文件,保存着一些简单的命令,指定系统自动运行的程序名称和路径。U盘病毒感染U盘后,一般会在U盘根目录下自动生成Autorun-inf。当用户双击U盘盘符时,便自动调用该文件,在用户完全不知情的情况下,“自动”运行该文件指定的U盘中的病毒程序,向各硬盘分区的根目录拷贝病毒体和Autorun-id。病毒在Windows 系统中潜伏下来后,当用户插入干净的U盘时,病毒又如法炮制,将无毒U盘变为带毒U 盘 , 从而实现了病毒的传播。从这一原理我们可以看出,经常交叉使用 U盘的计算机最容易感染U盘病毒,并成为传播病毒的“毒巢”。
U盘病毒除利用Windows系统的自动播放功能外,通常还会采用中断进程、“映像劫持”、线程插入与进程守护等先进技术,进行关闭杀毒软件进程、禁止安全工具服务、远程下载木马等一系列恶劣的行径,给用户上网安全带来极大的威胁。当前,病毒趋利性倾向日益明显,有些木马性质的U盘病毒驻留系统后,会秘密窃取计算机中的敏感文件,将其写入U盘中,并通过网络伺机发送到黑客手中,这一类U盘病毒对涉密单位的危害尤其严重
U盘病毒的隐藏方式有很多种: ①作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果;②伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开;③藏于系统文件夹中。这些系统文件夹往往都具有迷惑性;④运用windows 的漏洞。有些病毒所藏的文件夹的名字为runauto...,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是runauto...(2)复制。U盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到优盘中,当优盘插入到具有上网条件的计算机中使用时,优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。(3)传播。当隐藏或中毒U盘插入到一台没有任何病毒的电脑上后,使用者双击打开优盘文件浏览时,Windows 默认会以autorun.inf 文件中的设置去运行优盘中的病毒程序,此时Windows 操作系统就被感染了。在这三个过程中,系统设置的autorun.inf文件运行起着关键作用.病毒通过其设置木马程序。使得其文件格式变为以下几种:自动运行的程序Open=filename.exe;修改上下文菜单,把默认项改为病毒的启动项ShellAutocommand=filename.exeShell=Auto;只要调用Shell ExecuteA/W 函数试图打开优盘根目录,病毒就会自动运行Shellexecute=filename.exeShellExecute=;伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。Shellopen=打开(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器(&X)
(二)U盘病毒传播阶段
U盘对病毒的传播主要借助的就是autorun.inf文件,主要分为2个阶段。第一阶段:感染病毒,当用户将一块没有任何病毒的U盘插入一台潜伏了病毒的主机上,通过一些常用的操作后,可能就会激发病毒程序。病毒首先会将自身复制到U盘中,同时创建一个名为autorun.inf的文件。此时,这块U盘就被病毒感染了。
第二阶段:传播病毒,当这块U盘插入到一台没有任何病毒的电脑上后,使用者双击打开U盘文件浏览时,Windows默认会以autorun.inf文件中的设置去运行U盘中的病毒程序,此时Windows操作系统就被感染了。
(三)autorun.ini文件运行机理
autorun.inf是设备自动运行的设置文件,比如当插入某些驱动光盘后,Windows就会自动运行驱动安装程序,这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种:
(1)自动运行的程序 Open=filename.exe(2)修改上下文菜单,把默认项改为病毒的启动项 ShellAutocommand=filename.exeShell=Auto(3)只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行 Shellexecute=filename.exeShellExecute=„„
(4)伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。Shellopen=打开(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器(&X)
(四)U盘病毒程序隐藏方式
(1)作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的,现在的病毒一般不会采用这种方式。
(2)伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。
(3)藏于系统文件夹中。这些系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。
三、U盘病毒发展趋势
据软件监测结果表明,目前至少存在288种U盘病毒,U盘病毒由过去功能单一,逐渐演变为功能众多,且技术水平越来越高。目前的U盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及Windows安全中心,高级一点的会修改防火墙和病毒设置,使其安全穿透个人防火墙,还有一些未公布的U盘病毒,已经做到感染PE文件,计算机一旦被感染这种病毒很难根除。目前世界上大多数病毒都具备U盘病毒感染功能,使其成为内网和外网沟通的桥梁,U盘病毒已经成为一种顽疾。由于U盘病毒的巨大危害性,很多杀毒软件都会查杀以Autorun.inf文件为主要特征的U盘病毒,因此新型的U盘病毒将向硬件以及驱动程序发展。可以将U盘病毒直接嵌入到一些硬件设备,例如手机、mp3等,需要激活时只需要通过网络发送一个密码指令即可。另外一种趋势就是将U盘病毒做成驱动级,任何系统都离不开驱动程序,通过驱动程序来进行病毒的传播和控制。
四、U盘病毒防范措施 安全只是相对的安全,没有绝对的安全,对于移动存储设备主要通过两个层面来进行防范,一个是技术层面,另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。
(一)技术防范
(1)及时更新安全漏洞补丁和病毒库
对于个人和部队来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生成的报告,可选择自动修复功能修复系统所存在的漏洞。
(2)禁止移动设备自动播放
很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开。如果设备具有可读写保护功能,则在从设备复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过U盘进行病毒传播。对Windows Xp操作系统,单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。
(3)实时监控,杀毒先行
