Maison >base de données >tutoriel mysql >解析U盘病毒原理 学会U盘病毒防治技巧

解析U盘病毒原理 学会U盘病毒防治技巧

WBOY
WBOYoriginal
2016-06-07 15:23:371765parcourir

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入 U盘病毒是许多人深恶痛绝的东西,一旦中招,麻烦且不说,还可能导致丢失重要文件,下文瑞星专家将详细对其进行解析! U盘病毒原理 U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Wind

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入

    U盘病毒是许多人深恶痛绝的东西,一旦中招,麻烦且不说,还可能导致丢失重要文件,下文瑞星专家将详细对其进行解析!

U盘病毒原理

U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放是Windows给用户提供的一个方便的功能,但被黑客大量利用,增加了病毒传播的可能性。

解析U盘病毒原理 学会U盘病毒防治技巧

图1:U盘插入后,Windows系统会自动询问用户进行何种操作

自动播放这一功能是通过系统隐藏文件Autorun.inf文件来实现的,它存放在驱动器根目录下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,试想如果Autorun.inf文件指向了病毒程序,那么在你双击U盘盘符的时候,Windows就可立即激活指定的病毒。为了更直观地说明Autorun.inf的实现过程,下面为大家做一个简单的演示。

首先编写一个Autorun.inf

<ccid_code>[autorun]
OPEN=notepad.exe
shell\open=打开(&O)
shell\open\Command=notepad.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=notepad.exe
icon=rising.ico</ccid_code>

将Autorun.inf,Windows自带的记事本程序notepad.exe和rising.ico一同拷贝到U盘的根目录下,如下图所示。

解析U盘病毒原理 学会U盘病毒防治技巧

图2:将Autorun.inf、notepad.exe和rising.ico三个文件放入U盘根目录

在这里,加入一个图标是为了检查Autorun.inf是否被读取,这个Autorun.inf会伪造右键菜单里的打开和资源管理器,点击就运行notepad.exe。重新插入U盘后图标变了,无论是双击、右键打开还是右键点击资源管理器,都只弹出记事本,而无法打开U盘。试想,若把notepad.exe换成病毒文件会怎么样?

解析U盘病毒原理 学会U盘病毒防治技巧

图3:此时用户无论使用“打开”还是“资源管理器”命令,都将调用存在U盘根目录下的notepad.exe,而无法正常查看U盘当中的文件

远离U盘病毒

预防U盘病毒比较简单的方法是慎用双击打开U盘,建议采用从右键菜单进入,但现在已经有病毒把右键菜单中的“打开”和“资源管理器”都伪造出来,如前例中的Autorun.inf。那么我们该如何预防U盘病毒呢?下面为大家提供几个简单且行之有效的方法来抵御U盘病毒的侵袭。

方法一:建立Autorun.inf免疫文件

在U盘根目录下新建一个名为Autorun.inf的空文件夹,这样一来,在同一目录下病毒就无法创建Autorun.inf文件来感染U盘了。

说明:若U盘已经感染病毒,那么建立Autorun.inf免疫文件的方法就失效了,因为染毒的U盘已经存在Autorun.inf文件,所以“先下手为强”很重要。

方法二:禁用组策略中的自动播放

以Windows XP为例,其步骤是:点击“开始”→“运行”,输入gpedit.msc后回车,弹出组策略窗口,在其中依次选择“计算机配置”→“管理模板”→“系统”,打开“关闭自动播放”属性,点击已启用,在下拉菜单中选择所有驱动器,单击确定退出。

解析U盘病毒原理 学会U盘病毒防治技巧

图4:在“组策略”中禁用所有本地驱动器上的自动播放功能

[1] [2] 

解析U盘病毒原理 学会U盘病毒防治技巧

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn