Heim  >  Artikel  >  Datenbank  >  解析U盘病毒原理 学会U盘病毒防治技巧

解析U盘病毒原理 学会U盘病毒防治技巧

WBOY
WBOYOriginal
2016-06-07 15:23:371705Durchsuche

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入 U盘病毒是许多人深恶痛绝的东西,一旦中招,麻烦且不说,还可能导致丢失重要文件,下文瑞星专家将详细对其进行解析! U盘病毒原理 U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Wind

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入

    U盘病毒是许多人深恶痛绝的东西,一旦中招,麻烦且不说,还可能导致丢失重要文件,下文瑞星专家将详细对其进行解析!

U盘病毒原理

U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。

解析U盘病毒原理 学会U盘病毒防治技巧

图1:U盘插入后,Windows系统会自动询问用户进行何种操作

自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。

首先编写一个Autorun.inf

<ccid_code>[autorun]
OPEN=notepad.exe
shell\open=打开(&O)
shell\open\Command=notepad.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=notepad.exe
icon=rising.ico</ccid_code>

将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。

解析U盘病毒原理 学会U盘病毒防治技巧

图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录

在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?

解析U盘病毒原理 学会U盘病毒防治技巧

图3:此时用户无论使用“打开”还是“资源管理器”命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件

远离U盘病毒

预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的“打开”和“资源管理器”都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。

方法一:建立Autorun.inf免疫文件

在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。

说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以“先下手为强”很重要。

方法二:禁用组策略中的自动播放

以Windows XP为例,其步骤是:点击“开始”→“运行”,输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择“计算机配置”→“管理模板”→“系统”,打开“关闭自动播放”属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。

解析U盘病毒原理 学会U盘病毒防治技巧

图4:在“组策略”中禁用所有本地驱动器上的自动播放功能

[1] [2] 

解析U盘病毒原理 学会U盘病毒防治技巧

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn