- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理
T$ `1 C( [2 N5 e9 l: F U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。
, P( x1 T- Y7 g% g' f6 S. |
3 ~5 r9 ^% ~3 U0 }& s$ j图1:U盘插入后,Windows系统会自动询问用户进行何种操作- x. O) _- H* c! o! B$ O
/ n# b2 M9 |& O 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
& E* b5 J, }0 x% O8 ? 首先编写一个Autorun.inf- ~; Y5 l0 }3 \3 h; X# z( d8 `
[autorun]
) K+ |* b5 w; s' n. v7 o3 S* j7 a& x OPEN=notepad.exe6 u5 `. \( b: l, X
shellopen=打开(&O)
7 k7 [0 w4 a: e% e4 k shellopenCommand=notepad.exe
2 ?/ O5 A4 x2 f, g: k shellopenDefault=19 r& U) }4 R3 h
shellexplore=资源管理器(&X)
1 P5 x$ `: M2 D* i5 E$ G, u6 | shellexploreCommand=notepad.exe6 Z" V, z; B ~$ _8 L
icon=rising.ico; }8 p/ i$ b' e- p6 i8 ^( {* ~
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。
& W* D$ j# I% E ) X0 g! f! n% s: Y
% i) G) s( H @: a8 y. n4 N
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
' D! i7 s5 Z3 m8 @
% k8 M4 Z0 H; X7 V" F" i 在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
9 @3 U4 L7 n( s6 @* R4 q- u+ n* x
d" q. ], c8 |1 k# H% I' n$ N1 Q9 u; W/ e* \- L, @4 o: e
图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件8 B. h3 Z5 q) E$ i# @
远离U盘病毒
( F: Q9 e E# V; d, i 预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。
/ K6 t" j# }+ | 方法一:建立Autorun.inf免疫文件
$ j! i/ ~: M2 A+ {2 _* E 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。: r- g% M: q) F' O) E C
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。
- d$ v$ _' ?. _) z! m$ Q9 A8 t 方法二:禁用组策略中的自动播放
/ \! g$ u( e4 \6 y 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。
/ s" Z3 ]/ \% H# E2 \5 G $ g0 y3 `7 A( e7 t) f3 s
图4:在"组策略"中禁用所有本地驱动器上的自动播放功能% m8 K! r/ l! s7 h6 t2 m+ Z/ _2 K3 a
/ \) S8 n+ ?6 C2 {" G+ q 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。$ H4 a2 B1 k0 q: u. C
方法三:禁止注册表中MountPoints2的写入2 w9 B0 G+ ?$ I8 I7 F8 \
依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的6 z H( O2 @' i# Z
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
, P& |- `# c! o" t4 @: z1 ? 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。2 C: m$ O5 ^- h& ^8 y) E
7 F4 y9 f6 `7 r$ O! E) ~
2 C& d2 a3 P/ z4 K! `4 F% W) U
图5:在注册表中找到"MountPoints2",右键点击选择"权限"
, k8 ~- g' |4 C% m' |& F : q r7 ]- `3 @: j; @& O
) R G" w. ?5 G3 |图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33
收藏
贊(