- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理
- S2 a# w3 Z- h/ Y* h2 M U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。# n" {( ^9 D8 R7 S
2 H( U, Z- d" W! U% d, |
图1:U盘插入后,Windows系统会自动询问用户进行何种操作
3 F* y5 u6 @1 i. B- R. H2 b. }: {
自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
; d& ~6 H* u0 G* b1 r2 d( \5 N 首先编写一个Autorun.inf3 F1 V8 P. x z- M: P9 |% i5 V
[autorun]' N2 U( B# Z9 G$ V2 N
OPEN=notepad.exe3 \% c* ]3 |/ }4 f& j5 {5 @1 X! I
shellopen=打开(&O)
+ p# E# O) f, ^ shellopenCommand=notepad.exe- Y- u5 A$ X1 A+ o, e
shellopenDefault=1
1 i0 `, n4 G0 p$ a shellexplore=资源管理器(&X)
9 x. T- x- r8 E, R+ ? u1 A shellexploreCommand=notepad.exe
; B7 |9 x: o+ c+ b2 {) m( b icon=rising.ico# E1 N) u- b3 y6 n# U, ^; t
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。$ Y, }- J7 w* i0 \
9 Z3 Q# }7 D d/ Y
" [: r9 C" z% R图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
5 q' [2 O( Q$ `+ v" l! v/ W1 `6 y7 F# p& l4 S4 v* Y
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?- @( H w4 M- ]8 E
( Q: \# o5 O3 T1 r- ^* I8 X0 m
图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件 c) t" c/ Y; p' [( U# P
远离U盘病毒
& c. d: }# S J) ]* D 预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。
1 w" d. ` g7 _& L0 f$ m# W; \ 方法一:建立Autorun.inf免疫文件
9 {- H6 I4 H$ {! z6 i/ e7 M- g 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。
) r/ m) @( R* ~# }2 X7 [1 j 说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。
( Y5 o1 j* Z! m8 r* o/ {1 s 方法二:禁用组策略中的自动播放
; f6 z8 o, G" c9 V: {. r) L 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。
3 N6 I3 B0 Q3 ]" E; Q3 g
$ m- m* B0 z+ q图4:在"组策略"中禁用所有本地驱动器上的自动播放功能- ~( E% }7 V/ }$ Z# Q" M. y4 K
% d7 P2 u, N7 o7 E; P1 X 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。 d( _2 u" y/ c& u* O5 o2 c4 w
方法三:禁止注册表中MountPoints2的写入
9 D1 @$ N& [" r j 依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
, s1 ~. N {1 e6 A HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
: {! Z5 k+ f) s 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。7 ^* ~5 @. k' e& p, _. H$ `1 A+ U( O
) v, i/ j& h9 m, b C
# b8 q9 x$ x3 s) B$ m图5:在注册表中找到"MountPoints2",右键点击选择"权限"
Z8 r5 g5 |; v& a! F , j( S( p) D: c; q5 A1 f
3 C; }0 i. t8 x$ K图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|