- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理 z2 U3 ~4 t K. d3 \
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。8 E3 D& B, k4 V+ j3 i& b
' H& V x7 S$ v& q. E/ d, E2 J4 i2 E& G图1:U盘插入后,Windows系统会自动询问用户进行何种操作( n* A# Z; \# I6 I' w5 s/ M" Z
: s X2 G r9 z, o5 m# ]6 b
自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。5 {& f1 n3 F3 F
首先编写一个Autorun.inf Z( ?) I" ^7 O( Y3 S
[autorun]
) S8 \: j5 O0 w3 r0 p$ X OPEN=notepad.exe: U* O' B( o) s
shellopen=打开(&O)
) v# @$ N% p6 g3 P shellopenCommand=notepad.exe/ `' G& c2 Q; Q8 t$ z3 R5 T
shellopenDefault=1/ H3 N' V" f. N! ?
shellexplore=资源管理器(&X)
0 {* v3 \! }* d* E shellexploreCommand=notepad.exe
: O% W, D9 I: C' n5 W |7 s icon=rising.ico& G) \1 [1 Y) p) S
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。; B5 a h- C( U* O
! Y; H/ e* C3 i2 g4 O9 K5 d8 O/ N: y$ I" y1 Z! `
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录) L& T4 _4 z% W g! J
2 @! D" s9 z& R |. T
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?+ t7 F {$ Q6 z' x* a+ Y. w& y! S2 T
+ j5 C1 ~$ l2 e @1 S1 X# k) s* O" p- w
图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件
* P' ?6 |. A) H% r8 v 远离U盘病毒$ q9 J$ S, X1 S0 p
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。, k1 N5 k1 r2 R2 T* h
方法一:建立Autorun.inf免疫文件
4 ?( e8 ?: [2 ? 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。# U8 m4 K; W' U* w6 O
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。
7 n" r" A2 t: T) i* V+ V 方法二:禁用组策略中的自动播放
$ h$ S. B4 X: f& c2 T6 c+ b6 L 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。
! l2 D8 I5 ]% O- d6 g
# e% N! l- \( {7 a; G! x9 V8 S4 f% x图4:在"组策略"中禁用所有本地驱动器上的自动播放功能0 \8 Q; k" V% |. W5 p0 X' z \
3 H! b, W# D G8 X1 Y& ^5 f/ E 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
/ b9 d1 ^1 I$ s5 l {/ X& G 方法三:禁止注册表中MountPoints2的写入0 L) q+ |+ F D
依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的* ] W3 N6 j3 y# |! \
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。8 ]: w. h8 o$ a7 v
说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。2 h- e7 h- u! V, w N P
1 N0 B% o2 R. U % |# i1 F3 ], o& E% N% h6 Z9 c
图5:在注册表中找到"MountPoints2",右键点击选择"权限"
% z$ E1 v% }* _! q }( B
9 q! ~& a7 [0 \$ Y9 R 3 x3 B9 j) H& [8 [" L1 l* C* S
图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|