随着 U 盘等移动存储介质使用的越来越广泛,它已经成为木马、病毒等传播的主要途径之一。现在我们就来介绍一下 U 盘病毒是如何传播的以及如何对它进行防范的。
这里我们所说的 U 盘病毒,并不是单指某一种病毒,也不是说只是通过 U 盘传播的病毒,而是泛指所有通过移动存储介质进行传播的病毒(事实上它可以通过系统上所有的分区进行传播 , 只是因为很多时候它们都表现在 U 盘上,所以我们才统称这些病毒为 U 盘病毒 ).
目前 U 盘病毒传播的方式主要有以下几种:
1 、通过 autorun.inf 文件进行传播的 ( 目前 U 盘病毒最普遍的传播方式)
2 、伪装成其他文件,病毒把 U 盘下所有文件夹隐藏,并把自己复制成与原文件夹名称相同的具有文件夹图标的文件,当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹。
3 、通过可执行文件感染传播,很古老的一种传播手段,但是依然有效。
我们今天主要来介绍第一种传播方式的原理与防范方法。
原理:
这种传播方式的关键就是 autorun.inf ,这个文件本身并不是病毒,它是系统自动运行的一个配置文件。它很早就存在于 windows 系统中,在 WinXP 以前的其他 windows 系统(如 Win98 , 2000 等)中需要让光盘、 U 盘插入到机器自动运行的话,就要靠 autorun.inf 。这个文件通常被保存在驱动器的根目录下的(是一个隐藏的系统文件),文件的内容包含着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的 icon ,它的格式通常是下面这样:
[AutoRun]
open=sss.exe (要执行的程序)
shellexecute=sss.exe (要执行的程序)
shell/Auto/command=sss.exe (要执行的程序)
由于 windows 系统中的自动播放功能默认情况下是处于未配置的状态。这就使得只要在机器上接入移动的存储介质,就会自动的播放。这个原因也是导致 U 盘病毒传播的一个最主要的因素。我们只要在 U 盘的根目录下建立 autorun.inf 文件和某些特定的执行程序,并把执行程序的路径和名字写到 autorun.inf 文件中,就可以在 U 盘插入系统后自动运行该执行文件,而这些执行程序可以是任何我们想要它运行程序(病毒、木马、灰色软件等等)。
解决办法:
了解 U 盘病毒传播的原理后,我们就可以知道防范它的一个关键就是不让它自动运行,目前的方法有以下几种:
1 、关闭 “Shell Hardware Detection” 服务,关闭这个服务后再放入光盘或 U 盘时系统将不再扫描这些移动介质的内容,也就不会运行 Autorun.inf 中所配置的文件了。关闭服务的方法如下:
单击开始菜单的运行,输入 “services.msc” (也可以通过点击开始 -> 设置 -> 控制面板 -> 管理工具 -> 服务)来打开服务窗口,在窗口右侧显示的内容中找到 “ 名称 ” 列,在 “ 名称 ” 列里找到 “Shell Hardware Detection” (可以随便单击一下 “ 名称 ” 列里的内容,再按键盘上的 S 键,快速地定位),单击右键,再单击属性弹出属性对话框,先选择停止,然后在常规选项卡里的 “ 启动类型 (E)” 右边的下拉菜单中选择 “ 已禁用 ” ,最后确定退出,重启计算机即可。
2 、关闭 windows 的自动播放功能,方法如下:
在开始、运行中输入 gpedit.msc 后回车。会出现组策略的控制窗口,在该窗口中选择计算机设置 -> 管理模板 -> 系统 -> 关闭自动播放,双击关闭自动播放,然后选择已启用,选择关闭所有驱动器。
3 、修改注册表来禁止自动播放,方法如下:
在开始运行中输入 regedit.exe 后回车,调出注册表编辑器,定位到 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer] 进行修改。
"NoDriveTypeAutoRun" 指定按设备类型禁止自动播放。
1 :未知类型, 4 :可移动磁盘, 8 :硬盘, 10 :网络驱动器, 20 :光驱, 40 : RAM 驱动器, 80 :未知类型, FF :所有类型。若要禁止某一类型自动播放,直接使用对应的值,若要禁止几种类型,则使用它们数值相加的值,如 95=1+4+10+80 , 91=1+10+80 , b5=1+4+10+20+80 。
"NoDriveAutoRun" 指定按盘符禁止自动播放。相关设置可以参考 NoDrives 值,最大值为 hex:ff,ff,ff,03 ,禁止所有盘自动播放。
小窍门:
1 、当你在你 U 盘的盘符上点击鼠标右键发现弹出的选项中有自动播放时,就说明你的 U 盘上有 autorun.inf 文件存在(很可能感染病毒了)。
2 、使用鼠标右键选项中的打开选项打开 U 盘,很多时候可以避免 U 盘中的 autorun.inf 文件被运行(但不是绝对)。
3 、当你 U 盘还没有感染病毒的时候,在你的 U 盘根目录下建立一个 autorun.inf 文件并将它的属性改成只读,很大成程度上可以避免感染(但是可能导致打开 U 盘的速度变慢)
提示:
1 、尽量避免在公共场合(网吧、打印复印店等)使用 U 盘,以避免感染。
2 、在自己系统上使用 U 盘时一定要先用杀毒软件杀毒。
3 、 Mp3 、数码相机、智能手机一样可以传播 U 盘病毒。