- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理! X8 }9 v: a& ~" U# g
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。, |0 A# w/ A$ L9 Y2 |- P9 a
8 C4 W9 M% h2 G" U0 g图1:U盘插入后,Windows系统会自动询问用户进行何种操作( d& G" C- `7 t/ ^" w
! D7 \ [5 R) ]) o6 T- w* u0 @ 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
8 G/ z P& U3 X 首先编写一个Autorun.inf
( ^* T* d$ u [# Y. t [autorun]
* e6 @7 X* d; {# x: D* t OPEN=notepad.exe( F. y* g) r% k. \* L
shellopen=打开(&O)- ^/ l2 X a. i# L* X
shellopenCommand=notepad.exe
& y. p3 M4 @ i; c9 c2 a0 i+ D& q shellopenDefault=1
: U( l) r0 A+ C8 {- w4 t+ {3 s9 K. ^ shellexplore=资源管理器(&X)
+ @. U& ~! @: G" L9 J3 @2 d shellexploreCommand=notepad.exe
% E9 O# T1 h6 e7 b) F icon=rising.ico
$ r j( n) Z9 U 将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。9 v6 F: ~# M7 h: l
+ N3 `* a& P3 s' B+ T( U2 T
& K$ h' R- s9 p: ?+ R2 p7 o图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录# G) C: P( B: V. m3 s
. }, L& i- q* R) o/ N0 [7 J3 v 在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
$ C) L+ t6 J0 C5 |4 Z# E3 y 7 p) G; B- M" A$ V) F7 Y
5 }7 D0 D3 j+ w1 v$ q7 B2 \ 图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件
! W1 I$ n& P# n% z# a: i* ~ 远离U盘病毒$ c) I+ {/ B- _6 ]; n
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。( ]. X' ^* H3 ]& Q. R
方法一:建立Autorun.inf免疫文件
2 X5 w# b0 c" k7 J 在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。, h$ V1 t4 P3 m
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。5 n2 G1 q' Z& n+ k0 ?
方法二:禁用组策略中的自动播放
& r2 g0 z' f4 ?) n 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。' v9 s, V1 F" `% t8 `
$ `5 k! J. ]3 i( Z$ z% t% _) b5 g
图4:在"组策略"中禁用所有本地驱动器上的自动播放功能& B9 P( c/ n: K: ^* i @% J
/ H+ ?( T* |4 `* E1 ^* P) m 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
8 g! V; \5 M! ?3 B9 V 方法三:禁止注册表中MountPoints2的写入4 w2 N2 x, |# m3 T9 ]( {- y4 a K8 v
依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
# }* m0 c$ h( b+ l7 u HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。 W0 E! P. G& i0 w) P% b
说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
6 j* M: a3 [6 h- a* Z9 Y, ^ 9 t- C; ]( W; A3 ?2 v/ y3 v: A
) X/ {: Z( T% A( w! g& T图5:在注册表中找到"MountPoints2",右键点击选择"权限"2 W- k, P5 v1 \& a3 b
7 G; n4 M9 O1 U
9 O- }7 @7 S% y& F图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33
收藏
贊(