- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理
! v8 m* c! i6 R H0 X U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。9 F/ a: J3 A1 H: U8 j
. s! X. a: l0 h4 L8 m7 F
图1:U盘插入后,Windows系统会自动询问用户进行何种操作
c, H' r* P& @) R& h
, J2 ?- H/ u( p6 y) u' N 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。; t1 _2 ^( w0 W" j/ M( [, h5 ?
首先编写一个Autorun.inf/ r/ f- U' B7 j* L
[autorun], t7 T% _/ W, i1 q+ C
OPEN=notepad.exe
" L) C4 m/ n( [$ ?/ ^ shellopen=打开(&O)
) }8 \, o) J& W/ [) X. B shellopenCommand=notepad.exe
2 K( c9 d+ N) \ shellopenDefault=1# Q0 m: O4 u8 y1 U3 q9 p
shellexplore=资源管理器(&X)
5 J& S4 q' ?" V2 A shellexploreCommand=notepad.exe
! {' u6 O, W+ `; U; i7 B icon=rising.ico
S7 w, K7 T" _0 X0 ]; X! z: n 将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。
6 l1 S# m8 i' v) H3 l* M' n0 ?& \" ~' | & ]4 u$ `& }" E B2 f$ H
* d* s) o# i0 e, b( a图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
+ i7 V% j& \* }8 A" }5 H" d
% Y# }) q( Q& p) v! y z 在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
: L; _- C" @* r+ B8 g- o/ V
' b0 k4 {7 _8 e8 v# H
1 V+ W& @- Y, \) o+ e& N9 C# G: ` 图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件- {# a) I- B/ S) m, X
远离U盘病毒
8 D% @% N" d; f+ M0 S1 @+ P 预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。; e9 o, ]6 p1 T1 q
方法一:建立Autorun.inf免疫文件2 a- }4 d, l, c9 U
在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。5 A$ ` ~6 E& G; L& s& t
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。: v0 l1 x/ S' T) [5 x; S3 ]. n9 e# t% m
方法二:禁用组策略中的自动播放3 m: J$ i; s+ H
以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。
4 d2 r2 x- |2 H4 `% E8 O
7 B/ V+ h) W( r" g. Q( t* v图4:在"组策略"中禁用所有本地驱动器上的自动播放功能$ V$ w' e/ M- k4 R$ g
& Q8 R3 J" R6 `3 T( @3 S 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
9 W# ~4 |6 G* \7 b1 I! T+ W 方法三:禁止注册表中MountPoints2的写入9 [0 `3 }2 a! J9 @3 P
依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
' h6 T: h0 w8 ~, U2 \' V9 h HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。0 z" A0 M& p& z3 X( A* D
说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
' ~- M o$ ~& e8 q& C ? 2 s5 _) K( N% M# E, a5 g. Y
! p- ^3 I8 d" v$ g1 Y, W) L
图5:在注册表中找到"MountPoints2",右键点击选择"权限"" Z2 c$ f/ I! F0 A3 O
5 S& e7 n- J# B1 S' l
5 c8 m- h7 f- `( l9 _ E$ Y图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33
收藏
贊(