可怕：U盘病毒传播机制和杀伤技术简介

计算机和网络技术信息磁盘病毒传播机制和杀伤技术简介杨云霞1、2、1、3（1.同济大学软件学院2.兰州铁路局兰州通信科3.68006部队）随着USB设备的普及，U盘病毒的威胁将不可避免地长期存在。本文重点介绍磁盘病毒的传播机制和感染迹象，并介绍一些预防和清除磁盘病毒的技术。 [关键字] U盘病毒机制磁盘病毒通常是指通过USB接口传播的病毒。与其他病毒一样，U病毒可以自我复制并不断产生新的变体，这使得防病毒软件的更新速度无法跟上病毒变体的速度。激活后，病毒体会破坏数据或影响系统的正常运行。它的特征在于磁盘病毒会通过用户的USB接口直接入侵计算机，从而很容易突破防火墙和其他网络设备。由于USB接口已逐渐成为计算机设备的垄断标准，因此USB设备易于携带，连接方便，具有广泛的推广应用前景。 U盘病毒的威胁必将存在很长时间。有鉴于此，本文重点介绍磁盘病毒的传播机制，并从不同层面介绍一些对策，以帮助读者。磁盘病毒的结构类似于一般的计算机病毒，但是它可以使用文件autorun.inf的自动运行功能来让Windows操作系统自动搜索并运行auto-run.inf指向的病毒程序，并且病毒主体被激活。

因此，只要用户的计算机没有关闭自动操作功能，在插入USB设备后，即使用户没有单击运行包含病毒的程序文件，也会导致病毒引起通过系统自动操作感染功能。需要说明的是，U盘病毒不仅会感染磁盘，移动硬盘等USB设备，还会感染计算机硬盘，也可能藏在网络硬盘空间中。一旦计算机终端连接到受感染的网络硬盘，它可能会传播病毒。因此，局域网的网络硬盘经常成为病毒的本垒。实际上，U盘病毒通常最初是通过Internet，恶意网站，电子邮件和即时消息软件（例如QQ，MSN）URL链接或通过浏览器漏洞传播的，最终是通过计算机，以及“ C：\ win-dows \ system32”文件夹可创建可执行文件，伪装成自动启动的驻留程序。通常，计算机感染服务会自动复制到硬盘的每个分区，并在每个分区上创建一个隐藏的autorun.inf文件。同时，将创建一个隐藏的系统文件夹来存储正在运行病毒的程序，该文件夹也将被命名为操作系统的回收回收文件夹和其他原始文件夹，以避免被某些防病毒软件检测到。如果用户重新安装系统而不是格式化硬盘，则这些文件将被保留。被感染的计算机将进一步感染以后插入的USB设备。病毒可以从自动通知事件记录器中学习新连接的USB设备，并将病毒体写入USB设备。

将受感染的磁盘插入另一台计算机，它将通过自动操作功能再次传播病毒。这种工作模式类似于蠕虫病毒，因此该病毒也称为USB蠕虫。磁盘病毒感染的症状磁盘病毒感染后，计算机系统将具有更多的文件或文件夹，或者会出现一些异常现象。 （一）其他文件和文件夹会出现在存储设备上。计算机系统感染了磁盘病毒后，autorun.inf文件或文件夹（例如RECYCLER.exe和Recycle.exe）将被添加到U盘中，移动硬盘或硬盘根目录。这些文件和文件夹被设置为隐藏的系统文件，普通用户无法看到。有必要在Windows操作系统中显示所有隐藏的文件和隐藏的文件夹，并显示完整的文件后缀为方法如下：在“资源管理器”窗口中，或在“我的电脑”窗口中单击“工具”，“文件夹选项”和“查看”，然后选择“显示系统文件夹的内容”和“ “显示所有文件和文件夹”，然后选择“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”，使所​​有隐藏的文件和文件夹均不可见。一个autorun.inf文件，可能隐藏了磁盘病毒。 autorun.inf的隐藏功能太明显了，许多磁盘病毒使用伪装来诱使操作员单击文件夹来运行病毒。

