- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理
0 o, x* j, p9 R4 q; T' b8 t ? U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。
) o% r9 {6 D; \/ b7 ~, i% E5 P( { & _+ B, {9 D% Q9 y9 D6 h2 [5 Y5 J
图1:U盘插入后,Windows系统会自动询问用户进行何种操作
7 e( ]& ~$ `% h* h/ m: ~% E7 D
& F$ V9 P j1 a/ d# z& l' h1 F& d) X 自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。
2 ]: S$ J+ H; u# w [. y. e 首先编写一个Autorun.inf8 [$ {2 U, ]0 D5 z+ E9 J/ K3 O4 b: ^
[autorun]
4 g, J# f3 B0 {0 ~/ X0 M( j1 l# m OPEN=notepad.exe
) T, }, t& a3 N. P' c( o shellopen=打开(&O)
5 @$ i9 }4 Q9 E shellopenCommand=notepad.exe
* u- s; ?9 y! W2 ^6 c9 v" ]* v shellopenDefault=17 B/ h. W: O- x) I; b: J
shellexplore=资源管理器(&X)
0 b, F, ]9 p% R" b( I4 M# j shellexploreCommand=notepad.exe
2 B) h: {0 Y: V# D; G+ d# k% i. v icon=rising.ico
# D* D4 T% i1 i0 k i; O; [( a 将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。6 `( O2 @7 o8 E. Y5 h
2 l% {0 P( n7 l- a* B" Q4 X+ i2 O& Q6 H
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录, P7 F% w: i6 V* U0 N4 R
7 j/ P2 F9 l9 h& z" j
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?3 G# V, s, z+ Z& q: l+ e7 O% A
9 @1 y* {* h$ M2 S; X6 J/ t Z2 o
2 p* a* Q+ G9 G/ z3 t( v 图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件
3 m- ]- u1 D% T5 J! B- b% A 远离U盘病毒
8 W. B- D2 u: U( D3 V 预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。1 ]' J" i; q1 R9 Q# @# i
方法一:建立Autorun.inf免疫文件5 N+ R6 i( @7 Y
在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。
! s) ? R: P/ F( l: [. h( I 说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。9 s4 v, }! u( Q6 p) G: ]+ \% U
方法二:禁用组策略中的自动播放; K# T+ I- E* m# E/ K4 z/ q& @ L
以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。. z8 P2 i6 U3 m$ i% b' h
1 s& [) h) \2 w) D8 D4 x- `图4:在"组策略"中禁用所有本地驱动器上的自动播放功能
3 x R, R2 W' u! @/ N2 h
+ r7 [4 M8 {/ ? 注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。+ ~% w- C- i6 _( S
方法三:禁止注册表中MountPoints2的写入# G# D! O1 a* L) r
依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的
4 U$ c- c& E6 G+ f# {% W: c HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
! U' v5 k+ @/ T/ @) E: s 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。9 W1 p. r7 o- b$ U
' W) E3 y, n& B+ \. `& O . t x2 e" n& Q7 [
图5:在注册表中找到"MountPoints2",右键点击选择"权限"
* [! o" B0 V J+ |; M$ b$ f 1 v" L8 [3 G2 }: \. d
6 I6 x% E1 ?8 B! ^$ I4 r9 K图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33
收藏
贊(