- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理6 H4 [) g; r+ h% k; P/ B6 F
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。; w7 ]2 f8 x7 r, T6 _# \$ S
4 e; ~ C! g$ q" J" j& @0 e9 R图1:U盘插入后,Windows系统会自动询问用户进行何种操作
, U# o+ ^% F0 V. T9 @' b
7 z D& v4 N, H 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
/ Q0 I ?6 |4 h: o6 ] 首先编写一个Autorun.inf
/ J% A7 W( N$ s K& L N [autorun]9 A' J3 Y1 T9 n ?
OPEN=notepad.exe, O$ P6 ^" w3 b3 ~- _$ f
shellopen=打开(&O)
+ Y4 }: a; ~( j5 @: [8 p' v shellopenCommand=notepad.exe4 ~- X! ^' e, [7 e- z( q. s
shellopenDefault=1
& a! Z7 ^; q2 T- D4 a" T- \ shellexplore=资源管理器(&X)7 z+ l1 `* Z, d$ S7 ?
shellexploreCommand=notepad.exe
8 t$ b' G2 { g% e( } l icon=rising.ico
2 C/ w" X3 Y0 B. y3 U7 r 将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。
3 H0 i4 n1 k' e/ U 3 D* I; z D% i7 b2 s
1 [% j% M- B# L( b
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
* s: j4 c9 M3 @! k) [% C2 s1 a5 p/ B9 a) X' W
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
( }7 ?! D* _. v
/ h; Q; w0 d# r3 e, h# U3 Y8 V; n5 G% v7 Q, K; i6 W
图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件& j, r! V2 o/ ]
远离U盘病毒, q4 K; O: O3 l* V9 h
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。
5 |& j7 v5 |0 \- j. @% } 方法一:建立Autorun.inf免疫文件
1 P5 d% l9 }6 `' Z1 S 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。% G x, E, m1 s5 n# u
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。# ~! L9 X' H( R
方法二:禁用组策略中的自动播放
0 X" Y2 r( ~- q+ ^, ]2 t ?4 v 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。; u- J" G7 v- a' O" \) x! W& L
5 y% p- P# @ s* a# L( d; T图4:在"组策略"中禁用所有本地驱动器上的自动播放功能- F$ s' O( O! w7 i J- f
5 c1 r+ G; T4 U$ n4 d 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。% A( ?( H( {, I' y1 x
方法三:禁止注册表中MountPoints2的写入
( z. @0 t* G' B 依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
8 e6 v z% G8 T HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
0 O/ o, I1 v o+ H0 \) P9 ?, V4 J" ?; [ 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。 m, b- x7 Z r# t5 { C
6 Y6 P* Y U0 z! W9 _. A/ N " |. Z: I F& d- k# d+ \5 e8 Q
图5:在注册表中找到"MountPoints2",右键点击选择"权限"% C% e. d+ A# S, {- G
4 b& D$ {& I) p9 i+ w7 |8 G2 C( t
_8 t: Y& t' K5 P9 Q图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33