网络安全 频道

U盘(auto病毒)类病毒分析与解决方案

一、U盘病毒简述:

  U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖
Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件。目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的 U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析:

  所谓的自动运行功能是指
Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。

    常见的Autorun.inf文件格式大致如下:

    [AutoRun]    //表示AutoRun部分开始,必须输入
     icon=C:\C.ico  //指定给C盘一个个性化的盘符图标C.ico
     open=C:\1.exe  //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行;

  在
Windows系统有允许和阻止自动运行的键值的方法:

   在注册表中找到如下键:

    键路径:[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\Exploer]

    在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:
设备名称                 第几位   值     设备用如下数值表示   设备名称含义
DRIVE_UNKNOWN     0       1         01h               不能识别的类型设备
DRIVE_NO_ROOT_DIR   1       0         02h               没有根目录的驱动器
DRIVE_REMOVABLE     2       1         04h               可移动驱动器
DRIVE_FIXED               3       0         08h             固定的驱动器
DRIVE_REMOTE             4       1         10h               网络驱动器
DRIVE_CDROM             5       0         20h             光驱
DRIVE_RAMDISK       6       0         40h               RAM磁盘
   
其中: 保留 7 1 80h  未指定的驱动器类型

    以上值"0"表示设备运行,"1"表示设备不运行。
    从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。

   U盘病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。

三、解决方案:

    1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):

  ①超级巡警对U盘病毒检测进行了特别的处理,可以快速的监测和定位U盘病毒,并清除它们。
  ②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。

  2、手动解决办法:

  ①根据上面的原理,自己修改注册表禁止磁盘的自动运行特性。
  ②把文件夹选项中隐藏受保护的操作系统文件钩掉,选中显示所有文件和文件夹,点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件),删除后,病毒就清除了。

 

版权所有:数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

http://www.hack58.net/Article/60/64/2007/14641.htm
0
相关文章