|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
U盘病毒的防制与查杀
! H* z3 P* N# n+ G1 A' l" I. k
8 l: n6 E4 m( `: s, f5 g一、U盘病毒简述:6 c" \, g: N" X0 R" b, [+ ?6 \
! l$ A3 l# _: r. j U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件。目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结。
) y2 b# [" i+ d* Q( A% \5 [) ]$ X& u, u# T8 Z
( A2 k Y* c( z) F0 R) Z* k; u9 o二、特性分析:: j: [$ g }: d+ s" w. \3 U0 Y
1 W- S, K+ C9 g1 W ` 所谓的自动运行功能是指Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或U盘应该自动启动什么程序等。/ _9 R$ \, A% q) \2 R, N( m8 ~& S
$ U: a8 w8 j2 m$ E- U8 U, ^" c 常见的Autorun.inf文件格式大致如下:; Y0 Z. F4 q+ x. O
7 B& u' ]6 H* e$ q- v8 {- i/ ?' E$ z
[AutoRun] //表示AutoRun部分开始,必须输入
7 T- A; J6 I0 s9 I) A6 a2 f* K icon=C:\C.ico //指定给C盘一个个性化的盘符图标C.ico
/ k; K' f/ `- M# W7 ]; L- J ōpen=C:\1.exe //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行;; B* N, y; @9 ?4 {, i
5 N" q) {8 Y8 c I
在Windows系统有允许和阻止自动运行的键值的方法:
2 {& v, h: j/ X0 C0 S r6 N! V7 Q: o$ q$ L H1 E# p5 `4 g5 y
在注册表中找到如下键:; T$ h P8 [7 {- a7 v8 m% g7 c) ?
( t* g9 y- ^# M8 h0 `5 F键路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
' U3 j* C7 G9 o0 W8 x) \7 W% J6 c+ d# {* X4 ^+ P
在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:) j( k# F( p* B' g
5 {* k9 @9 ?. g+ F; U! k2 c7 U# J
5 M6 H# U% }1 f. a8 h; i; h设备名称 第几位 值 设备用如下数值表示 设备名称含义
, \9 v! G$ ]2 L# E5 s( VDRIVE_UNKNOWN 0 1 01h 不能识别的类型设备 6 [3 u4 w6 u( }4 j5 w, y% K
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
4 L5 I# v, [- YDRIVE_REMOVABLE 2 1 04h 可移动驱动器 + O- m' G# m2 W: M5 e+ `$ }& U. A
DRIVE_FIXED 3 0 08h 固定的驱动器
% h3 b& ]/ s1 ~DRIVE_REMOTE 4 1 10h 网络驱动器 % j; u6 C/ L2 \2 S
DRIVE_CDROM 5 0 20h 光驱 4 Z- | H/ G* |. x
DRIVE_RAMDISK 6 0 40h RAM磁盘 3 T& X3 X7 g F5 N, `# ^
- P) c4 A- v: S# [) m5 }
其中: 保留 7 1 80h 未指定的驱动器类型- V6 P1 M) S" R: D) o5 g+ D2 p! T$ u
7 B6 V3 d I4 a! b+ V& S以上值"0"表示设备运行,"1"表示设备不运行。6 o: n3 y$ g0 L
从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。) Q! [3 `% Y4 P7 p8 ~; w& x
, @: O+ [" X" O0 _3 S8 x1 S- {* U3 x; ~ U盘病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。/ ~: z& G: {# C5 y, Q
6 f# h+ e( X5 P6 G5 N
7 b$ \& {- z7 |三、解决方案:' \$ j5 k4 l% D) { D p3 ^
+ Y; k5 r! ]; B1 ]: {
1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):
" y7 C3 p& p- F: y/ S; A. t4 L7 K2 O
①超级巡警对U盘病毒检测进行了特别的处理,可以快速的监测和定位U盘病毒,并清除它们。9 O4 ^& p# g, f2 D
②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。3 a: n, d5 C1 j% \& x* z" V
" T. f0 h; \2 Z) z8 J
2、手动解决办法:
5 H' Q) U& B+ L
* ?$ y) `# E5 [①根据上面的原理,自己修改注册表禁止磁盘的自动运行特性。
2 c! o* h, N" d* F9 I②把文件夹选项中隐藏受保护的操作系统文件钩掉,选中显示所有文件和文件夹,点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件),删除后,病毒就清除了。 |
评分
-
查看全部评分
|
发表于 2010-5-30 23:36:13