随着U盤等移動存儲介質使用的越來越廣泛,它已經成為木馬、病毒等傳播的主要途徑之一。現在我們就來介紹一下U盤病毒是如何傳播的以及如何對它進行防範的。這裡我們所說的U盤病毒,并不是單指某一種病毒,也不是說隻是通過U盤傳播的病毒,而是泛指所
有通過移動存儲介質進行傳播的病毒(事實上它可以通過系統上所有的分區進行傳播,隻是因為很多時候它們都表現在U盤上,所以我們才統稱這些病毒為U盤病毒).
目前U盤病毒傳播的方式主要有以下幾種:
1、通過autorun.inf文件進行傳播的(目前U盤病毒最普遍的傳播方式)
2、僞裝成其他文件,病毒把U盤下所有文件夾隐藏,并把自己複制成與原文件夾名稱相同的具有文
件夾圖标的文件,當你點擊時病毒會執行自身并且打開隐藏的該名稱的文件夾。
3、通過可執行文件感染傳播,很古老的一種傳播手段,但是依然有效。
我們今天主要來介紹第一種傳播方式的原理與防範方法。
原理:
這種傳播方式的關鍵就是autorun.inf,這個文件本身并不是病毒,它是系統自動運行的一個配置文件。它很早就存在于windows系統中,在WinXP以前的其他windows系統(如Win98,2000等)中需要讓光盤、U盤插入到機器自動運行的話,就要靠autorun.inf。這個文件通常被保存在驅動器的根目錄下的(是一個隐藏的系統文件),文件的内容包含着一些簡單的命令,告訴系統這個新插入的光盤或硬件應該自動啟動什麼程序,也可以告訴系統讓系統将它的盤符圖标改成某個路徑下的icon,它的格式通常是下面這樣:
[AutoRun]
open=sss.exe(要執行的程序)
shellexecute=sss.exe (要執行的程序)
shell\Auto\command=sss.exe (要執行的程序)
由于windows系統中的自動播放功能默認情況下是處于未配置的狀态。這就使得隻要在機器上接入移動的存儲介質,就會自動的播放。這個原因也是導緻U盤病毒傳播的一個最主要的因素。我們隻要在U盤的根目錄下建立autorun.inf文件和某些特定的執行程序,并把執行程序的路徑和名字寫到autorun.inf文件中,就可以在U盤插入系統後自動運行該執行文件,而這些執行程序可以是任何我們想要它運行程序(病毒、木馬、灰色軟件等等)。
解決辦法:
了解U盤病毒傳播的原理後,我們就可以知道防範它的一個關鍵就是不讓它自動運行,目前的方法有以下幾種:
1、關閉“Shell Hardware Detection”服務,關閉這個服務後再放入光盤或U盤時系統将不再掃描這些移動介質的内容,也就不會運行Autorun.inf中所配置的文件了。關閉服務的方法如下:
單擊開始菜單的運行,輸入“services.msc”(也可以通過點擊開始->設置->控制面闆->管理工具->服務)來打開服務窗口,在窗口右側顯示的内容中找到“名稱”列,在“名稱”列裡找到“Shell Hardware Detection”(可以随便單擊一下“名稱”列裡的内容,再按鍵盤上的S鍵,快速地定位),單擊右鍵,再單擊屬性彈出屬性對話框,先選擇停止,然後在常規選項卡裡的“啟動類型(E)”右邊的下拉菜單中選擇“已禁用”,最後确定退出,重啟計算機即可。
2、關閉windows的自動播放功能,方法如下:
在開始、運行中輸入gpedit.msc後回車。會出現組策略的控制窗口,在該窗口中選擇
計算機設置->管理模闆->系統->關閉自動播放,雙擊關閉自動播放,然後選擇已啟用,選擇關閉所有驅動器。
3、修改注冊表來禁止自動播放,方法如下:
在開始運行中輸入regedit.exe後回車,調出注冊表編輯器,定位到
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer] 進行修改。NoDriveTypeAutoRun 指定按設備類型禁止自動播放。
1:未知類型,4:可移動磁盤,8:硬盤,10:網絡驅動器,20:光驅,40:RAM驅動器,80:未知類型,FF:所有類型。若要禁止某一類型自動播放,直接使用對應的值,若要禁止幾種類型,則使用它們數值相加的值,如95=1+4+10+80,91=1+10+80,b5=1+4+10+20+80。NoDriveAutoRun指定按盤符禁止自動播放。相關設置可以參考NoDrives值,最大值為hex:ff,ff,ff,03,禁止所有盤自動播放。
小竅門:
1、當你在你U盤的盤符上點擊鼠标右鍵發現彈出的選項中有自動播放時,就說明你的U盤上有autorun.inf文件存在(很可能感染病毒了)。
2、使用鼠标右鍵選項中的打開選項打開U盤,很多時候可以避免U盤中的autorun.inf文件被運行(但不是絕對)。
3、當你U盤還沒有感染病毒的時候,在你的U盤根目錄下建立一個autorun.inf文件并将它的屬性改成隻讀,很大成程度上可以避免感染(但是可能導緻打開U盤的速度變慢)
提示:
1、盡量避免在公共場合(網吧、打印複印店等)使用U盤,以避免感染。
2、在自己系統上使用U盤時一定要先用殺毒軟件殺毒。
3、Mp3、數碼相機、智能手機一樣可以傳播U盤病毒。