热搜词
发表于 2007-11-8 17:20:36 | 显示全部楼层 |阅读模式
<P>&nbsp;&nbsp;&nbsp; 防御U盘病毒:养成从资源管理器“文件夹”进入U盘的好习惯,双击打开U盘或者使用任何一个右键菜单打开U盘都可能会感染病毒。本文主要围绕U盘病毒机理展开。<BR>&nbsp;&nbsp;&nbsp; 如果您的杀毒软件识别出U盘病毒并将其杀掉之后,您可以手动删除U盘根目录下的autorun.inf文件以避免出现“打开方式”窗口。</P><P>&nbsp;&nbsp;&nbsp; 首先必须声明几个观点:<BR>&nbsp;&nbsp;&nbsp; 1、杀毒软件绝对不是万能的。<BR>&nbsp;&nbsp;&nbsp; 没有哪种杀毒软件可以杀遍天下的病毒。而且新病毒每天都在产生,而老病毒在不断地产生变种。<BR>&nbsp;&nbsp;&nbsp; 由于目前杀毒软件主要依靠的是被动杀毒方式,即总是下载最新的防病毒库来判断病毒特征码,从达到查毒的目的,而不是通过测探和推测某程序的功能,从而判断其是否具有有风险和威胁。也许因为这种判别方法因为实现难度大、错误率高等原因而没有被主流使用,因而目前杀毒软件的预警功能都很有限,即便是同一个病毒,发生变种之后即可能无法查出。<BR>&nbsp;&nbsp;&nbsp; 举例来说:卡巴斯基是一款不错的杀毒软件,而笔者曾经亲眼看见刚升级的卡巴斯基对新病毒CN911以及其变种CN915、CN918视而不见、和平共处。</P><P>因此真正防病毒还要靠大家的安全意识,这一点可能比杀毒软件有效的多。杀毒软件永远都是一种工具,而一旦安全意识确立了,再稍稍结合使用杀毒软件、防火墙、反流氓或者自动更新等工具,病毒其实很难敲进您的家门。</P><P>2、不要以为“最新”的病毒一定离我们最远。<BR>&nbsp;&nbsp;&nbsp; 世界上有一些人出于非法目的而成为了职业病毒程序员,他们每天都在研发新病毒,并受到某些公司或组织的暗中资助。当时熊猫烧香病毒产生时,其源代码曾被高价竞拍和抢购。当然也有出于其他非法目的而编写病毒的人,所以大家对病毒的警惕时刻也不要松懈。<BR>&nbsp;&nbsp;&nbsp; 新病毒一旦产生,行驶在信息高速公路的我们必然首当其冲成为病毒的牺牲者和试验品。一些木马通过盗取Q币、银行帐户等有价帐户等实现商业企图;另一些则收集和盗取敏感信息(如密码等);甚至有一些把用户的计算机当作黑客的“肉鸡”,暗中控制用户的机器,使其成为其中转攻击命令的替罪羊,或者代为其传播病毒或者进行网络犯罪活动,从而达到隐匿自己、加大网络警察查证难度的目的。</P><P>替罪羊</P><P>这里将简单介绍这两种类型的病毒机理和防御方法<BR>&nbsp;&nbsp;&nbsp; U盘病毒机理介绍:<BR>&nbsp;&nbsp;&nbsp; 校园是一个传染U盘病毒的绝佳环境,因此U盘病毒当然不会放过这个“市场”。<BR>&nbsp;&nbsp;&nbsp;&nbsp; U盘病毒一旦感染后,多数症状为:</P><P>1、&nbsp; 开关机速度变慢</P><P>2、&nbsp; U盘插上后会多出些隐藏文件;U盘不能安全删除,只能强行拔下</P><P>3、&nbsp; 打开U盘或硬盘根目录时会新建一个窗口查看其内容(当然最新的病毒完全没有这种异常现象)</P><P>4、&nbsp; 无法通过“文件夹选项”查看隐藏文件,有的压根就没“查看隐藏文件”的选项</P><P>5、&nbsp; 杀毒软件持续报毒,杀毒后系统开机可能莫名其妙出错、甚至崩溃(查不出除外)</P><P>6、&nbsp; 有的还有:杀毒软件被禁掉,无法开启;带有“安全”、“杀毒”字眼或功能的程序或者网站打不开、不能安装;桌面经常重载;系统异常性出错;等等……</P><P>这些病毒必须以防为主,到真正感染了麻烦事就来了。</P><P>很多病毒直接封杀防毒软件和安全工具,令大家头痛不已,欲杀无方。