隨身碟病毒概念
隨身碟病毒,又稱Autorun病毒,就是通過隨身碟,產生AutoRun.inf進行傳播的病毒,隨著隨身碟、移動硬碟、存儲卡等移動存儲設備的普及,隨身碟病毒已經成為比較流行的計算機病毒之一。
特點
識別隨身碟速度變得極為緩慢,且雙擊隨身碟盤符時無法打開,當然右鍵選單選擇“打開”也不行;雙擊隨身碟盤符時無法打開,但在資源管理器視窗中卻可以打開其盤符,用WinRAR打開隨身碟,發現了u.vbe檔案和類似資源回收筒圖示的檔案;右鍵選單里多了“自動播放”、“Open”、“Browser”等命令項目,隨身碟無法正常拔插;所有EXE程式被關聯,且捷徑圖示全部換成類似.com程式的默認圖示;隨身碟裡面的所有資料夾並成*.exe格式檔案或捷徑檔案,不能正常打開;選擇“開始”選單→“運行”命令,輸入cmd進入命令行模式,輸入C:按回車鍵,進入C糟根目錄後,輸入dir/a查看所有檔案,會出現現Autorun.inf和RavMon.exe這兩個檔案。通過識別這些特徵,有助於我們預防隨身碟病毒。
傳播方式
隨身碟病毒通過隱藏,複製,傳播三個途徑來實現對計算機及其系統和網路的攻擊的。
(1)隱藏。隨身碟病毒的隱藏方式有很多種: ①作為系統檔案隱藏。一般系統檔案是看不見的, 所以這樣就達到了隱藏的效果;②偽裝成其他檔案。由於一般計算機用戶不會顯示檔案的後綴,或者是檔案名稱太長看不到後綴,於是有些病毒程式將自身圖示改為其他檔案的圖示,導致用戶誤打開;③藏於系統資料夾中。這些系統資料夾往往都具有迷惑性;④運用Windows 的漏洞。有些病毒所藏的資料夾的名字為runauto...,這個資料夾打不開,系統提示不存在路徑,其實這個資料夾的真正名字是runauto...\
(2)複製。隨身碟病毒具有輪渡技術,即將系統中的某些指定關鍵字的檔案複製到優盤中,當優盤插入到具有上網條件的計算機中使用時,優盤病毒會將已經複製的檔案傳送到指定的信箱或者木馬病毒控制端。
(3)傳播。當隱藏或中毒隨身碟插入到一台沒有任何病毒的電腦上後,使用者雙擊打開優盤檔案瀏覽時,Windows 默認會以autorun.inf 檔案中的設定去運行優盤中的病毒程式,此時Windows 作業系統就被感染了。
在這三個過程中, 系統設定的autorun.inf檔案運行起著關鍵作用.病毒通過其設定木馬程式。使得其檔案格式變為以下幾種:自動運行的程式Open=filename.exe;修改上下文選單,把默認項改為病毒的啟動項ShellAutocommand=filename.exeShell=Auto;只要調用Shell ExecuteA/W 函式試圖打開優盤根目錄,病毒就會自動運行Shellexecute=filename.exeShellExecute=;偽裝成系統檔案,迷惑性比較大,較為常見的就是偽裝成垃圾資源回收筒。Shellopen=打開(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=資源管理器(&X) \
攻擊原理
隨身碟病毒又稱Autorun病毒,是通過AutoRun.inf檔案使用戶所有的硬碟完全共享或中木馬的病毒;能通過產生AutoRun.inf進行傳播的病毒,都可以稱為隨身碟病毒。隨著隨身碟、移動硬碟、存儲卡等移動存儲設備的普及,隨身碟病毒也開始泛濫。病毒首先向隨身碟寫入病毒程式,然後更改autorun.inf檔案。autorun.inf檔案記錄用戶選擇何種程式來打開隨身碟。如果autorun.inf檔案指向了病毒程式,那么Window就會運行這個程式,引發病毒。一般病毒還會檢測插入的隨身碟,並對其實行上述操作,導致一個新的病毒隨身碟的誕生。
背景
隨著U 盤,移動硬碟,存儲卡等移動存儲設備的普及,U 盤病毒也隨之泛濫起來。國家計算機病毒處理中心發布公告稱 U 盤已成為病毒和惡意木馬程式傳播的主要途徑。
特性
