- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理" B' \7 d E+ a7 k6 t; X; @5 |
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。; }7 C3 Y+ V( ~4 Y" ~
9 p+ \1 u& s% m; H图1:U盘插入后,Windows系统会自动询问用户进行何种操作
2 V" ^% N$ ~- P5 ?0 B! v* W
1 I l6 I& h/ ?8 t; K9 F5 p2 X' z' S; S 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。# ~. S% P" u' h2 A
首先编写一个Autorun.inf. y F4 F. A7 G- T
[autorun]
( p; ~: o, r g" [% [ OPEN=notepad.exe
* ] | d* i+ q( Z8 ^! e6 H3 _ shellopen=打开(&O)
) T( i9 A. k, y+ x shellopenCommand=notepad.exe
0 E$ w8 f' J! z) C @/ ? N1 f( m$ T shellopenDefault=1! K: a4 V- P' O
shellexplore=资源管理器(&X), S- \+ c7 [7 {; S) O$ T0 h
shellexploreCommand=notepad.exe' _& W9 K! o4 M- V R
icon=rising.ico6 f9 D) k+ C0 E4 @: Q
将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。2 f: i; g3 o" S V
7 v3 O9 I9 p8 f3 R7 h# C& u7 P6 Z( ?/ b- t( g! S
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录' V! @) M# D4 n/ }5 E
{) d2 X* m/ P, c 在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
* a6 ?6 Y5 o$ `$ O& s' `
. Q2 {$ N* p: u* A8 `7 B( z* [# [2 W1 z0 u
图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件
3 @- p. H7 B# g* ^' G( \5 t 远离U盘病毒4 L) N7 M# q' p' {4 g* W) S. b. Y5 A: u/ m
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。
t& [1 ~8 W" I, i- w 方法一:建立Autorun.inf免疫文件) o/ ~" L# x- [- _ v$ t+ `( r# ^; B
在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。" w( X& t* K7 i8 h- V% T/ P& K0 h
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。8 |3 ^& d; [/ u
方法二:禁用组策略中的自动播放
D# q w2 d) Z" ?) C0 D 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。
4 L' ?9 n, T) O# L: _ d( q7 |
+ I) T+ f% i1 I图4:在"组策略"中禁用所有本地驱动器上的自动播放功能
( W! T5 y! o# Y6 y7 g& e! M1 {% ^# [, ~# q3 E0 q. `
注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
3 n* V1 f: X; `* P2 O3 t 方法三:禁止注册表中MountPoints2的写入
8 F& d1 Z5 D) u7 o 依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的4 V7 q$ N5 x; ~4 ^; Z- E
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
# x, b% b) x( d1 I6 q 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。1 F/ X1 z4 c% o
% `& O$ y' V3 W8 \4 @
5 } y8 I! F) D' i8 g9 k" U图5:在注册表中找到"MountPoints2",右键点击选择"权限"3 E) Y* ?& k( E% m( r, @8 Q: C* s
6 F& e( b, e+ @) D) ?
`5 \0 _0 A' e3 |图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33