天外来客

 找回密码
 注册
查看: 3635|回复: 1
打印 上一主题 下一主题

U盘病毒原理分析和解决方法

[复制链接]

402

主题

0

好友

1547

积分

中级会员

Rank: 4

在线时间
1 小时
威望
112
贡献
0
最后登录
2012-3-31
注册时间
2011-9-1
积分
1547
阅读权限
30
帖子
417
跳转到指定楼层
1#
发表于 2011-11-26 09:59:07 |只看该作者 |倒序浏览
由于现在U盘相当普及,导致了U盘病毒的泛滥。很多人对U盘病毒非常痛恨,但是却找不到一种较好的解决方案。特别是比如有的时候新安装的系统,一不小心插个U盘,努力全部白费了,真是让人欲哭无泪啊。
U盘病毒,顾名思义,是通过U盘传播的病毒,是一种手段而不是目的。很多“著名“的病毒,比如熊猫烧香,都拥有通过U盘传播的能力。目前U盘病毒大致可以分为两类,一种是Autorun.inf型的,这也是大部分U盘病毒的类型。另外一种则是Autorun.inf+EXE全盘感染。这种类型的相当恶毒,因为它会感染U盘上的所有EXE可执行文件,只要执行这些EXE就会立即感染。
不论是哪种,U盘病毒的核心机制就是AutoRun,相信很多人都知道从Win95开始,Windows系统就拥有一个自动播放的功能,可以为用户提供方便的自动安装的功能。但是Autorun还有一些鲜为人知的功能。Autorun可以将指定的项挂载到右边键菜单中,这样一旦用户双击打开设备,即激活病毒。
下面是一个典型Autorun.inf的文件结构:
[AutoRun]
Open= Test.exe
Shell\Open=打开(&O)
Shell\Open\Command=Test.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command= Test.exe


将此文件命名为Autorun.inf,然后置于任意一个盘(不论是硬盘还是U盘)根目录,一旦用户双击盘符,或者右键选择了“打开”或者“资源管理器”,则会执行Test.exe。这个过程是由 Windows Explorer完成的,Explorer会自动搜寻每个盘的根目录是否存在名为“Autorun.inf“的文件,一旦找到则加载进行相应处理。
从程序角度来看,“Autorun.inf“这个字符串是被硬编码在Shell32.Dll中的,现在网上有种U盘病毒永久免疫器,就是通过修改Shell32.Dll里面的“Autorun.inf“字符串,使得Autorun失效。这种方法可能会影响系统稳定性,故不推荐。
知道了原理,就可以很快知道应对策略了。即防止病毒建立Autorun.inf。特别是对于硬盘的NTFS分区,我们可以采用权限机制来禁止Autorun.inf,即建立一个同名的文件夹,然后将其权限设为禁止更改删除即可。
对于非NTFS的盘,则也可以建立同名文件夹,然后再在此文件夹中建立一个不可删除的目录,方法如下,打开cmd,切换到建立的Autorun.inf文件夹下,然后 输入md xxxx..\ 即可建立一个特殊的文件夹,这个文件夹不可通过一般方式删除。这样病毒由于无法建立Autorun.inf而失效了。目前有的新型病毒可以自动识别这种方式,故此方法也不是总是有效地。
最有效的方法是修改注册表,禁止Autorun.info的挂载。打开注册表编辑器,切换到HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\CurrentVersion\\Explorer\\MountPoints2,右键双击此项,然后点击权限,在弹出的对话框中点击高级,选中包含父权限的复选框,确定后即可更改权限了,将相应用户的权限设为只读即可。一旦操作完成,则Autorun.inf彻底无法起作用了。
U盘病毒只能在Windows XP及Windows Server 2003上有效,因而大家可以尽快升级到Windows 7,永远避免U盘病毒的骚扰了。
为了方便清除感染了U盘病毒的盘,我写了一个小程序,程序使用VC9.0开发。它可以自动识别并清除此类病毒。每次插上u盘之后运行一下即可。操作非常方便。源代码公开,需要的人可以自行更改。
紧急通知:距去年(重启时隔5年捐助一年的服务器费用)不知不觉又过了一年,费用也消耗完了。现在新用户捐助注册的已经很少,如果一直得不到新用户补充,服务器费用将压力山大,因此决定再次恳求捐助一年费用。在此感谢之前捐助过的朋友!如果不嫌弃恳求再次支持!同时也恳求还没捐助过的朋友出手相助(老用户捐助时备注栏备注你的用户名哦)。在下万分感激!天外来客 2024.7.30

1

主题

0

好友

798

积分

中级会员

Rank: 4

在线时间
58 小时
威望
164
贡献
0
最后登录
2015-8-18
注册时间
2011-9-24
积分
798
阅读权限
30
帖子
119
2#
发表于 2011-12-2 17:12:09 |只看该作者
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本站所有资源内容均是网友于互联网搜索而来 本站对其所发布的内容不承担任何责任
如果您认为侵犯了您的利益,请电邮告知 229666956@qq.com (附上贴子正确地址)在收到邮件后我们会马上及时删除其内容。

Archiver|手机版|天外来客

GMT+8, 2024-11-1 07:25 , Processed in 0.125280 second(s), 19 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部