- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理- Z& o1 j3 S" I+ I. ?
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。
8 o4 t4 t0 B; I% ]/ v ! W$ [9 O/ X$ }% x
图1:U盘插入后,Windows系统会自动询问用户进行何种操作
$ t/ X \/ g2 ]. X4 M4 Q
/ Q1 B3 N+ P( ]* E4 B% U8 B, H 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
r3 v" ~" }* q$ j 首先编写一个Autorun.inf0 N# U0 \' y/ k1 q( g4 z; X
[autorun]
, C, v2 a! s2 W0 ^7 ^$ q OPEN=notepad.exe5 j* z/ Z5 u3 k! c5 p9 A
shellopen=打开(&O)- q" _# p& a% c9 ~! b0 a
shellopenCommand=notepad.exe
6 W# W5 y1 k) V1 J3 U- | shellopenDefault=1
8 G' q6 o) Q& ~1 ~7 B shellexplore=资源管理器(&X)6 ^2 a& Z9 c# S! H
shellexploreCommand=notepad.exe) K/ Z6 r6 H" p* h. d
icon=rising.ico" _2 d; R7 V, R7 z$ D
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。! E& a) i, V% d7 q' C" K
0 y) ?1 o1 y+ l k& J8 I$ x8 f+ A5 p
$ I+ X! w5 ^1 A+ P5 T( [. I2 }/ r图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
0 P! x9 M: S& B3 e, t2 l$ o) C' n% N* L
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
6 x7 @+ W* G7 `. _* @. D ) r% k- [- f3 m+ w: F* W/ ^2 N
1 L: V: o* _ |/ ~" N+ |. j 图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件& L8 L' x2 r# t" y# j4 B. V
远离U盘病毒
|9 n) ^8 j0 r4 p7 F" D# C 预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。
1 k' j) Q. K+ g n3 y/ y 方法一:建立Autorun.inf免疫文件
8 W* x9 K1 A6 ]; ]$ i' [ 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。$ C# [2 T" D8 {$ L
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。* V4 y% D( C3 P0 J, \: z6 K4 f
方法二:禁用组策略中的自动播放
+ `" s5 ]; m5 |; O# {2 k; W 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。 X3 L$ J+ b) F! }: H1 x. E# o
* `. J1 i* ?8 ~# I; D+ Y/ \" F, Y图4:在"组策略"中禁用所有本地驱动器上的自动播放功能
5 W- h0 c$ J5 D) s' H, g0 a. b; [2 j" V2 I: {& l& K* m8 X# e
注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
. v( D/ a0 U- S8 |7 Q) e 方法三:禁止注册表中MountPoints2的写入
7 Z0 D4 U3 k: Q9 u. [" S 依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的' B0 d u$ w, p# f
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。% P/ B8 e1 P$ W; ~" }) q9 Q
说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
8 T; ?/ E6 f3 ~ 4 H$ I9 j6 r- P1 L
2 t. s3 f7 @8 b% O9 r
图5:在注册表中找到"MountPoints2",右键点击选择"权限"
- F; m) D. S% y5 @# t, X5 C E
# Q S9 V" U7 I5 ` " G( c2 u- _2 \$ f2 c# G! x. }
图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33