一些劣性病毒修改exe关联,不断激活自身;修改并监视注册表,让用户看不到隐藏文件,且无法阻挠病毒的开机自动运行;插入Explorer进程并删除自身,让杀毒软件在硬盘上找不到它,也使一般的安全工具查看不到病毒进程;有的直接整合为系统级驱动,让系统全力保护它,用户无法删除,或者强删后系统直接蓝屏崩溃;删除敏感命令deltree等,摧毁对病毒不利的系统命令和组件;更换任务管理器,使得用户在任务管理器下面看不到病毒进程;破坏一切系统还原、一键恢复;破坏系统基础文件和备份文件,使得安全模式蓝屏崩溃;等等……</P><P>虽然谈起来很可怕、很不愉快,但是请你放心,这些病毒完全可以轻易避免。<BR>&nbsp;&nbsp;&nbsp;&nbsp; U盘病毒没有感染时,U盘病毒依托一个名为autorun.inf的文件达到运行自身的目的。U盘根目录下如果存在autorun.inf文件(这个文件常带有只读、隐藏和系统属性),那么双击打开U盘或者通过右键菜单打开U盘的方式就可能不再是简单地查看文件,而是变成了执行病毒!很多同学没有意识到右键菜单打开U盘很危险。这个将在下面澄清。<BR>&nbsp;&nbsp;&nbsp;&nbsp; 先问一个问题:为什么要有autorun.inf?<BR>&nbsp;&nbsp;&nbsp; 微软设计这个文件的初衷只是让用户插入光盘时,光盘能够自动运行一个程序。用过类似于“开天辟地”、“新视野大学英语”之类教学光盘的同学应该清楚,光盘放进去后会自动执行某个程序,实现这个自动功能的就是autorun.inf,只不过现在一些不法分子利用它来传播病毒。但是大家放心,U盘插入后不会像光盘一样,不经您同意就自动按照autorun.inf规定的内容执行,而只有你双击打开U盘或者用右键菜单打开U盘才可能会执行。<BR>&nbsp;&nbsp;&nbsp; autorun.inf文件里面的内容非常灵活,仁者见仁智者见智吧,写法不唯一,不同病毒的autorun.inf文件的内容不尽相同。对病毒制造者来说,只要达到100%感染的目的即可。下面让我们揭开autorun.inf看看内幕吧!(每行给出了解释,实际注释语法是行首用分号)<BR>&nbsp;&nbsp;&nbsp; 以病毒“唯一的爱”(该病毒几乎具备上述全部邪恶特征,病毒原体“唯一的爱.exe”,伪装为mp3图标)为例,介绍其autorun.inf的内容:<BR>[AutoRun]&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &#92;&#92;该标志表示本U盘打开方式发生改变,并按以下内容执行<BR>open=479839E1.exe&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &#92;&#92;定义双击打开U盘为执行病毒(此病毒名称是随机生成的)<BR>shell&#92;open=打开(&amp;O)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &#92;&#92;重定义右键菜单中的打开项,替代正常的打开项<BR>shell&#92;open&#92;Command=479839E1.exe&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &#92;&#92;将右键菜单中的“打开”项指向病毒体<BR>shell&#92;open&#92;Default=1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &#92;&#92;“打开”为默认项,并显示为粗体(Vista下无效)<BR>shell&#92;explore=资源管理器(&amp;X)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &#92;&#92;重定义右键菜单的“资源管理器”项,替代正常项<BR>shell&#92;explore&#92;Command=479839E1.exe&nbsp;&nbsp; &#92;&#92;将右键菜单中的“资源管理器”项指向病毒体 </P><P>注意:对于某些病毒的右键菜单中会有两个“打开”,一个是黑体的一个是正常字体。