【IT168 专稿】U盘作为一个非常方便的存储设备，其使用量相当巨大，这也给病毒的传播提供了一个非常好的机会。所以它一定不会放过这么一个可以让它迅速扩张的宿主的。“U盘百家姓”(Win32.Hack.Popwin.ai.18474)，这是一个可通过U盘传播的病毒。它会破坏杀毒软件的正常运行，并从指定的网址上下载大量恶意软件在用户计算机上。此病毒最大的特点是一切病毒相关的服务名和文件名都是随机生成的。

    病毒分析
    病毒运行后，在%Windows%\system32\目录下释放出一个.EXE格式文件和一个.DLL格式文件。需要注意的是，这两个病毒文件的文件名是病毒根据已内定的某些字符，与用户电脑上的系统盘卷序列号进行计算而随机生成的八位数，因此并不固定。然后，它修改注册表，创建注册启动项，达到随系统自动启动之目的，其中的服务名也是随机生成。病毒还会在每个磁盘分区的根目录下生成病毒文件 auto.exe 和辅助文件 autorun.inf，当用户双击打开磁盘，病毒文件就会再次运行。此后，如果用户在中毒电脑上使用U盘等移动存储器，病毒就会将其传染。与此同时，病毒迅速搜索计算机进程，如发现杀毒软件卡巴斯基的进程文件avp.exe，则修改系统时间为2005年 。由于卡巴斯基的激活文件需依赖系统时间，此举将导致卡巴斯基失效。病毒还会尝试对金山毒霸下手，它会搜索毒霸的运行窗口，并试图将其关闭。当解决掉杀毒软件，病毒就会悄悄连接木马作者指定的网址，通过读取升级文件 update.txt，获取其它病毒及恶意软件的最新下载地址，并把它们下载到用户计算机上运行，给用户造成更大的损失。所以下面总结一下关于这种移动病毒源的保护措施。

    先给U盘打预防“疫苗”
    这些自动运行的移动存储设备病毒是通过根目录下的autorun.inf运行的，利用Windows文件不允许重名的特点，我们只要在根目录下建立一个正常的同名文件，病毒就不会运行了。为了防止病毒删除建立的文件，可以使用CMD命令建立一个无法删除的特殊文件。U盘连接到电脑上之后不要双击打开，打开CMD输入以下命令（F为U盘盘符）
    f:
    md autorun.inf
    cd autorun.inf
    md u..\
    如图（1）

注册表设置保安全

    上述方法是通过生成特殊文件达到免疫的目的，主要是针对U盘进行免疫的。但是，如果有的用户的U盘或其他移动存储设备没有免疫保护，这样用户的电脑还是容易中招的。为了更好的保证电脑安全，用户可以通过修改本机系统注册表方法来免疫病毒。打开注册表编辑器，依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2,右击MountPoints2分支，在弹出的菜单里选择“权限”，在打开的权限设置窗口把“组和用户名称”下的账户对该值的权限全部设置为“拒绝”，如图（2）。

    这样即使U盘感染了此类病毒，当这个U盘插入电脑后双击也不激活该病毒的。此外，在Windows XP SP2 为USB设备引入了一项安全特性，就是能连接被标记了的USB接口的设备只允许“只读”。用户可以使用这个方法阻止带病毒的电脑把病毒传染给U盘。打开注册表编辑器，展开分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control,在该分支下新建一个名 为"StorageDevicePolicies"子分支。接着选中新建的分支，在右侧窗口新建名为"WriteProtect"的DWORD值，并赋值为“1”。如图（3）

    这样即使用户电脑中病毒,病毒也不会传染到U盘里的,因为此时是无法往U盘里写东西的。等电脑清除完病毒之后在把StorageDevicePolicies删除即可。有的U盘有写保护的，把写保护开了就可以了。

    使用组策略免疫
    在运行中执行gpedit.msc打开组策略编辑器。在左侧的目录树里依次展开“计算机配置”“管理模板”，点击“系统”，在右侧框里找到“关闭自动播放”，在它的属性里启用该项，并应用到“所有磁盘”。如图（4）

    通过上述的方法我们基本可以把autorun.inf病毒阻截在外了，但是为了万无一失。用户也要防止病毒伪装成图片或其他的一些文件，如果不小心运行了的话，病毒就会感染电脑了。如果获得了病毒的样本文件，还可以通过组策略工具的软件限制策略功能阻截这些病毒。

    在运行中执行gpedit.msc打开组策略编辑器。在左侧的目录树里依次展开“计算机配置”“Windows设置”“安全设置”“软件限制策略”。右击选择“创建新的策略”。这样就可以创建一个新的安全策略了，如图（5）。

    展开新建的策略，在“其他规则”上右击执行“新散列规则”，在弹出的窗口里执行“浏览”选择病毒样本文件。这时候系统会生成一个文件散列号码，系统还会读取文件的版本、作者等信息，执行“安全级别”为“不允许”。以网游终结者为例子。如图（6）

    这样设置之后，即使有U盘携带了这样的病毒，也由于设置了软件限制策略，病毒试图运行的时候，系统就会提示由于软件策略的限制而无法运行。如图（7）。

    但是由于病毒变种较多，需要用户及时关注公告，收集病毒样本，然后在电脑添加相应的策略。

    借助USBKiller查杀U盘病毒
    USBKiller是一款绿色软件，安装后，先执行扫描内存和移动设备，就可以检查U盘是否感染病毒，如图（8）。

    软件可以30秒闪电查杀Rose、RavMone等几十种通过U盘传染的病毒，还可以对系统实行主动防御，并能解锁、免疫U盘等功能。另外USBKiller里面还可以快速定位某进程对应的文件，在软件左侧面板点击“进程管理”，可以在右侧查看到当前运行的进程名称，状态等信息。想要快速定位某个进程对应的文件，只需要右击此进程，然后在弹出的菜单选择“定位文件”就可以了，如图（9）。

    总结：现在玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。