对杀毒软件和个人防火墙要实时监控,确保杀毒软件及其个人防火墙都在正常运行。在使用移动存储设备时,首先查杀移动存储设备中的文件,在确定无病毒的情况下,再进行其他操作。Windows操作系统默认不显示隐藏文件和系统保护文件,病毒往往利用这一点进行病毒隐藏和传播,因此需要通过“文件夹”-“查看”选项,选择“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”复选框,方便查看U盘以及系统其它盘中是否隐藏病毒文件。
(4)在所有磁盘中创建Autorun.inf文件夹
U盘病毒一般都是利用Autorun.inf文件来进行传播,根据Windows操作系统文件以及文件夹名称唯一性原则,系统仅存在唯一名称文件,因此可以在系统所有磁盘中建立一个名称为“Autorun.inf”的文件夹,使U盘病毒不能创建Autorun.inf文件而达到防范U盘病毒的目的。
(5)谨慎下载,安全运行
在需要软件时,尽量到正规大型网站进行下载,下载后对软件进行查杀毒处理,防止软件被捆绑木马程序。如果需要运行在重要计算机上面,必须进行安全性测试,确保该软件对系统不会造成危害。
(6)做好系统和数据备份近年来,计算机木马病毒往往带有较强的商业利益目的,尤其是以U盘为传播介质的病毒。例如熊猫病毒、AV病毒,会对所有可执行文件进行感染,如果处理不好,将会带来巨大的经济损失。因此平时对重要数据和系统一定要做好备份,做到随时可以恢复系统,并正常运行。
(7)使用一些移动存储专用管理软件 根据数据资料的价值,安装移动存储专用管理软件来进行U盘资料的保护,这些软件往往具有文件加密等功能,U盘资料只能在指定计算机和指定网络中使用,到其它计算机上无法读取,即使读取也是乱码,从而保证数据的安全。
(8)对移动存储设备的一切权限变更和一切文件操作,全部都有日志记录和审计。(9)非法U盘,进不来。所有能在内部使用的U盘、移动硬盘必需通过授权认证,没有经过授权的U盘和移动硬盘无法使用。
(10)授权U盘,拿不走。即使是经过认证的移动存储设备,其保存的机密文件都进行了高强度加密存储,并完全隐藏。授权U盘、移动硬盘在内部如常使用,但在外部计算机看不见任何信息。
(11)其他常见U盘病毒症状及防范方法。①.rose.exe专杀
症状:右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。
防范办法:将U盘插入电脑,当出现操作提示框时,不要选择任何操作,直接关掉;进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。
②.doc.exe病毒(即:word病毒)
症状:U盘插入后,即被写入win32.exe、win33.exe以及很多.exe的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为doc.exe的进程。
此病毒名为:Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体。中毒后可用专杀工具查杀。
③.U盘破坏者(Worm.vb.hy)病毒介绍:它是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。它会将自身复制到优盘、移动硬盘等移动存储设备上,试图通过它们传播。该病毒运行后会在后台破坏硬盘数据,致使中毒电脑重新启动时完全崩溃,无法进入系统。
症状:如果点击U盘中的“我的电脑”图标后,硬盘灯频频闪动,则很有可能是受到该病毒的攻击,应该立刻关闭计算机,阻止病毒对硬盘数据的进一步破坏。
④.RavMonE.exe、RavMonLog病毒
症状:虽然这个东西没有什么危害,只是另到你打开移动硬盘的速度变得很慢,双击U盘等好几秒就弹出任务管理器模式的文件夹,而不是直接打开。
中毒后:优盘不能正常退出;读取优盘内容速度变慢;查看所有文件,发现多了RavMonE.exe,RavMonLog。
该病毒由如下文件组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog。当用户双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe 解决方法: Step 1.开机时按F8键,进入【安全模式】 我的电脑--工具--文件夹选项--【查看】分页 勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)” Step 2.用任务管理器(Ctrl+Alt+Del)终止 RavMonE.exe进程
1)在开始菜单--搜索--所有文件和文件夹(记得在【更多高级选项】中勾选“搜索 隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们 2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一 文件夹内的,其余的则保留。
3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒
Step 3.在开始菜单--运行--输入regedit,删除注册表的键值:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]C:WINDOWSRavMonE.exe ⑤.不知名的病毒
症状:右键打开U盘,第一项是非正常的“打开”,在第三个位子上是正常的打开。U盘使用者会很轻易的点击最上方的“打开”,即病毒激活。在点击第一个“打开”时,会出现第二个对话框。
杀毒:用木马杀客扫描U盘,将木马隔离,在隔离区删除即可。
(二)非技术防范、(1)从制度上加强管理。对于部分有必要的计算机,才允许使用U盘、移动硬盘;其他计算机禁止使用U盘、移动硬盘等移动存储设备,凡涉密U盘禁止接触上网计算机,凡涉密U盘,在数据处理完毕后,要采取安全删除文件或者低级格式U盘等安全技术措施,严防从U盘中泄漏涉密文件,从源头上保证安全。
(2)专盘专用。交流使用模式U盘仅对外使用,每次使用完毕后进行安全处理,做到外盘专用专处理。存储重要或涉密文件的U盘与一般用途的U盘要严格区分,前者要由专人保管,严格限制其使用范围,在日常工作中不得用于与其他计算机频繁交换文件,尤其要避免在网吧、机房、文印店等公共场所使用。
(3)加强U盘安全意识培训,定期进行安全检查。安全重在安全意识和安全措施的执行力度,定期对安全措施的落实情况进行安全检查,结合安全违规取证系统对计算机进行涉密文件的安全检查并进行相应的安全处理,降低和减少安全隐患。
(4)是要采用安全的U盘打开方式。不要用双击方式打开U盘,而应使用右键点击U盘盘符,选择“资源管理器”选项打开U盘。U盘使用完毕后,最好立即从计算机中拔出,不要长时间插在计算机上,以减少中毒的几率四是要尽量打开U盘写保护功能。部分U盘具有硬件写保护开关,由于任何病毒都不可能启动硬件电路开关,因此在操作使用过程中, 如果只需要读取U盘文件,请打开硬件写保护,防止病毒趁机写入。在内网或涉密计算机中使用 U 盘,尤其应该如此。
(5)要尽量少用U盘传送文件。当出于工作需要必须由内网向 外网或由涉密计算机向普通计算机传送文件时,可将待传送文件刻录在光盘中进行传递。因为通过刻录软件写入光盘的文件需要用户明确指定,病毒很难秘密地将非授权的敏感文件写入光盘。
(6)要注意其他移动存储设备。U盘病毒并非仅通过U盘传播, 所有的移动存储设备都是其传播媒介,如移动硬盘、MP3 和MP4播放器、数码相机和智能手机的扩展存储卡等。
五、结束语
U盘病毒看似普通,如果管理监控不好,将会给个人、企业乃至国家和军队造成重大损失,本文通过对U盘病毒的特点、传播原理等进行了分析,最后从技术和非技术的角度给出了U盘病毒的防范措施,对于U盘安全管理和病毒防范有一定的借鉴和参考价值。