这种类型的磁盘上的文件夹“隐藏”了原来的普通文件夹并变得不可见，并且将病毒文件命名为现有文件夹的名称（加上隐藏的扩展名），并使用相同的图标。由于Windows操作系统的出厂默认设置不会显示已知类型的隐藏文件和文件夹以及文件扩展名，因此操作员通常不容易注意到。当操作员单击伪装的病毒文件夹时，它将激活病毒主体并使病毒程序运行。同时，它将打开原始文件夹，好像什么也没发生。但是，计算机已中毒。实际上，通过显示系统文件夹和隐藏文件夹的方法，您会发现病毒文件夹具有exe扩展名，通常不会删除。此外，有些磁盘病毒会删除用户自己的可执行文件，并用冒名顶替的病毒程序替换它们，这更加有害。 （二）病毒导致异常操作现象计算机感染磁盘病毒后，系统将出现一些异常现象，例如无法打开任务管理器，无法修改文件夹选项“显示所有文件和文件夹”和同时，右键单击“磁盘”，移动硬盘或硬盘根目录，右键单击弹出菜单将显示“自动运行”，这表示驱动器下有一个autorun.inf文件。此外，用鼠标左键双击磁盘进行分区时，会出现错误消息，例如“找不到程序”，“无法打开分区”，表明该病毒可能已由防病毒软件清除，但autorun.inf文件尚未清除，并保留在磁盘分区的根目录中。

当用户双击磁盘分区时，将启动autorun.inf文件，但是它指向的病毒程序不再运行，因此将弹出提示消息窗口。磁盘病毒的反杀技能正在Internet上流传。有许多预防措施和消除措施（一）关闭系统自动播放功能。Windows操作系统提供自动播放（自动播放）功能，通常会弹出一个操作菜单，供用户选择要读取磁盘数据的程序； U盘病毒使用自动运行，跳过用户选择步骤，然后直接打开目标程序（病毒体）。通常，取消Windows操作系统的自动播放功能可以防止病毒自动运行，减少触发磁盘病毒的初始步骤。第一种方法是按住键盘的Shift键，然后插入磁盘和磁盘分区属性菜单以关闭自动播放功能；第三种方法是取消系统组策略设置中的USB和其他功能。设备的自动播放功能，修改系统组策略可以一次完全禁用所有驱动器的自动播放功能，具体步骤如下ws：1.要安装系统补丁程序以修改“自动操作”功能的设置参数，需要首先安装系统补丁程序KB967715。无论是否已安装补丁，都可以在系统磁盘中搜索KB967715.cat，也可以在360 Guardian的“固定漏洞”和“已安装”列表中搜索KB967715。如果未安装，则可以转到Microsoft的官方网站或通过360安全卫士下载并安装升级补丁。

2.启动组策略编辑器不同版本的Windows启动组策略编辑器的方法略有不同。在Win-dows XP中，单击“开始”和“运行”，然后在“打开”列中输入“ gpedit.msc”以启动组策略编辑器程序。要在Windows中启动程序，您需要从“开始”“搜索程序和文件”列中输入“ gpedit.msc”。如果使用Windows键方法，则所有操作系统都相同。3.在WindowsXP的组策略编辑器中关闭自动播放，依次单击“计算机配置”，“管理模板”和“系统”，然后在右侧的“关闭自动播放”项上双击鼠标左键在界面的一侧，或单击鼠标右键，选择“属性”，在弹出的“属性”页面的“设置”标签上单击“启用”项目，然后在下拉菜单中选择“所有驱动器”单击“关闭自动播放”右侧的下拉菜单，最后单击“确定”，然后重新启动以禁用所有磁盘的自动播放。在Windows组策略编辑器中，单击“计算机配置”，“管理模板”，“ Windows组件”，“自动播放策略”，然后双击右侧“详细策略”窗格中的“关闭自动播放”项。 ，其余部分设置步骤与上述相同。取消自动播放功能可以减少磁盘上病毒的机会。但是，对于那些不知道病毒和普通文件之间的区别的初级用户，它不能降低用户单击运行病毒程序的风险。这种方法效果有限。

