|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
U盘病毒的防制与查杀
8 a2 j9 O. r) f7 _3 X7 y$ i( Q
1 b Y, N& y% k1 x3 N/ ~2 Z一、U盘病毒简述:4 H! i+ I. n9 a
$ y5 W. f8 n8 b" m' n' S% p U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件。目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结。* c% C# a" m" T) c" B8 V3 x$ a
& @9 } o3 D( }+ N! F- W ?1 \% b! J
) [" B( o/ [8 J" a* k6 i6 V+ S二、特性分析:
# v/ g" r4 f+ |6 K
) _2 w3 l' ^& _0 f) U* h$ _ 所谓的自动运行功能是指Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或U盘应该自动启动什么程序等。
8 L# A: G, M/ t# X5 a. N
6 I3 {' d; r, m; D 常见的Autorun.inf文件格式大致如下:
z/ z0 {! C& v2 Q. y* k4 ` M3 V$ @0 @7 }
[AutoRun] //表示AutoRun部分开始,必须输入
d$ C7 H E0 q8 x icon=C:\C.ico //指定给C盘一个个性化的盘符图标C.ico
2 f8 {% o# r! a7 `4 q1 B ōpen=C:\1.exe //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行; R+ ?, h; ~$ p4 ]6 x
7 U* R4 P; ^- {3 p' @8 G$ _2 |8 @ 在Windows系统有允许和阻止自动运行的键值的方法:2 w4 y- G, C% x& K
: b# |8 b0 R# F* u" |
在注册表中找到如下键:
0 c' U; y1 g; P! d) c9 c) ?5 n, ?# }- Z5 p- C
键路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]) I, C; b! L" P ]$ x
- r5 ^# b5 @" E, [" g5 l! W1 T* E在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:4 Q! H6 I9 Y: v9 S8 w6 Z
/ O6 K- k# K- ?5 C# \6 _/ O
' H4 Q( E& C3 O
设备名称 第几位 值 设备用如下数值表示 设备名称含义 4 x$ |2 ]5 v |; c ^
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
$ T% W3 O+ Y1 w1 Z- O8 SDRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
* k9 l) \) X. t# ^0 m4 QDRIVE_REMOVABLE 2 1 04h 可移动驱动器
% {( V: F g3 b) j2 y5 \DRIVE_FIXED 3 0 08h 固定的驱动器
" H/ V: `: T. R }DRIVE_REMOTE 4 1 10h 网络驱动器 ( i, x9 c9 E5 w L9 Q
DRIVE_CDROM 5 0 20h 光驱 & u ]3 u1 H$ ^3 k
DRIVE_RAMDISK 6 0 40h RAM磁盘 3 o' j& `% Q' N
0 [& W) [4 G. `7 t# f( z1 x其中: 保留 7 1 80h 未指定的驱动器类型
2 E/ o, g a+ S1 ~7 c% W5 B, A5 R5 ~
9 K0 l) r0 k& D M) q3 b以上值"0"表示设备运行,"1"表示设备不运行。
: R, I, ^7 W% E5 z) K% e/ l从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。; I) ^2 @2 [5 P0 u
7 \% [0 ^1 S0 O. v* p2 r! x- G1 }, }
U盘病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。
0 b( s; U3 f( Y5 Y/ v# `2 P
1 c8 ^" d. W' L/ J1 w/ I r8 v$ y2 M: W
三、解决方案:
5 a& d8 `8 r6 {/ z. R+ c7 N5 T# c& w8 U- }. L7 T7 E4 s& R) g/ g1 ^
1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):& g, j! \2 Y0 [( O5 y% E6 W6 J0 G. ]
, z9 @9 e; l3 R, P
①超级巡警对U盘病毒检测进行了特别的处理,可以快速的监测和定位U盘病毒,并清除它们。
7 ?5 \: D7 F. ?- G w7 ~②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。
2 W. o3 B% X: z4 _+ x' u& Y5 M0 l3 U
2、手动解决办法:% ]- P2 q8 A# u: r. M# r
3 ?" z# o6 S( R2 e
①根据上面的原理,自己修改注册表禁止磁盘的自动运行特性。
% s" l/ Q9 O% |4 {: z②把文件夹选项中隐藏受保护的操作系统文件钩掉,选中显示所有文件和文件夹,点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件),删除后,病毒就清除了。 |
评分
-
查看全部评分
|
发表于 2010-5-30 23:36:13