随着计算机的普及与应用, 越来越多的高校配备了多媒体教室。多媒体教室通过教师机、投影仪、屏幕和有源音箱的有机结合, 将教学内容以文字、图画、声音、视频等丰富多彩的形式展现在学生面前, 再辅以教师的板书和讲解, 既提高了学生的学习兴趣和学习效率, 又丰富了教师的教学方法, 是广大教师在教学活动中的好帮手。随着多媒体教室的大量投入使用, U盘被广泛用于教师的教学活动或学术报告, 但同时造成的负面影响是U盘病毒的数量与日俱增。U盘病毒, 顾名思义就是通过U盘 (或类似移动存储设备) 传播的病毒, 如:rose.exe、sys.exe、RavMonE.exe、Worm.exe、Copy.exe、host.exe、doc.exe等, 它们轻则使教师机的右键菜单不正常、打不开U盘、弹出很多窗口、机器运行速度变慢;重则使教师机黑屏、蓝屏、不能进入系统甚至系统崩溃。因此, 对广大教师来说, 有必要了解U盘病毒的传播途径和预防措施, 做到未雨绸缪。
2 U盘病毒的传播途径
U盘病毒主要靠Windows自带的autorun.inf文件启动和传播。首先, 用户在不知情的情况下插入已感染病毒的U盘, 通过自动播放功能或通过双击“我的电脑/H: (假设H代表U盘) ”打开U盘;这时系统自动查找U盘根目录下的隐藏文件autorun.inf, 并自动执行其中的恶意代码, 调用U盘中的病毒文件, 使计算机感染病毒;然后对A到Z驱动器进行遍历搜索, 写入被病毒文件修改过的autorun.inf文件和病毒主体文件。当这台计算机被插入新的移动存储设备, 会被病毒写入这两个文件用来感染其他计算机, 从而达到传播的目的。
autorun.inf文件自Windows95就已经存在, 设计初衷是为了方便用户访问光盘、U盘、移动硬盘、MP3、MP4和数码相机等移动设备, 其本身不是病毒, 但它的功能却被黑客利用了。autorun.inf文件是驱动器 (分区) 根目录下的有一定格式的文本文件, 进入某分区的时候会首先判断是否有该文件, 如果有则读取其内容并自动执行autorun.inf中指向的可执行文件, 如.exe、.com、.bat等。常见的autorun.inf文件格式如下:
[Autorun]//表示autorun部分开始, 必须输入
ICON=C:*.ico//指定给C盘一个个性化的盘符图标
OPEN=C:*.exe//指定运行程序的路径和名称, 只要在此放入病毒程序就可自动运行
因此一旦用户双击打开U盘或系统自动运行时, 实际上就是运行了U盘内autorun.inf文件所指向的病毒程序, 用户的计算机在不知不觉间就感染了病毒。
感染U盘病毒的计算机一般有以下现象:
(1) 双击盘符不能打开, 当用右键单击U盘时, 发现右键菜单的第一项不是常规的“打开”, 而变成了“自动播放”、“Open”、“Browser”等选项。
(2) 计算机的分区或U盘里增加了一些隐藏文件。在计算机的“文件夹选项”中选中“显示所有文件和文件夹”的操作后, 发现计算机的分区或U盘里有autorun.inf文件或伪装成回收站的Recycler文件夹等来历不明的文件或文件夹。
3 U盘病毒的预防措施
掌握了U盘病毒的传播途径后, 就可以采取一些有针对性的措施来预防U盘病毒。
(1) 修改Windows的组策略, 关闭系统的自动播放功能。其具体步骤如下:首先单击“开始”菜单的“运行”命令;在“打开”对话框中, 输入“gpedit.msc”并单击“确定”, 打开“组策略”窗口, 它有左右两栏。然后, 在左栏单击打开“计算机配置”下的“管理模板”文件夹下的“系统”子文件夹;这时右栏会出现“系统”的许多属性, 其中一项正是“关闭自动播放”。最后, 双击“关闭自动播放”, 在“设置”选项卡中选中“已启用”和“所有驱动器”选项, 单击“确定”按钮即可。
(2) 修改注册表, 关闭系统的自动播放功能。其具体步骤如下:首先单击“开始”菜单的“运行”命令;在“打开”对话框中, 输入“regedit”并单击“确定”, 打开“注册表编辑器”窗口。然后在左栏中单击打开“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”, 这时右栏显示该路径下的“NoDriverTypeAutoRun”键, 它的键值默认是95H, 双击该键, 将键值改为9dH, 最后关闭注册表编辑器即可。
(3) 使用前先用杀毒软件扫描, 确定U盘安全无毒后再打开U盘。知名的杀毒软件如360杀毒软件、瑞星2010、金山毒霸2010、江民杀毒软件 (KV2010) 、诺顿、卡巴斯基等都具备查杀U盘病毒的功能。但要注意:两款不同的杀毒软件装在同一台计算机上容易引起冲突, 使系统速度变慢, 所以安装一款即可。本文推荐安装360杀毒软件, 这是一款完全免费且功能强大的杀毒软件, 安装后可在其主窗口设置“U盘防火墙”为打开, 可在插入U盘时关闭自动播放, 自动检测并清除autorun, inf文件, 保护系统安全。另外, 也可安装U盘病毒的专杀工具, 如360安全卫士、USBCleaner、QQ医生等。
(4) 通过建立同名文件夹, 防止U盘病毒创建autorun.inf文件。利用在Windows操作系统中, 同一目录下, 同名的文件和文件夹不能共存的原理, 在U盘的根目录下建立一个文件夹, 名字就叫“autorun.inf”。这样, U盘病毒除非先删除该文件夹, 不然是无法再创建autorun.inf文件的, 从而可以达到预防U盘病毒的功能。
4 结束语
随着使用U盘的教师不断增加, U盘病毒的威胁日益加剧。广大教师应该加强防范意识, 安全使用U盘。例如:以下2点可作为多媒体教师机使用的注意事项, 贴在多媒体教室的中控台 (讲台) 上:
(1) 使用U盘时, 应先用杀毒软件或专杀工具扫描;不要双击打开U盘, 而应右键单击它的盘符, 然后在快捷菜单中选“打开”。
(2) 禁止学生用U盘在教师机上拷贝课件;若学生需要课件, 教师可课后将课件发到学生班级的公共邮箱 (或QQ共享) 上。
衷心希望广大教师能够通过对本文的阅读, 清楚地认识U盘病毒的危害和防范措施, 有效地阻止U盘病毒的入侵和传播, 确保多媒体教学活动的顺利进行。
摘要:结合多媒体教室计算机维护的实际经验, 分析了U盘病毒的传播途径, 指出它主要利用autorun.inf文件和Windows的自动播放功能进行传播。因此对症下药, 提出了四点具体的U盘病毒预防措施:修改组策略、修改注册表、安装杀毒软件和专杀工具、建立同名文件夹。
关键词:U盘病毒,autorun.inf文件,自动播放
参考文献
[1]姚红星, 张泽锋, 赵峰.U盘病毒的有效防治[J].新乡学院学报 (自然科学版) , 2009 (3) :55-56.
[2]杨正彬.基于计算机U盘病毒防范的应用研究[J].才智, 2009 (17) :145-146.
[3]周亚萍.U盘病毒的分析及研究[J].才智, 2009 (20) :160-161.
[4]岳光远.如何更好地防止网络病毒的入侵[J].北京物资流通, 2008 (4) :50, 66.
[5]甄保社.防毒软件应用综述[J].中华医学图书情报杂志, 2008, 17 (4) :61-64.
[6]王文超.浅谈普通高校多媒体教学电脑的维护[J].电脑知识与技术, 2009, 5 (23) :6497-6498.
[7]张汉良.浅谈多媒体教室计算机维护[J].科技风, 2008 (11) :112.
[8]胡晓燕.高校多媒体教室计算机维护方案[J].决策管理, 2008 (1) :74.
[9]文戈.AUTORUN.INF病毒的原理及其防范技术[J].福建电脑, 2009 (7) :153.