一些同学认为点击正常字体的“打开”会是安全的。的确,就某些病毒autorun.inf内容来看,这么做是安全,但是大家要相信病毒是狡猾的,绝对不要抱以侥幸的心理,笔者设计了两个autorun.inf菜单,您能看出哪个“打开”项是安全的吗?</P><P>测试平台:Vista+UAC权限保护&nbsp;&nbsp;&nbsp; 测试“病毒体”:记事本程序<BR>&nbsp;&nbsp;&nbsp;&nbsp; 测试结果:图1中最顶上那个“打开”项是安全的,图2中没一个“打开”是安全的。</P><P>不管对错,劝大家还是不要猜了,不管怎样这个右键菜单都很危险,不同的autorun.inf语句定义出来的结果是不同的,笔者还发现过唯一安全的“打开”项是排最下面的一种情况,只是没有去截图。相信大家不会拿自己的爱机去冒险吧,要是碰到图2的恶搞病毒就惨了啦。</P><P>所以,绝不要认为用右键菜单打开U盘会很安全。&nbsp;</P><P>那么怎么防御U盘病毒?</P><P>养成从“文件夹”进入磁盘的好习惯</P><P>WinXP:点击工具栏上的“文件夹”,单击从左边文件夹栏中的“可移动磁盘”进入U盘,这样便可以绕过autorun.inf,而不会染毒。而从autorun.inf的全部功能来看,它是无法左右“文件夹”栏的,所以这一种方法是安全的。从资源管理器的文件夹栏进入U盘亦可。</P><P>Vista:工具栏上的组织—布局—勾上“导航窗格”,左边将出现收藏夹和文件夹,可以调整文件夹的长度,使其布满左侧区域,&nbsp;接着,在工具菜单—文件夹选项里面,选中“显示隐藏文件和文件夹”,去掉“隐藏受保护的系统文件”和“隐藏已知文件的扩展名”前面的勾。然后删除autorun.inf和不属于自己的文件即可。</P><P>注意事项和补充说明:<BR>&nbsp;&nbsp;&nbsp; 1、删除之前千万不要尝试打开病毒,特别是一些所谓的DOS快捷方式(pif文件)、图片、Mp3,不要因为好奇而去打开!这些都可能是病毒或者病毒伪装的。图片、Mp3要确定其后缀名不是exe方可打开。不过,你可以放心打开autorun.inf查看病毒文件名和位置。但是不要点成了一个名为autorun.pif或autorun的文件!(文件类型:DOS快捷方式)</P><P>2、一些MP3有自己的数据库和播放列表文件,手机上这种数据文件更多。不要把这种正常的数据文件当成病毒删除了,否则设备可能无法正常工作。</P><P>区分病毒和非病毒的方法很简单,病毒一般是exe可执行文件,少数为快捷方式文件(pif和lnk),只需删除后缀名为这类的非正常文件即可。前提是你在文件夹选项里去掉了 “隐藏已知文件的扩展名”前面的勾。其实找到病毒还可以通过查看autorun.inf文件的内容。</P><P>3、一些病毒喜欢躲在回收站里,例如ctfmon病毒autorun.inf中有两句是<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; shellexecute=Recycled&#92;ctfmon.exe<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; shell&#92;Open(0)&#92;command=Recycled&#92;ctfmon.exe<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 这就证明它躲在回收站(Recycled文件夹)中。</P><P>请注意:<BR>&nbsp;&nbsp;&nbsp; U盘属于Zip/FDD型移动设备,理应没有回收站(Recycled文件夹)和系统还原(System Volume Information文件夹),您删除的任何文件将是完全删除,而不会被放入所谓的“Recycled”中。所以,一旦您在U盘上发现看似回收站图标的文件夹,可以直接认为那是病毒的老巢,请不要进入,而是直接删除!