隨身碟病毒會在系統中每個磁碟目錄下創建Autorun.inf病毒檔案(不是所有的Autorun.inf都是病毒檔案);藉助“Windows自動播放”的特性,使用戶雙擊盤符時就可立即激活指定的病毒。
病毒程式
自然,病毒程式不可能明目張胆的出現,一般都是巧妙存在在隨身碟中。下面總結了一些方式,僅供參考:
1) 作為系統檔案隱藏。一般系統檔案是看不見的,所以這樣就達到了隱藏的效果。但這也是比較初級的。病毒一般不會採用這種方式。
2)偽裝成其他檔案。由於一般人們不會顯示檔案的後綴。
3) 藏於系統資料夾中。雖然感覺與第一種方式相同,但是不然。這裡的系統資料夾往往都具有迷惑性,如資料夾名是資源回收筒的名字。
4)運用Window的漏洞。有些病毒所藏的資料夾的名字為 runauto...,這個資料夾打不開,系統提示不存在路徑。其實這個資料夾的真正名字是 runauto...\。
5)隱藏資料夾,生成對應的資料夾圖示的病毒檔案(資料夾模仿者)或者捷徑(暴風一號)
6)其他新型u盤病毒:比如2010年由金山毒霸率先發現的假面exe新u盤病毒
<以auto為例rose和host一樣處理。>
<切記 這個方法只適合你發現病毒早 中的不深。>
手工清理
1、進安全模式。<開機啟動進畫面時按下F8 可以選擇進入>.
2 、運行下輸入``regedit`` 進註冊表後/ 在ROOT根目錄下
進DRIVE /把SHELL下所有鍵值刪除。<技巧:搜尋 SHELL 看到Autorun全刪除。>
3、 然後就是清理工作。在盤的資料夾設定選項下 打開隱藏。再刪除Autorun產生的隱藏檔案。
如果中毒比較嚴重了。又懶得使用軟體那使用下面方法
新建一個文本文檔,並將下面的代碼複製其中。複製完畢後點擊左上角的“檔案-另外儲存為”在下面的檔案名稱那裡將該文檔的名稱“新建文本文檔.txt”改為“killer.bat”,保存完畢後雙擊運行即可。
@echo on
taskkill /imexplorer.exe/f
taskkill /imwscript.exe
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
startexplorer.exe
預防方法
隨身碟病毒都是通過Autorun.inf來進入的;Autorun.inf本身是正常的檔案,但可被利用作其他惡意的操作;不同的人可通過Autorun.inf放置不同的病毒,因此無法簡單說是什麼病毒,可以是一切病毒、木馬、黑客程式等;一般情況下,隨身碟不應該有Autorun.inf檔案;如果發現隨身碟有Autorun.inf,且不是你自己創建生成的,請刪除它,並且儘快查毒;如果有貌似資源回收筒、防毒檔案等檔案,而你又能通過對比硬碟上的資源回收筒名稱、正版的防毒軟體名稱,同時確認該內容不是你創建生成的,請刪除它。
同時,一般建議插入隨身碟時,不要雙擊隨身碟,另外有一個更好的技巧:插入隨身碟前,按住Shift鍵,然後插入隨身碟,建議按鍵的時間長一點。插入後,用右鍵點擊隨身碟,選擇“資源管理器”來打開隨身碟。
註:部分隨身碟製造商可能也會利用Autorun.inf進行自己的特色設計,目的是為了讓用戶執行廠商的特色程式。已確認部分廠商確實使用了這種方式,因此建議購買隨身碟是先做識別,或諮詢銷售人員。
查殺病毒
可下載金山u盤專殺到D糟根目錄(av終結者2010會刪除桌面的專殺,所以建議下載到硬碟的任一分區下。),然後打開,點擊快速掃描 即可清除。金山u盤專殺是查殺效果最好,更新最快的u盤病毒專殺。
自動播放
上述的病毒都會運用到系統的自動播放功能,當雙擊打開磁碟時,就會激活並運行病毒。而且上述的Copy病毒主要是利用隨身碟傳播,而人們普遍都喜歡開著系統的自動播放功能,這樣,在隨身碟一插入電腦時就會自動打開隨身碟內的內容,這雖然方便了操作,但卻成了病毒傳播的重要手段!!