U盘病毒对于局域网环境的企业来说也是一个很头疼的事情,由于员工随意插拔使用U盘,经常导致U盘病毒在企业局域网环境下肆意泛滥,给企业网管员带来了不小的麻烦。今天我们分析的这个U盘病毒,会将U盘上的数据隐藏,并会在U盘上生成一个恶意的快捷方式,只要我们打开这个快捷方式,就会触发病毒执行。
病毒样本介绍
先来看一下该病毒样本的相关信息:
File:~%PHENOVECNYE.ini
Size:23M
MD5:69425684F5C155AAD52D0A6C8E41E2FA
瑞星V16+:Worm.Win32.Agent.aym
此病毒样本截图如图1所示,瑞星v16+查杀该样本截图如图2所示。
图1:病毒样本
图2:瑞星V16+对病毒样本查杀截图
病毒样本只是一个lnk快捷方式,并不是~%PHENOVECNYE.ini,我们取消系统的隐藏显示再来看一下。点击工具菜单-文件夹选项,如图3所示,取消隐藏受保护的操作系统文件(推荐)勾选,及隐藏文件和文件夹下面选择显示所有文件和文件夹。
图3:取消系统的隐藏文件
取消系统隐藏文件后,再来看一下病毒样本,文件夹下多了很多文件,如图4所示。
图4:取消系统隐藏文件后,显示出病毒样本~%PHENOVECNYE.ini
我们先来简单分析一下lnk文件,右键点击lnk选择属性,如图5所示。
图5:查看lnk快捷方式文件的属性
我们看到这个lnk快捷方式的目标类型是应用程序,目标是%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini,lnk。如图6所示,这个快捷方式原来是调用系统的rundll32.exe来运行~%PHENOVECNYE.ini。大家可能有点奇怪,~%PHENOVECNYE.ini只是一个ini文件,为什么这个快捷方式要通过rundll32.exe来运行它呢?接下来我们再来分析一下~%PHENOVECNYE.ini文件,看它到底是什么文件类型。
图6:查看lnk快捷方式的属性,其目标为%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini
我们使用winhex工具打开~%PHENOVECNYE.ini文件,在winhex的字符串显示区域,我们看到了MZ头,标准的pe文件头,如图7所示。
图7:winhex显示~%PHENOVECNYE.ini文件实际上是一个可执行程序
Winhex只是能说明~%PHENOVECNYE.ini文件是一个可执行程序,但具体这个文件是dll或exe,还是驱动?我们使用IDA工具查看一下文件的输出点,如图8所示,IDA显示~%PHENOVECNYE.ini的Exports为DLLEntryPoint,原来这个~%PHENOVECNYE.ini是一个dll文件。我们知道要执行一个dll文件,需要使用系统的rundll32应用程序,有时当然还需要加上dll运行参数,这样才能将dll跑起来。所以有时候我们不能只通过查看文件的扩展名来识别文件类型,有些病毒文件会伪装成正常的系统文件名来迷惑大家。怎么来分辨呢?简单的就是用记事本直接打开文件,查看一下文件头,就大概知道这个文件到底是什么文件类型。
图8:IDA查看~%PHENOVECNYE.ini的Exports为DLLEntryPoint
病毒行为分析
在这次病毒行为分析中,我们使用SFF这款工具。当然,在开始运行病毒前,开启SSF的监控,直接双击lnk快捷方式,过一会儿,SSF监控到如下的病毒行为,如图9所示,rundll32.exe执行C:ATICatalyst.exe。
图9:rundll32.exe执行C:ATICatalyst.exe
点允许后,SSF又监控到是否允许Catalyst.exe创建一个傀儡进程Catalyst.exe,如图10所示。
图10:是否允许创建傀儡进程Catalyst.exe
从图10来看,两个Catalyst.exe的pid是不同的,实际就是Catalyst.exe同时创建了一个傀儡进程,而这个傀儡进程就是它自己。这里继续点允许,SSF监控到C:ATICatalyst.exe要运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com,如图11所示。
图11:是否允许Catalyst.exe运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com
小结一下:~%PHENOVECNYE.ini跑起来后,首先在C盘下创建ATI文件夹,同时写入病毒文件Catalyst.exe,Catalyst.exe同时会创建一个它本身的傀儡进程,同时还会在系统临时目录下释放一个随机文件名的com病毒程序,之后交由Catalyst.exe来运行com病毒程序,如图12所示。
图12:SSF拦截到的Catalyst.exe运行临时目录下的com病毒程序行为
允许seynhbuoetjzoetnzoepfqgvpfqkeyne.com运行后,SSF也监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com同时也要创建一个自身的傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com,如图13所示。
图13:seynhbuoetjzoetnzoepfqgvpfqkeyne.com创建自己为傀儡进程
在允许创建傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com后,SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统程序wupdmgr.exe,如图14所示。
图14:seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统wupdmgr.exe
wupdmgr.exe是windows update manger的缩写,是自动升级的程序。我们接下来看一下,病毒程序seynhbuoetjzoetnzoepfqgvpfqkeyne.com要调用系统wupdmgr.exe程序干什么坏事。继续允许它运行wupdmgr.exe,SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要修改wupdmgr.exe内存数据,如图15所示。
图15:修改wupdmgr.exe内存数据、注入
在我们允许之后,SSF又监控到同样的病毒行为提示,如图16所示。
图16:两次是否允许修改wupdmgr.exe内存数据
在允许修改wupdmgr.exe内存数据后,SSF监控到wupdmgr.exe在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun下,写入名称为47801的启动项,如图17所示。
图17:wupdmgr.exe创建启动项47801
到这里我们先来印证一下SSF监控到这些病毒行为,如图18所示,病毒样本的确是在C盘根目录下创建ATI文件夹并写入病毒文件Catalyst.exe。
图18:病毒样本运行后写入的病毒文件Catalyst.exe
图19所示的是病毒样本~%PHENOVECNYE.ini在系统临时目录下写入的病毒文件seynhbuoetjzoetnzoepfqgvpfqkeyne.com。
图19:系统临时目录下的病毒样本seynhbuoetjzoetnzoepfqgvpfqkeyne.com
再使用xuetr工具查看一下系统当前进程及启动项,如图20所示,在进程列表里我们看到wupdmgr.exe,其父pid为1480,也就是seynhbuoetjzoetnzoepfqgvpfqkeyne.com,seynhbuoetjzoetnzoepfqgvpfqkeyne.com修改wupdmgr.exe内存数据并将其启动起来,为病毒下一步干坏事做好准备。
图20:xuetr进程列表显示wupdmgr.exe已经运行起来
再来看启动项,wupdmgr.exe写入启动项名称为47801,其执行路径为:C:Documents and SettingsAdministratorLocal SettingsTempccwaaiehv.bat,如图21所示。
图21:wupdmgr.exe写入的启动项
右键点击启动项点定位到启动文件,如图22所示,我们来看一下这个bat到底是什么文件。
图22:定位启动文件
图23所示的启动项文件是一个被设置为隐藏的ccwaaiehv.bat。
