科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道全面绝杀U盘病毒

全面绝杀U盘病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着 U 盘,移动硬盘,存储卡等移动存储设备的普及,U 盘病毒也随之泛滥起来。国家计算机病毒处理中心发布公告称 U 盘已成为病毒和恶意木马程序传播的主要途径

来源:论坛整理 2008年11月27日

关键字: 安全技术 病毒查杀 安全防范

  • 评论
  • 分享微博
  • 分享邮件

U盘病毒背景

    随着 U 盘,移动硬盘,存储卡等移动存储设备的普及,U 盘病毒也随之泛滥起来。国家计算机病毒处理中心发布公告称 U 盘已成为病毒和恶意木马程序传播的主要途径。

U盘病毒概念

定义:

    U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使用户所有的硬盘完全共享或中木马的病毒;能通过产生AutoRun.inf进行传播的病毒,都可以称为U盘病毒。随着U盘、移动硬盘、存储卡等移动存储设备的普及,U盘病毒也开始泛滥。

特性:

    U盘病毒会在系统中每个磁盘目录下创建Autorun.inf病毒文件(不是所有的Autorun.inf都是病毒文件);借助“Windows自动播放”的特性,使用户双击盘符时就可立即激活指定的病毒。

隐藏方式:

    有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除,所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方。

    一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的。

    另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名并让人以为是杀毒软件的程序,其实是病毒。

    也许有人会问,为什么在你的机器上能看到上面的文件,我的机器看不到呢?很简单,通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等等,一般情况下当然就看不到了。要让自己能看到隐藏的文件,怎么办?个人如操作,按如下步骤:打开“我的电脑”,在菜单栏上点“工具”,点“文件夹选项”,出现一个对话框,选择“查看”标签。

    如果U盘带有上述病毒,还会一个现象,当你点击U盘时,会多了一些东西:右键菜单多了“自动播放”、“Open”、“Browser”等项目;杀毒后的没有这些项目。这里注明一下:凡是带Autorun.inf的移动媒体,包括光盘,右键都会出现“自动播放”的菜单,这是正常的功能。

传播途径:

    被感染的计算机会向连接该计算机的U盘上写入由病毒实现编好的 autorun.inf 文件和病毒程序使U盘染毒.当染毒U盘在其他计算机上使用的时候就会感染其他计算机.

U盘病毒防御方式

    由此可以看出 U盘病毒的关键在于 autorun.inf 文件 我们可以通过禁止写入autorun.inf 文件来达到U盘病毒免疫的效果。 方法就是在U盘中建立一个autorun.inf的文件夹(不是文件), 为了不被误删,可以设置文件夹为只读隐藏属性。这样当病毒想向U盘中写入文件的时候,系统就会由于 autorun.inf的名称已存在而拒绝写入。同样的方法也可以用于利用硬盘根目录加载的病毒。

解决方案

    综上所述,目前的U盘病毒都是通过Autorun.inf来进入的;Autorun.inf本身是正常的文件,但可被利用作其他恶意的操作;不同的人可通过Autorun.inf放置不同的病毒,因此无法简单说是什么病毒,可以是一切病毒、木马、黑客程序等;一般情况下,U盘不应该有Autorun.inf文件;如果发现U盘有Autorun.inf,且不是你自己创建生成的,请删除它,并且尽快查毒;如果有貌似回收站、杀毒文件等文件,而你又能通过对比硬盘上的回收站名称、正版的杀毒软件名称,同时确认该内容不是你创建生成的,请删除它。

    同时,一般建议插入U盘时,不要双击U盘,另外有一个更好的技巧:插入U盘前,按住Shift键,然后插入U盘,建议按键的时间长一点。插入后,用右键点击U盘,选择“资源管理器”来打开U盘。

    注:部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计,目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式,因此建议购买U盘是先做识别,或咨询销售人员。

杀掉U盘中的病毒的方法:

    对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章