</P><P>移动硬盘属于HDD型移动设备,属于硬盘系列,对于它而言,操作系统会自动建立回收站(Recycled文件夹)和系统还原(System Volume Information文件夹),并且系统还原文件夹还不能被删除,如果您发现这两个文件夹,不必惊慌!但是如果您还发现本目录下有autorun.inf文件,不论它指向的病毒是否在回收站(Recycled)中,回收站都有被感染过的可能(有的新病毒会把老病毒从autorun.inf中踢出去,但是老病毒可能还呆在回收站中并等候反扑)。如果您确定移动硬盘回收站里没有什么重要文件,请不要进入回收站,而是直接将其删除!当然,您也可以使用最新更新的杀毒软件对可移动设备进行扫描,达到清除病毒的目的。不过之所以介绍那么多手动清除事项和方法,是因为杀毒软件有一定可能无法查出新病毒和新变种,也使大家能够有能力自己手动杀毒。</P><P>4、WinXP的回收站应该为Recycled,如果您看到名为Recycler的伪“回收站”,直接删除吧!此外,Vista的回收站名为$RECYCLE.BIN。</P><P>5、杀毒软件删除病毒后,如果没有删掉autorun.inf,再次打开U盘就会出现“打开方式”窗口,因为autorun.inf指向的文件不存在,打开方式窗口便跳了出来。这个时候需要从文件夹栏进入U盘,手动删除autorun.inf(请保证您能查看隐藏文件和系统保护的文件)。其实即便是删除了autorun.inf,在U盘没有再次插入前依然出现“打开方式”,不用担心,您只需要拔下并重新插入即可。当然你也可以重启电脑或者执行“chkdsk /f 盘符:”亦可。<BR>&nbsp;&nbsp;&nbsp;&nbsp; 关于几个问题的说明:</P><P>1、U盘不能安全删除=有毒?</P><P>不是,可能U盘正在被使用。关闭一切与U盘关联的程序和窗口,再试试,如果正常的话,U盘时可以安全删除的。</P><P>2、对于没有关闭自动播放的电脑,插入U盘或者移动硬盘之后,有一个自动播放的功能列表,其中有一个“打开文件夹以查看文件”的功能,使用这个也可以安全地进入U盘。</P><P>3、一旦可以查看隐藏文件和系统文件之后,C盘下面便显示出了很多文件。这些文件和系统的启动和功能密切相关,不要因为嫌乱或者不好看就把它们给删了,否则电脑启动过程可能会出现问题,您可能无法进入系统。</P><P>4、如果您的电脑感染过U盘病毒,隐藏文件无论如何也看不到了,可以通过修改注册表解决(当然您的注册表不能被病毒监视,否则改了也白改):</P><P>运行注册表编辑器regedit</P><P>进入HKEY_LOCAL_MACHINE&#92;SOFTWARE&#92;Microsoft&#92;Windows&#92;CurrentVersion&#92;</P><P>explorer&#92;Advanced&#92;Folder&#92;Hidden&#92;SHOWALL,找到类型为REG_DWORD的CheckedValue,把它改为1。(不好记吗?只需要记住SHOWALL即可,然后使用查找功能查找该项)</P><P>如果病毒改过注册表或者用户没有设定查看隐藏文件,那么这个值应该是0。</P><P>有的病毒比较恶劣,它删掉类型为REG_DWORD的CheckedValue,建立一个类型为REG_SZ的CheckedValue,并赋值为1,达到在“文件夹选项”中不显示“显示隐藏的文件和文件夹”的目的,解决办法是:只要删掉类型为REG_SZ的CheckedValue,建立类型为REG_DWORD的CheckedValue,并设定为其值为1即可。<BR>&nbsp;<BR></P>
全部评论0
回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-23 00:59 , Processed in 0.230205 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team