图23:定位到的病毒文件ccwaaiehv.bat
使用记事本打开这个ccwaaiehv.bat文件,看一下批处理的内容是什么,发现ccwaaiehv.bat其实也是一个pe文件,如图24所示。
图24:ccwaaiehv.bat文件头为MZ标准的pe格式文件
我们提取ccwaaiehv.bat和Catalyst.exe这两文件,使用瑞星V16+查杀一下这两个样本,如图25所示,瑞星V16+对这两个文件报毒,
图25:V16+查杀这两个病毒样本
实际上,在wupdmgr.exe被修改内存数据,并写入启动项47801后,这个病毒整个已经跑起来了。接下来我们就要进一步触发一下这个病毒,看一下这个病毒后续的行为。怎么触发呢?从这个病毒lnk快捷方式的名称为我的移动(4G)及图4来看,我们猜测这个病毒样本可能针对的是移动存储设备U盘来做文章,既然猜测是这样,我们就给染毒环境插入一个正常U盘,如图26所示,是一个实机正常插入的可移动磁盘。
图26:正常的U盘
我们把这个U盘切换到染毒环境的虚拟机,在切换到染毒环境之前我们将processmonitor这个工具的捕捉功能开启,让processmonitor捕捉一下U盘在切换到染毒环境后的一些病毒行为。如图27所示,完好的U盘在切换到染毒环境下,U盘上的数据都看不到了,只剩下一个HB1_CCPA_X6(8GB)的快捷方式。
图27:U盘上的数据只剩下一个2kb的快捷方式
我们来看一下processmonitor工具都捕捉到了哪些病毒行为,病毒是如何将U盘数据隐藏的。由于Processmonitor捕捉到内容较多,如图28所示,我们直接查找wupdmgr.exe,Processmonitor显示进程wupdmgr.exe的pid为,这样我们就可以设置过滤规则,直接查看进程wupdmgr.exe的行为。
图28:Processmonitor显示的wupdmgr.exe的pid为2000
接下来设置规则分别为pid为2000、操作为写入、操作为设置注册表值这三项,如何设置过滤规则就不详细讲解了,看过我们之前的文章,相信大家应该掌握了。如图29所示,我们添加三条过滤规则。
图29:设置过滤规则
设置好规则后,我们看到在插入U盘(盘符为E:),wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db,如图30所示。
图30:wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db
同时还修改系统注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced的ShowSuperHidden和Hidden的值,如图31所示,图32、33所示的是修改的具体键值数据。
图31:wupdmgr.exe修改注册表值
图32:修改ShowSuperHidden值为0,勾选隐藏受保护的操作系统文件(推荐)
图33:修改Hidden值为2,勾选不显示隐藏的文件和文件夹
这样修改后,我们就无法查看系统隐藏的文件,其目的就是隐藏U盘上的数据,使我们无法查看到,因为病毒将U盘的文件都设置了隐藏属性,同时wupdmgr.exe向U盘写入病毒文件~%YZUAWLLH.ini,如图34所示。
图34:wupdmgr.exe写入病毒文件~%YZUAWLLH.ini
写入的病毒文件和我们之前运行的~%PHENOVECNYE.ini文件名不同,但其实都是同一个病毒程序。Processmonitor工具同时还捕捉到了wupdmgr.exe向U盘写入lnk快捷方式,如图35所示。
图35:wupdmgr.exe写入的以U盘名及大小为文件名的lnk快捷方式
右键查看U盘上lnk快捷方式的属性,发现同样也是通过系统的rundll32来运行的~%YZUAWLLH.ini,手法和我们的本例讲解的病毒样本一致,如图36所示。
图36:U盘上lnk快捷方式属性
病毒处理
以上是病毒样本的行为分析,接下来我们讲一下如何手动处理这个病毒。使用xuetr工具来处理,如图37所示,使用xuetr先结束进程wupdmgr.exe,之后再删除病毒样本写入的启动项及文件,如图38所示。
图37:结束wupdmgr.exe进程
图38:删除病毒写入的启动项47801及对应文件
之后还要删除在C盘根目录下创建的ATI文件夹,如图39所示。
图39:删除病毒写入的ATI文件夹
接下来恢复病毒样本修改的注册表项,如图40所示,使用xuetr注册表定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced,将ShowSuperHidden的值修改为正常1,如图41所示。
图40:恢复病毒修改的ShowSuperHidden的注册表值
图41:修改ShowSuperHidden正常键值为1
如图42及图43所示,使用xuetr工具恢复病毒修改的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden注册表值。
图42:恢复病毒修改的Hidden的注册表值
图43:修改Hidden正常的键值为1
注册表项修改为正常值后,我们就可以看到U盘上隐藏的病毒文件及一个U盘图标似的文件,如图44所示。
图44:U盘上写入的病毒文件及被隐藏的U盘数据
我们打开那个类似U盘图标的文件夹,如图45所示,所有的U盘数据都在这里。
图45:类似U盘图标下的所有U盘数据
接下来将U盘上病毒写入的病毒文件删除,右键选中U盘上病毒写入的文件点删除即可,如图46所示。
图46:删除U盘上病毒文件
删除之后就剩下了那个类似U盘图标的文件夹,如图47所示,这里可是有我们U盘上的数据,不能删除。如何恢复正常的U盘呢?重新插拔一下U盘即可,如图48所示。至此,我们手动完成了处理这个病毒。
图47:剩余的类似U盘图标的文件夹
图48:重新插拔U盘后,U盘恢复正常
瑞星V16+对病毒预防的方法
来讲解一下如何使用瑞星V16+来防范这类病毒。通过前面对病毒行为的分析,病毒修改了系统wupdmgr.exe内存数据并创建一个自身的傀儡进程wupdmgr.exe。那么我们就使用瑞星V16+的系统加固自定义规则,添加一条文件访问规则,监控任何程序访问或修改c:windowssystem32wupdmgr.exe时都给予提示,如图49所示。
图49:瑞星v16+添加文件访问规则,监控c:windowssystem32wupdmgr.exe
还需要将系统加固的默认优化选项默认放过包含厂商数字签名的程序文件及默认放过瑞星云安全鉴定安全的程序文件勾选取消,如图50所示。
图50:取消系统加固默认优化选项
再跑一下这个病毒样本,跑样本前关闭瑞星文件监控,过一会瑞星V16+系统加固拦截到有可疑程序试图打开c:windowssystem32wupdmgr.exe,如图51所示。
图51:系统加固拦截到可疑程序打开c:windowssystem32wupdmgr.exe
从图51来看,重新运行了病毒样本,该病毒样本在系统临时目录下,创建32位随机命名的com病毒文件。来看一下是否在C盘创建了ATI文件夹并写入了病毒文件Catalyst.exe,如图52所示,果然在C:ATI写入了病毒文件Catalyst.exe,说明病毒已经跑起来了。
图52:再次运行病毒样本,在C:ATI写入病毒文件Catalyst.exe
图52-1所示的是病毒文件Catalyst.exe在系统临时目录下创建32位随机命名的com文件。
图52-1:写入系统临时文件夹的32位随机com病毒文件
图52和图52-1都充分说明病毒已经跑起来了,在瑞星V16+系统加固拦截到病毒样本试图打开c:windowssystem32wupdmgr.exe,注意系统加固默认是阻止,在我们不选择处理方式后,系统加固自动拦截该行为。使用xuetr工具查看当前系统进程里,没有wupdmgr.exe,如图53所示。
图53:当前进程列表没有wupdmgr.exe
继续查看启动项,发现HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun也没有被写入可疑启动项,如图54所示。
图54:xuetr显示无可疑启动项
插入U盘到染毒环境再测试一下,看看U盘的数据是否还会被隐藏并变成一个快捷方式。如图55所示,插入U盘后一切正常,说明设置的规则能成功拦截该样本。
图55:插入U盘到染毒环境,U盘一切正常
剩下的就好办了,手动删除掉病毒创建的两个无用的病毒样本即可,如图56所示。
图56:回收站里被删除的两个无用的病毒样本
但输入ls -l命令发现,属性竟然全不是?
