- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理5 u9 M7 U; `, m$ w8 s1 }
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。- Y& w9 L) z/ }
/ y" \1 ]. t+ R' p) P) X+ _
图1:U盘插入后,Windows系统会自动询问用户进行何种操作
) l w' d- T5 o( E' T; U& m- _, Z- U: x9 H
自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
' z, M( x9 O! |) Y1 M) n' ^# b* V 首先编写一个Autorun.inf
$ ?# t$ f+ Q& }. O' A5 `: n9 \ [autorun]# C0 s. ^4 I6 l: F' g/ S3 j
OPEN=notepad.exe
/ Y& e; V1 v! ]8 C! X# @ shellopen=打开(&O)
, e* U- K8 }; d shellopenCommand=notepad.exe
+ @' ]. F, m% x1 f shellopenDefault=1
* v8 G% E. P1 k' c: b shellexplore=资源管理器(&X)% B6 @. r5 Y0 N. m D" |
shellexploreCommand=notepad.exe
' m4 }: M4 l7 S9 v icon=rising.ico8 h7 a5 o4 z" J8 r; C) p* _
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。2 f+ Q( B; ^- k4 p7 t/ ]; ^
5 P8 ~5 i8 n3 M/ q) o1 N
, g8 u1 ?, ] P7 V& s8 h+ Q图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录$ ~+ H6 {9 E* q! O3 p
9 }* ~4 [9 J. @, |9 q J
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?3 j. `# ]! e7 P) h* `: G5 a
e: A- y) ^& b* w4 x E* N0 ^; x3 h7 v7 g. w ~/ C! x
图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件. V6 T3 ?5 S8 l' }3 u! |- K
远离U盘病毒) G) T5 Z# j' W+ D3 T: G0 n
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。
$ Q- y! c: u3 h: y4 g3 K 方法一:建立Autorun.inf免疫文件
I: ~0 \ U5 Y, N* V5 y, A 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。
; _: N# d$ t8 u$ [6 s" z 说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。
6 \$ u9 P, q' H/ z5 V8 A 方法二:禁用组策略中的自动播放
- @# q+ N* y, D: B4 M( X 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。* W: }1 ~' |. [, j2 ~- J( H
5 Q( H3 G( C3 ]) j8 x2 ?图4:在"组策略"中禁用所有本地驱动器上的自动播放功能 E' D3 @" U$ R& N0 j- C
8 c' ~5 c: m! F' S 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
1 o9 F8 H! X5 P0 \6 m% ]3 q% C 方法三:禁止注册表中MountPoints2的写入$ T) k: L# k0 R" z3 D
依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
; y6 a) W: o1 `! r" ]' W1 w z3 X HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
) S& M. \2 h/ S; Q9 m# ^ 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
+ |. H4 \; b H/ H3 \1 z7 n , K3 ]9 y! _5 I( S& D9 C
/ L& O8 s" F- K图5:在注册表中找到"MountPoints2",右键点击选择"权限"% G$ k+ `4 G9 E: p% z( i+ v* l
/ O0 G& l7 f4 Q) ^" ]+ P5 O. y
1 q# G3 R# O7 v' a图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33