- 註冊時間
- 2012-10-14
- 精華
- 在線時間
- 小時
- 米币
-
- 最後登錄
- 1970-1-1
尚未簽到
|
U盘病毒原理' A# B, O9 ]0 A( x6 F9 M$ v! R! d
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。
/ G, c/ I2 C; f
: v z1 X. |4 W0 X+ l图1:U盘插入后,Windows系统会自动询问用户进行何种操作
{+ `2 h+ f* T" a* `) D1 V. z' @( H+ }* }4 t* d: N& l/ ?3 `
自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。( f9 y$ {8 s0 E
首先编写一个Autorun.inf7 E; Q/ T1 O8 D/ \7 u
[autorun]
) o' b( n- g' Y- n: _, R7 D OPEN=notepad.exe8 k' P G+ f+ q W
shellopen=打开(&O)
% u0 K' _1 F; ]5 O* j' O8 | shellopenCommand=notepad.exe! y1 H( R: q% [# a4 R a( K& u
shellopenDefault=1
. ^# y' A; F: B9 Q+ B shellexplore=资源管理器(&X)
' V. u6 K) W. j9 n5 v* R3 v% P4 s/ \: i shellexploreCommand=notepad.exe( J: y; w' @+ A# {6 u! |
icon=rising.ico
1 ^/ r* J1 x8 }# u7 p 将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。8 w; b0 c% m' b& A0 b) M P
' O/ ^& s; d! s% r( }
" ~: N. }2 p% `; p- A+ H9 g& O
图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录
4 l4 Y4 l" u1 K% T/ N' h9 _4 g' z" n/ ~1 z- d+ D$ o! t7 ^, s! E
在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?
* v$ @0 M) P/ B6 r# y : `) \ ~9 k& [4 L# _' ~+ H
s) y" `7 r) C1 J) [ 图3:此时用户无论使用"打开"还是"资源管理器"命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件' q, ]( Z+ m7 ]: q1 ?' v: h) \
远离U盘病毒' Y& [( m: W6 X/ g) A
预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的"打开"和"资源管理器"都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。: L1 \, d* U8 D: S/ G) o# A
方法一:建立Autorun.inf免疫文件! S; }' p' c4 D3 q# f/ B
在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。; a8 Z3 I& a) V" W$ o: G
说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以"先下手为强"很重要。5 r6 K) S. S- ^! y" M
方法二:禁用组策略中的自动播放
/ [( ~) v( U( ~1 _# b0 ^! k2 R) { 以WindowsXP为例,其步骤是:点击"开始"→"运行",输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择"计算机配置"→"管理模板"→"系统",打开"关闭自动播放"属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。
8 ~# c! x$ i+ L 1 ]+ k/ |( }4 k
图4:在"组策略"中禁用所有本地驱动器上的自动播放功能7 R: h2 t6 l2 p; \0 l* O" t# `7 V
5 W: f& X s" l% X% f7 W
注:Windows7下关闭自动播放的操作方法与WindowsXP类似,但有个小区别在于如何找到"关闭自动播放",Windows7下的操作是:打开组策略窗口后,依次选择"计算机配置"→"管理模板"→"Windows组件"→"自动播放策略",便可找到并对"关闭自动播放"进行策略设置的编辑。
/ G" S C3 r- _; h5 \ 方法三:禁止注册表中MountPoints2的写入
6 g) c/ Z: H, k$ f$ o7 m' X3 x 依次点击"开始"→"运行",输入regedit后回车,打开注册表项中的% Y3 z/ _ K* Z: `
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2,右键点击MountPoints2键,选择权限,将Administrators组和SYSTEM组的完全控制项都设为拒绝。
; R9 G' W1 ^: X& P 说明:禁止MountPoints2的写入是为了阻止Windows读取Autorun.inf后添加新的右键菜单项,从而阻止病毒菜单项的出现,使之无法激活病毒。
e! x# e1 n. T( S8 t, {2 \3 w & E9 U& z/ l$ ^/ |
# r! x- U: ^# {9 S/ f1 T$ h1 ^
图5:在注册表中找到"MountPoints2",右键点击选择"权限") h3 P+ H7 o# t9 w+ G# i i
3 B3 f1 d' C1 K
! R3 u4 t ~; `# w, ^) E$ E# l图6:在权限窗口中将"Administrators"和"System"用户的"完全控制"项都设为拒绝 |
|
發表於 2012-12-7 20:38:33
收藏
贊(