结果是删不掉了。
经过多方查询得知原因是linux不能处理以“.”结尾的文件。所以在这个地方不能删除。
不过解决的办法是有的。
方法如下:
如果你是系统自动挂载U盘,请先umount
然后,输入如下:
sudo mount -t msDos /dev/sd* /media/disk
这里和默认不同的是
-t参数从vfat 变成msdos,
因为vfat是针对fat32。msdos是针对fat16。
当再次打开U盘,会发现。名字已经变成了autorn。因为fat16的文件名只能显示6位。如果有多的只能用,省略。
近年来随着USB存储器 (即U盘) 价格大幅下降, U盘已经成为计算机用户广泛使用的外存储设备, 同时U盘也成为病毒和木马程序进行传播的重要媒介。一旦感染U盘病毒, 计算机的系统资源会被大量消耗、甚至损坏数据文件;另外U盘病毒具有传播范围广、速度快的特点, 这些特征使得U盘病毒成为用户数据和系统安全的重要隐患。本文从笔者的工作经验出发, 阐述了U盘病毒的现象、危害特点、产生原理, 并对U盘病毒的解决和预防提出了具体的技术措施。
1 U盘病毒的表象和危害
1.1基于U盘的病毒含义
基于U盘的病毒不是一种具体的病毒, 而是指以移动存储设备为病毒携带载体在计算机间进行传播的病毒, U盘最常用故也称为U盘病毒。U盘病毒的特殊之处在于它使用了XP系统对诸如U盘的移动存储设备进行自动打开播放的性能, 使电脑用户在无意之中就感染病毒。常见的U盘传播的病毒有folder.exe、autorun.inf、sxs.exe、rose.exe等, 这些Viruses感染计算机后都会用隐藏的方法来避免被杀毒软件或用户发现, 通常Viruses的程序将自身的文件的属性设置为“隐藏”或者应用一些图标和文件名来仿冒成正常形式瞒过用户。计算机感染U盘病毒后, 电脑中的数据资料都可能被病毒窃取或损坏, 有的还可使XP系统运行出现缓慢或死机。
1.2 U盘病毒现象及其危害
U盘病毒感染计算机后, 电脑会发生一些异常状况, 了解常见病毒故障现象可以帮助我们对U盘病毒及时识别。辨别电脑是否受到U盘病毒的侵袭, 可以通过以下现象来判断:①电脑自动发现U盘的速度将变慢, 用鼠标双击硬盘各分区的盘符以及U盘有的不能打开 (严重时全部不能打开) , 此时只能通过鼠标右键或者通过Windows窗体地址 (D) 栏目打开;②U盘或其他硬盘的分区符号被替换成异常的图标;③当使用鼠标右键单击硬盘分区或者U盘的盘符并打开菜单后, 第一子菜单不是原先的“打开”项目, 菜单项目中会增加诸如“自动播放”、“open”、“Browser”等, 同时U盘也无法通过软删除方法从电脑上关闭拔出;④将电脑的隐藏文件和文件夹的功能关闭, 打开显示隐藏文件的功能, 这时在计算机各个硬盘分区和U盘中会发现异常的非系统文件;⑤各盘中出现Autorun.inf的文件, 同时原来U盘和各个分区的一些文件消失, 但应用显示隐藏文件的系统功能, 这些消失的文件恢复正常;⑥有的U盘或者系统分区不能执行格式化命令。如果计算机出现上述现象, 一般即可判定为中了U盘病毒, 此时若将U盘插入其它计算机试验则会导致更多的病毒感染。
计算机被感染U盘病毒后会对用户造成很多危害, 常见的有:①U盘自身不能正常使用, 可能无法打开U盘, 或即使打开却无法找到原来的数据资料;②一些U盘病毒会损坏XP系统的系统文件, 造成很多硬盘软件和文件无法使用;③有些文件会被病毒删除、窃取甚至修改, 例如将WORD、POWERPOINT等文件名后缀修改成.exe等形式, 导致文件无法打开;④利用木马病毒对电脑实施异地监控, 偷窃数据资料。
2 U盘病毒传染原理
2.1 U盘病毒传播原理
使用Autorun.inf文件进行感染是目前U盘病毒传播的主要方式。Autorun.inf是U盘或系统分区下一个隐藏系统文件, 这个文件并非U盘病毒。Autorun.inf文件是一个纯文本的脚本文件, 该文件中保存着指定计算机自动运行的程序及其目录, 即该文件的存储是用于安装的命令行, 这些命令是指引U盘或系统分区或光盘自动运行的软件。
XP系统的自动播放功能即当U盘或光盘插到电脑上就自动运行指定位置的程序, 实现软件的自动安装和运行, 这种自动功能就是通过Autorun.inf文件实现的。U盘病毒只用该文件的这个特性, 将病毒程序植入其中, 当U盘连接到计算机时便会自动运行预先指定的病毒软件向系统各分区的根目录复制并运行。含有U盘病毒的Autorun.inf文件格式如下:
2.2 U盘病毒隐匿方式
U盘病毒的隐匿方法有两种。第一种是False Recycling Mode, Viruses在U盘中建立一个虚假的回收站目录RECECYLER, 然后将Viruses程序放在最深层的目录下, 通常此目录被用户误认为是Recycling station, 而实际名称是RECYCLED;第二种方式是将Viruses的名字更改为类似Antivirus software或其他常用的软件名并以.exe结尾, 这样可以躲避杀毒软件或人工的查找。
2.3 U盘病毒运行过程
U盘病毒和计算机之间是互相感染的, 这里对此过程简述。
(1) U盘被感染。
计算机自身有病毒在运行, 且Viruses在时刻监控是否有U盘接入电脑;当有U盘插到电脑, Viruses程序迅速将带有病毒执行命令行的Autorun.inf文件复制并建立在该U盘内, 并在其上做好自身隐藏。
(2) U盘病毒的传播。
被感染的U盘接入其他计算机后, 病毒会通过Autorun.inf文件自动运行并被传染到该电脑。
3 U盘病毒防御的技术措施
3.1 禁用U盘的自动运行功能
3.1.1 应用Shift功能键
U盘插入计算机USB接口时一直按下shift键, 当XP系统提示“移动存储设备可用”, 此时即已经避免了U盘被计算机自动打开, 这种防止U盘自动播放运行的方法十分简单, 但是只适用于本次的情况, 下次插入U盘还要执行此操作。
3.1.2 使用组策略编辑器
XP系统通常将自动运行U盘的功能默认为开启状态, 这是病毒得以传染给计算机最主要的途径, 因此应将此功能关掉。使用组策略编辑器可以彻底将此功能禁用, 具体步骤是:①在“开始”程序组中打开运行对话框, 键入gpedit.msc命令并单击确定按钮即可打开组策略编辑器;②在组策略窗口中, 依次打开左侧层叠的菜单项“计算机配置-管理模板-系统”, 再在右侧打开的“系统”窗口找到“关闭自动播放”选项, 用鼠标双击该项目出现其属性窗口;③在设置选项卡中将“关闭自动播放”的单选按钮的“已启用”选中, 然后在其右侧的下拉菜单中选择“所有驱动器”, 最后单击属性窗口的“应用”和“确定”按钮。
上述步骤完成后, 重新启动计算机设置即可生效, 即U盘插入电脑后不会自动打开运行, 这样就不会使U盘病毒主动传染给电脑。
3.1.3 应用注册表彻底禁用Autorun运行
应用Registry Editor可以关闭XP系统自动播放U盘等移动存储设备的功能, 具体方法是:在开始程序组打开运行命令的对话框, 键入Regedit命令即可打开Registry Editor, 依次展开左侧层叠的子菜单HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr-entVersionPoliciesExplorer, 在这两个项目下分别找到“NoDriveType AutoRun”和“ClassicShell”。这两个键决定是否执行U盘AutoRun功能, 依次分别赋值255、01即可。
