科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道U盘病毒分析(1)

U盘病毒分析(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近,有关U盘病毒的情况非常严重,目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的.

作者:X-Force 2009年3月11日

关键字: autorun.inf

  • 评论
  • 分享微博
  • 分享邮件

最近,有关U盘病毒的情况非常严重,以湛江年会为例,在各人递交的U盘上,发现有病毒的比例可以高达90%。

这里记录一下有关此病毒的一些个人看法
首先,目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的,而事实上autorun.inf相当于一个传染途径,经过这个途径入侵的病毒,理论上是“任何”病毒。因此大家可以在网上发现,当搜索到autorun.inf之后,附带的病毒往往有不同的名称,正是这个道理。就好像身体上有个创口,有可能进入的细菌就不止一种,在不同环境下进入的细菌可以不同,甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒,也因此导致在查杀上会存在混乱,因为U盘病毒不止一种或几十种~~详细的数字应该没人去统计吧。

现在先说说autorun.inf这个所谓的创口吧……
首先,autorun.inf这个文件是很早就存在的,在WinXP以前的其他windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术。
但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容

这里再说说计算机病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、正常的功能,病毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机器被格式化,或者删除了一些文件,而这其实不需要太高深的电脑知识。

说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:
有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除(即使不知道其是病毒,不是自己的不知名文件也会删除吧),所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方了
一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:

另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。

也许有人会问,为什么在你的机器上能看到上面的文件,我的机器看不到呢?很简单,通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等等,一般情况下当然就看不到了。
要让自己能看到隐藏的文件,怎么办?
个人如操作,按如下步骤:打开“我的电脑”,在菜单栏上点“工具”,点“文件夹选项”,出现一个对话框,选择“查看”标签,然后对照下图:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章