- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理
4 m; a N+ n0 U* P3 u; F U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。/ I- n2 c) u( b4 ]6 I
7 a3 p- |2 a0 D8 u- o图1:U盘插入后,Windows系统会自动询问用户进行何种操作* V B; v2 Y, h6 p& ^3 Z
$ F* ?+ J: {* B. S. y, I 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。9 k9 f+ x" {, q3 l
首先编写一个Autorun.inf
. r) g5 `$ t8 n1 D [autorun]- s8 c( k, K1 \& f, `
OPEN=notepad.exe
) y% t: D) x1 |5 z" ?8 G6 z/ _ shellopen=打开(&O)0 g; b' ~& D' p6 B9 Z
shellopenCommand=notepad.exe
1 T' j7 N+ h6 p8 E: h& Y3 V# X! R shellopenDefault=1' C5 Z4 s% K0 y4 |
shellexplore=资源管理器(&X)0 c( a$ _" \4 A
shellexploreCommand=notepad.exe
6 t9 R; \$ X% U+ c icon=rising.ico9 {" ~) |+ W6 Z! V) \0 k+ _/ H
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。
8 t2 y/ V5 C7 s" [1 J. W7 U8 t X " X6 F9 n: a( n4 Q$ ~% y. j
4 D0 H5 A$ S7 k+ a, O图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录9 o, M* ~& m, l' T
: @( C) N) P5 T
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?: e& {! v1 Z$ p% T7 ]. M/ l
; t5 A+ o. Z9 U& x1 B8 e+ b
* w) T' U. ~8 {) v4 D+ ~! B6 R4 | 图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件6 H3 \# Y/ B) N6 v% U% n3 i
远离U盘病毒& s$ i6 S \/ a. {# C/ l* f
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。 R. h$ B' x% }- T! v: ~
方法一:建立Autorun.inf免疫文件3 C' x$ h- N/ l- Y9 ]% n+ s
在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。
! t: A. X2 }# Y: b) J& w, F0 { 说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。1 d) q- X$ b5 K3 s
方法二:禁用组策略中的自动播放- N" L2 q7 V2 @' o
以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。& Q. j+ O, j2 b6 |" V: H+ p3 x
4 p# a8 I% \( X1 n1 o( o- q: p
图4:在"组策略"中禁用所有本地驱动器上的自动播放功能* a. C% [$ N. n P
, h" P; i4 u) U* { 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
( N) ?* P; f- M. }3 D6 r$ v3 C) O 方法三:禁止注册表中MountPoints2的写入
6 |+ O) C, Q% r8 [# ?2 R 依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
6 i1 [) L4 r5 L3 V, d$ Z) k HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。8 D( ^- r" n5 G
说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。/ c' L3 O+ c: N; V% c, y
& y" h* c" Y/ T. p3 R7 [6 F9 E0 B( H
0 j2 n: @. }: [8 ~图5:在注册表中找到"MountPoints2",右键点击选择"权限"( B, _5 R. l. J0 }5 ^, F& g: U& r" N, K
7 ]- m- z- q: y: B" {/ h5 i
" J" u; a+ N0 A图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|