3.2 建立U盘的自身保护文件
根据U盘病毒传播的原理可知, U盘病毒传播的载体是autorun.inf文件, 所以只要防范病毒不创建或改写该文件即可达到目的。在U盘或系统分区的同一目录下同名的文件或文件夹是不能共存的, 因此可在每一分区或U盘根目录下都建立一个autorun.inf文件夹, 这样即可阻止由病毒建立autorun.inf文件, 从而使得病毒失去传播的载体。需要强调的是这里创建的是autorun.inf文件夹而非文件, 病毒所要篡改并建立的是脚本文件autorun.inf, 创建同名的文件夹可以预防病毒建立同名文件。这种方法的不足在于只适用于尚未感染的U盘病毒, 一旦感染U盘病毒即病毒建立的autorun.inf文件存在, 就不能建立同名的文件夹了。
3.3 U盘使用的禁忌事项
为了有效避免U盘感染病毒, 在使用过程中我们应注意以下事项:①U盘在机房、网吧等公共上网场所使用后要杀毒处理, 另外查看U盘中是否产生autorun.inf或后缀为.exe的文件;②打开U盘时应使用右键而不要进行双击打开;③应用U盘进行数据的STORE和COPY时, 应当使用杀毒软件监控防止病毒感染U盘;④将XP系统的文件查看功能设为显示所有文件 (包括隐藏文件) , 这样有利于发现病毒和受到感染的文件 (后缀多为.exe结尾) ;⑤新型的U盘有硬件写保护功能, 一般应当打开写保护, 这样可以避免病毒感染。
4 清除U盘病毒的常用方法
4.1 应用杀毒防护软件进行清理
使用杀毒软件对U盘病毒进行查杀是最常用、也是效果最好的方法。现在常用的360软件的木马防火墙软件就能对U盘进行安全防护, 其他类型的杀毒软件也都具有相似的功能, U盘病毒的查杀和对U盘的免疫保护软件都能起到较好的作用。另外, 还有一些专业的U盘病毒查杀工具软件如USBCleaner, 该软件可实现U盘病毒免疫并可修复受损文件。
4.2 手工清理U盘病毒
4.2.1 清理隐藏病毒
被U盘病毒感染的多数文件会以.exe结尾, 因此可以将文件夹中文件类型扩展名隐藏的功能打开, 这样就只有被感染病毒带有.exe后缀的文件被暴露出来, 此时手工清除即可。另外, 一些被感染的文件还可能隐藏起来, 因此显示所有隐藏文件后, 将被感染的带有.exe的文件全部清理。
4.2.2 常见病毒现象处理
U盘或系统分区无法打开, 只能使用鼠标右键。U盘病毒的主要载体是autorun.inf文件, 发生U盘病毒后该文件即被病毒改写成为其载体, 将此文件清除即可。另外, QQ盗号病毒也常伴随U盘病毒, 但这些病毒文件属性为隐藏, 将系统查看文件功能改为显示所有隐藏文件, 找到该文件删除。我们还可使用DOS命令来清除, 在系统运行命令框键入cmd, 再使用dir/a命令即可看到autorun.inf和sxs.exe病毒文件, 最后使用delete命令即可删除。再次启动计算机, 盘符就可以正常打开了。
4.3 清理IE保护黑名单病毒
IE保护黑名单是一种特殊的U盘病毒。此病毒在双击U盘或上网安装ActiveX插件时中毒, 其危害和常见的autorun.inf病毒相当。U盘或系统分区中毒时, 根目录下会产生在每个磁盘的根目录下生成一个auto.exe和autorun.inf以及在系统system32%下产生成一个随机8个字母和数字组合成的exe文件。这种病毒的清除方法是:①在XP系统的Task Manager中把上述产生的可疑文件均结束其进程运行;②运行System Repair Engineer (Sreng) 软件, 分别单击“To start the project”、“Service”、“Service application”后选中其中的隐藏项目, 将前述可疑文件项目找到并选中其下的“删除功能按钮”, 在对话框中单击“否”即可;③在系统运行框中键入msconfig然后单击确定, 启动系统配置使用程序, 在“启动”选项卡中将可疑的病毒文件名称前的复选框的对勾去掉, 最后单击“应用”和“关闭”按钮;④U盘病毒感染计算机后, 会产生大量以.bak、.tmp、.*为后缀的可疑文件, 这些文件也都带有病毒, 应该全部清除。
5 结束语
本文系统探讨了感染U盘病毒的症状、病毒产生机理及对计算机和文件的危害, 提出了预防U盘病毒的方法和清除U盘病毒的技术措施。但是互联网病毒不断增加和变种, 即使采取了本文提到的方法, 也很难保证万无一失。因此, 在应用新技术手段保护U盘的同时, 平时使用过程中还应对重要文件做好备份工作, 对计算机系统安装还原软件或硬件保护卡, 只有这样才能有效避免U盘病毒对系统和文件的破坏。
参考文献
[1]徐玮.U盘病毒的分析与防治[J].科技信息, 2010 (15) .
[2]丁彦英.常见U盘病毒故障分析[J].福建电脑, 2008 (7) .
装操作系统的方法
对于使用Windows的普通用户来说,安装操作系统一般都是采用光盘安装的方式,不过对于13寸以下的便携小本来说,通常都没有配置光驱。其实,我们完全没有必要依赖光驱,通过U盘安装操作系统是一种非常实用的方式,下面分享两种使用U盘安装系统的方法。
方法1:使用Windows7 USB/DVD Download Tool制作安装盘
Windows7-USB-DVD-tool是微软官方发布的一个小工具,它可以非常简洁方便把U盘制作成Windows 7的安装盘。
首先我们先下载Windows7 USB/DVD Download Tool,然后安装;准备一个大于4GB的U盘,将其中的数据备份出来了,因为制作的过程中会将U盘格式化;最后在微软官方下载Windows 7的镜像文件,这些都准备好后,双击进入Windows7 USB/DVD Download Tool。
Windows7 USB/DVD 初始画面
进入Windows7 USB/DVD 初始画面后,单击Browse,选择刚才下载的Windows 7镜像文件,之后单击Next。
没有使用官方的Windows 7镜像会出问题
如果我们没有使用官方提供的Windows 7镜像,在单击Next之后会提示出错,在这里我们使用的是来自联想的一张系统盘,操作无法进行。
顺利进入第二步
改用官方的Windows 7镜像后,则会进入第二步,在这里我们可以选择制作的安装盘的方式,我们可以选择U盘和DVD光盘两种介质,在这里我们选择USB devcie。
如果我们以插上U盘,则会正确识别
这个画面是U盘已经被成功识别,如果没有检测出来,点选设备下拉菜单选项后面的刷新图标可以进行刷新检测,一般状况下可以正常识别出来,选择您需要制作为安装盘的U盘,点击右下角的Begin Copying,软件就开始制作了。
软件开始制作
最后提示制作成功,我们可以拔下U盘
制作完成之后,我们将U盘插在需要安装系统的电脑上,当然这个电脑必须支持从USB设备启动。把U盘插好后,开机,在开机初始画面的下方会有提示按F12进入BOOT菜单,(各厂商具有不同,惠普为F9,联想、DELL为F12)或者进入BIOS菜单,在设置启动项中将第一启动设备设置USB。之后就可以进入Windows 7安装过程了。
方法2:使用UltraISO制作系统安装闪存
除了前一种使用Windows7 USB/DVD Download Tool之外,我们还可以使用UltraISO制作,方法同样非常简单。同样我们需要下载UltraISO和Windows 7的镜像,之后安装UltraISO。
