U盘病毒的原理及预防方法的探讨
【摘要】优盘作为使用最为广泛的存储设备,一旦成为计算机病毒的载体,对计算机及其系统甚至对整个网络的破坏是巨大的。从u 盘病毒的原理和特点开始来论述u盘病毒的传播,最后提出预防u盘病毒的具体方法。
【关键词】u盘病毒 传播 预防 一、u盘病毒的概念和特点
u盘病毒,又称autorun病毒,就是通过u盘,产生autorun.inf进行传播的病毒,随着u盘、移动硬盘、存储卡等移动存储设备的普及,u盘病毒已经成为现在比较流行的计算机病毒之一。 u盘中毒后会出现下列的一些特征:识别u盘速度变得极为缓慢,且双击u盘盘符时无法打开,当然右键菜单选择“打开”也不行;双击u盘盘符时无法打开,但在资源管理器窗口中却可以打开其盘符,用winrar打开u盘,发现了u.vbe文件和类似回收站图标的文件;右键菜单里多了“自动播放”、“open”、“browser”等命令项目,u盘无法正常拔插;所有exe程序被关联,且快捷方式图标全换成类似.com程序的默认图标;)u盘里面的所有文件夹并成*.exe格式文件或快捷方式文件,不能正常打开;选择“开始”菜单→“运行”命令,输入cmd进入命令行模式,输入c:按回车键,进入c盘根目录后,输入dir/a查看所有文件,会出现现autorun.inf和ravmon.exe这两个文件。通过识别这些特征,有助于我们预防u盘病毒。
二、u盘病毒的传播阶段
u盘病毒通过隐藏,复制,传播三个途径来实现对计算机及其系统和网络的攻击的。
(1)隐藏。u盘病毒的隐藏方式有很多种: ①作为系统文件隐藏。一般系统文件是看不见的, 所以这样就达到了隐藏的效果;②伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开;③藏于系统文件夹中。这些系统文件夹往往都具有迷惑性;④运用windows 的漏洞。有些病毒所藏的文件夹的名字为runauto...,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是runauto...\
(2)复制。u盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到优盘中,当优盘插入到具有上网条件的计算机中使用时,优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。
(3)传播。当隐藏或中毒u盘插入到一台没有任何病毒的电脑上后,使用者双击打开优盘文件浏览时,windows 默认会以autorun.inf 文件中的设置去运行优盘中的病毒程序,此时windows 操作系统就被感染了。
在这三个过程中, 系统设置的autorun.inf文件运行起着关键作用.病毒通过其设置木马程序。使得其文件格式变为以下几种:自动运行的程序open=filename.exe;修改上下文菜单,把默认项
改为病毒的启动项shellautocommand=filename.exeshell=auto;只要调用shell executea/w 函数试图打开优盘根目录,病毒就会自动运行shellexecute=filename.exeshellexecute=;伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。shellopen=打开(&o)
shellopencommand=filename.exeshellopendefault=1shellexplore=资源管理器(&x) \ 三、u盘病毒的预防
了解了u盘病毒的原理和传播,我们可以在技术层面和非技术层面上加以进行防范。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。现重点说明技术防范的方法: (1)及时更新安全漏洞补丁和病毒库。 (2)修改注册表禁止u盘病毒自动运行。
(3)关闭自动化播放功能。对windows xp 操作系统, 单击”开始”-”运行”,在运行中输入gpedit.msc 进入组策略编辑器依次选择”用户配置”-”管理模板”-”系统”-”关闭自动播放”,在”关闭自动播放”属性窗口选择”已启用”,关闭自动播放中选择”所有驱动器”,单击”应用”按钮禁用系统中所有驱动器的自动播放功能。
(4)打开u盘时请选择右键打开。
(5)实时监控,杀毒先行。windows 操作系统首先要通过”文