（二）手动创建autorun.inf文件由于磁盘病毒将创建autorun.inf文件，因此计算机用户可以抢先在USB设备和其他磁盘的根目录上创建“只读” autorun属性。 inf文件和文件夹使该病毒无法在目标设备上创建文件并在一定程度上阻止其传播，某些防病毒软件仍然使用此方法，在大多数情况下是可行的，但不能完全免疫。如果可以删除病毒如果文件是只读文件并且可以删除文件或文件夹，则此方法无效，同时，某些防病毒软件会判断USB设备上的所有au-torun.inf文件作为病毒，导致普通文件或文件夹无法打开，情况将变得更加复杂手动创建autorun.inf文件可以使未感染的USB设备保持“干净”，但无法防止被感染的病毒或在USB上写入数据设备，但无法写入自动运行。科技信息计算机和网络可以在一定程度上阻止病毒的自我复制，因为磁盘被设置为不可写的只读状态。它是专门为防止磁盘的内置控制芯片而设计的，该磁盘在插入计算机后可以自动转换为只读状态。如有必要，可以通过内置的防病毒软件的指令来打开写入功能，这是目前更为有效的主动预防措施。通常，USB设备没有写保护开关。您可以将Windows磁盘手动修改为只读状态，或使用第三方软件来实现USB设备的写保护功能。

方法1.修改注册表以启用只读功能。单击“开始”和“运行”，输入“ regedit”以启动注册表编辑器。找到“ HKEY_LOCAL_MACHINE”，“ SYSTEM”，“ CurrentCon-trolSet”和“ Control”，创建一个新项目“ StorageDevicePolicies”，并在该项目中创建一个新的“ DWORD值”，并将其命名为“ WriteProtect”。双击“ WriteProtect”，然后在弹出窗口中将值数据设置为十六进制“ 1”。可以通过双击导入注册表文件来实现此方法。注册表文件的内容如下：Windows注册表编辑器版本5.00 [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ StorageDevicePolicies]“ WriteProtect” = dword：0000000如果要取消USB设备的只读功能，只需更改“ WriteProtect”，将值数据修改为“ 0”即可恢复磁盘的正常读写状态。方法2.使用USB WriteProtector软件启动只读功能。 USB WriteProtector是绿色软件，无需安装即可使用。运行该程序后，其界面只有两个选项：打开或关闭USB写入功能。

运行程序，单击“打开USB写保护”“关闭”，然后插入磁盘。此时，计算机无法将文件写入磁盘，并且无法删除U盘中的文件。如果要取消写保护功能，必须首先卸载磁盘，然后运行USB WriteProtector软件，然后选择“ USB写保护关闭”。无论您是修改注册表还是使用软件将USB设备设置为不可写状态，它都仅在当前计算机上有效。当USB设备插入另一台计算机时，它仍处于可写状态。同时，USB设备写保护只能防止病毒从计算机感染USB设备，但这并不是计算机中已经存在的磁盘写保护的长期解决方案。因此，这些方法不能完全解决问题并且具有明显的局限性。 （[K14]磁盘病毒专用反病毒软件简介为了有效地预防和删除磁盘病毒，用户应具有正确的预防概念，坚持认为预防比杀死，追赶和拦截甚至阻止和阻止更为重要。尽管上述简单的预防方法有所不同，但存在缺陷，但用户不应忽略它们，它们通常会观察文件和文件夹的异常性能，并且经常使用特殊的磁盘防病毒软件来检测和删除病毒，这是很容易的。最好将通用的防病毒软件与特殊的防病毒软件结合使用。每个人都熟悉通用的防病毒软件。本文重点介绍几种针对磁盘病毒的特殊的防病毒软件。

1. USB病毒扫描英语界面，提供禁用移动设备和启用只读状态等功能。插入新的USB设备后，用户可以使用右键菜单“安全打开驱动器”来避免中毒。该软件将扫描根目录中的可执行文件，并且与病毒签名不匹配，因此无需更新病毒代码。在程序主界面上单击“开始”以扫描计算机内存，本地硬盘和USB设备。它还可以显示正在运行的程序的名称，状态和文件路径，并被评估为“受信任”，“系统”，“未知”（“未知”）三种类型，遇到异常时可以直接关闭程序。如果计算机或USB设备包含怀疑是磁盘病毒的文件，则系统会提示用户单击“应用”按钮以修复并清除病毒。 2.欧洲熊猫公司推出的熊猫USB疫苗。英文操作界面分为两部分：“疫苗接种计算机”和“疫苗接种USB”，分别保护计算机和USB设备。该软件可以禁用操作系统的自动操作功能，并在USB设备上生成只读的autorun.inf文件。它还可以监视USB设备的自动操作状态。受保护的计算机和USB设备被标记为“已接种”，表示它已受到保护并具有免疫力。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/sanxing/article-336215-1.html