一定要以管理员身份运行
在安装完成UltraISO之后,一定要右键,选择以管理员身份运行,如果直接双击有可能造成无法成功写入。
运行UltraISO后打开要写入U盘的系统镜像文件
打开需要的镜像之后是这个样子
在启动菜单下选择写入硬盘镜像
这一步注意写入方式:执行“写入硬盘映像”后,在下面的列表中选择你的U盘,在“写入方式”一项中提供了USB-HDD、USB-ZIP、USB-HDD+和USB-ZIP+四种模式,其中两个带加号的为UltraISO开发的最新的提高启动兼容性的增强模式,推荐大家优先使用,如果不行再换用其他两个不带加号的模式。选择完成后,点击“写入”。
点击写入后,提示您U盘上的数据将丢失是否继续
选择是,开始写入
过几分钟后,制作完成
在制作完成后,与上一种方式一样,插在电脑上,设置U盘启动,进入Windows安装程序。
不过现在有了WinToFlash,一切都变得非常简单,它是一个制作优盘系统盘的软件,支持Windows XP、、Windows Vista、Windows 和Windows 7系统,让你可以不用光驱就能轻松安装操作系统,下面我们就以制作Windows XP安装盘为例来介绍软件的使用。
首先我们把一张Windows XP的安装盘放入光盘,再把优盘插入电脑,需要注意的时,优盘的容易要大于XP光盘的容量,一般2G的优盘就够用了,接着将下载的WinToFlash解压,双击运行里面的“WinToFlash.exe”文件,运行后点击主界面上的向导按钮来开始制作。
软件主界面 进入向导界面后我们点击“下一步”按钮来选择Windows XP安装光盘的路径和USB驱动器,选好后点击“下一步”按钮会弹出一个许可协议的窗口,选择“我接收许可协议的条款”后点击“继续”按钮,
选择文件夹 小提示:这里的Windows XP光盘只支持安装版的系统,不支持Ghost镜像安装版的。
此时会弹出一个格式化警告窗口,提示我们优盘将进行格式化操作,里面的数据将全部被删除,点击“确定”按钮就可以对优盘进行格式化,并把XP光盘中的安装程序复制到优盘中,稍等片刻就可以完成安装盘的制作。
格式化警告 当我们需要使用优盘来安装操作系统时,先到电脑的BIOS中设定开机顺序为USB优先,接着插入优盘并重启,选择“1st, text mode setup”,用文字模式开机进入我们熟悉的Windows XP安装程序。
优盘,内存卡,MP3,MP4等闪存盘使用的时候,不小心的话,常常会被感染U盘病毒!被感觉U盘病毒后打开U盘你常常会找不到文件,但U盘容量正常。遇到这种情况,除了求助U盘专杀等软件外,下面u盘启动盘制作工具官网为您提供可以消除U盘病毒的小技术。
方法一
介绍一种几乎尽人皆知的最简单办法。新手必知,老鸟无视便好~这种方法只可以简单还原隐藏文件,遇到“顽固”症状请使用方法二
打开U盘,点击左上角菜单栏里的“组织”按钮(win7)
点击“文件夹和搜索选项”,点击“查看”选项页
找到“显示隐藏的文件、文件夹、驱动器”选项,打钩即可。
方法二
此法利用了attrib命令(来源于attribute :特征,属性),强制修改文件夹的属性,以达到显示隐藏文件夹的功能。以恢复G盘“我的图片”文件夹为例:
点击“开始”按钮,在运行中输入cmd,启动MS-DOS窗口
输入命令:attrib G:“我的图片”-s-h-r
在按回车键后,再查看U盘里面,要找的我的图片文件夹是不是又出现啦!如果要显示G盘里所有文件,可输入:attrib G:“*”-s-h-r /s /d
U盘的图标和菜单是通过盘符下Autorun.inf设置的!
Autorun.inf可直接通过记事本编写,
编写好后将文件保存为Autorun.inf即可,
语法如下:(路径去掉盘符,如I:chenjl.ico则改为chenjl.ico )
[AUTORUN]
ICON=图标文件的位置(一定要ICO文件)
shell数值=右键单击时弹出菜单第数值项的内容
shell数值Command=单击该内容第数值项的时执行的文件
现在U盘非常常见,几乎人手一个,但是使用的时候总是遇到这样那样的问题,特别是新手,一时大意就会造成设备损害,新手经常损害U盘是非常常见的事情,今天在这里重庆红春藤学校计算机专业的王老师就说下使用U盘要注意什么问题:
U盘(也称闪存盘)以它低廉的价格,大容量的存储空间,相对较快的存取速度,现在已经顶替软驱成为我们组装电脑的首选部件之一。虽然它号称有十万次以上的擦写次数,但如果你在日常使用中不加以注意,也很容易出现“早夭”的现象。笔者通过日常使用的经验教训,总结出以下容易导致U盘“减寿”的可能因素,与朋友们共同探讨。
整理碎片,弊大于利
对于很多爱护机器、善于保养的朋友来说,肯定已经养成了经常整理硬盘碎片的好习惯了。在频繁地进行硬盘操作,删除和保存大量文件之后,或系统用了很长时间之后,应该及时对硬盘进行碎片整理。由此及彼,不少朋友在使用U盘之后,肯定也想用磁盘碎片整理工具来整理U盘中的碎片。想法是好的,但你知道吗,这样做反而适得其反。因为U盘保存数据信息的方式与硬盘原理是不一样的,它产生的文件碎片,不适宜经常整理,如果“强行”整理的话,反而会影响它的使用寿命。如果你觉得自己的U盘中文件增减过于频繁,或是使用时日已久,可以考虑将有用文件先临时拷贝到硬盘中,将U盘进行完全格式化,以达到清理碎片的目的。当然,你也不能频繁地通过格式化的方法来清理U盘,这样也会影响U盘的使用寿命。
存删文件,一次进行
当你在对U盘进行操作时,不管是存入文件或是删除文件,U盘都会对闪存中的数据刷新一次。也就是说,在U盘中每增加一个文件或减少一个文件,都会导致U 盘自动重新刷新一次。在拷入多个文件时,文件拷入的顺序是一个一个的进行,此时U盘将会不断地被刷新,这样直接导致U盘物理介质的损耗。所以利用U盘保存文件时,最好用WinRAR等压缩工具将多个文件进行压缩,打包成一个文件之后再保存到U盘中;同样道理,当你要删除U盘中的信息时(除非是格式化),最好也能够一次性地进行,以使U盘刷新次数最少,而不是重复地进行刷新。只有减少U盘的损耗,才能有效地提高U盘的实际使用寿命。
U盘不用,记得“下岗”
很多拥有U盘的朋友,经常将U盘插入USB接口后,为了随时拷贝的方便而不将它拔下。你可知道,这样做法对你的个人数据带来极大的安全隐患。其一,如果你使用的是Windows 2000或是Windows XP操作系统,并且打开了休眠记忆功能,那么在系统进入休眠待机状态下返回到正常状态下,很容易对U盘中的数据造成修改,一旦发生,重要数据的丢失将使你欲哭无泪。其二,对于经常上网的朋友,现在网上的资源太“丰富”了,除了有用的资源,还有很多木马病毒到处“骚扰”,说不定哪天就“溜”进你的U盘中,对其中的数据造成不可恢复的破坏。所以,为了确保U盘数据不遭受损失,最好在拷贝数据后将它拔下来;或者是关闭它的写开关。
热插拔≠随意插拔
【U盘病毒传播的研究论文】推荐阅读:
新型冠状病毒传播途径及预防措施是什么06-19
网络传播对人际关系的影响论文06-01
危机传播论文02-03
病毒的作文精选07-07
病毒的易感人群02-12
植入式广告的品牌传播效果研究问卷03-02
浅论景观文化的数字化传播的论文11-21
新闻传播实务论文06-30
新闻传播论文解析09-13
大众传播效果研究10-09