下面就來關掉系統的自動播放功能
1 、開始->運行,輸入下面的命令gpedit.msc
2、用戶配置->管理模板->系統->關閉自動播放->啟用。
專殺軟體
USBCleaner6.0
隨身碟病毒又稱Autorun病毒,是通過AutoRun.inf檔案使對方所有的硬碟完全共享或中木馬的病毒,隨著隨身碟,移動硬碟,存儲卡等移動存儲設備 的普及,隨身碟病毒也隨之泛濫起來。國家計算機病毒處理中心 發布公告稱隨身碟已成為病毒和惡意木馬程式傳播的主要途徑。面對這一需要,隨身碟病毒專殺工具USBCleaner應運而生了.USBCleaner是一種純 綠色的輔助防毒工具,具有檢測查殺70餘種隨身碟病毒,隨身碟病毒廣譜掃描,隨身碟病毒免疫,修復顯示隱藏檔案及系統檔案,安全卸載移動盤盤符等功能,全方位一 體化修復殺除隨身碟病毒.同時USBCleaner能迅速對新出現的隨身碟病毒進行處理。
USBKiller
【軟體功能】
除了可以30秒閃電查殺RavMone、 Rose、rising、Fun.xls等幾十種通過隨身碟傳播的病毒,還可以對系統實行主動防禦,自動檢測清除插入隨身碟內的病毒,從根本上杜絕病毒通過隨身碟感染電腦,解決你的後顧之憂。免疫功能讓病毒永遠也無法進入你的隨身碟;解鎖功能解除隨身碟鎖定狀態,解決無法安全刪除設備問題;修復功能修復無法顯示隱藏檔案、雙擊無法打開硬碟、清除右鍵Auto字樣、修復無法打開防毒軟體。
【軟體特點】
1.獨創SuperClean高效強力防毒引擎,查殺auto.exe、AV終結者、rising等上百種頑固隨身碟病毒,保證95%以上查殺率
2.國內首創對電腦實行主動防禦,自動檢測清除插入隨身碟內的病毒,杜絕病毒通過隨身碟感染電腦
3.免疫功能可以讓你製作自己的防毒隨身碟
4.防止他人使用隨身碟、移動硬碟盜取電腦重要資料
5.解除隨身碟鎖定狀態,解決拔出時無法停止設備的問題
6.進程管理讓你迅速辨別並終止系統中的可疑程式
7.完美解決雙擊無法打開磁碟的問題
8.兼容其它防毒軟體,可配合使用
超級巡警之隨身碟病毒免疫器
本工具可對選定磁碟進行特別的免疫處理,使得它的自動運行特性完失效,從而避免帶毒的移動磁碟插入本機後病毒立即自動執行。本工具還具備修復系統磁碟關聯和取消系統自動運行特性,徹底解決某些防毒軟體在殺除病毒後無法打開磁碟的症狀。
註:如果不選擇任何磁碟,將執行附加功能,即修復磁碟關聯和取消系統自動運行特性。
使用說明:
1.首先選擇免疫的目標,可以選擇所有本地驅動器,也可以選擇指定的盤,比如隨身碟。
2.然後執行免疫即可。這將在磁碟上建立免疫的目錄,此後這個隨身碟拿到別的機子,即使把自動運行的病毒拷入,也無法激活運行。如果想刪除免疫的目錄,該目錄無法簡單刪除,請在工具中選擇取消免疫!
3.修復磁碟打開關聯是指,在感染了某些AUTORUN.INF病毒,用戶自行手動刪除後使得雙擊該磁碟無法打開,選中該項目將進行修復。
4.禁止自動運行功能,將禁止系統的自動運行功能。
金山隨身碟專殺
簡要介紹:金山系統急救箱團隊開發的一款隨身碟專殺工具,採用兩套特徵庫匹配,兩種隨身碟病毒高啟發算法。可以清除已知樣本1000多個,並可以啟發清除未知隨身碟病毒。
隨身碟病毒專殺工具2010年01月17日更新處理Conficker變種。
可以解決以下情況:
1.隨身碟原來存在的資料夾全部被隱藏
2.插入隨身碟後每個有檔案的資料夾裡面都會出現一個和該資料夾同名的,資料夾圖示的EXE檔案
3.隨身碟出現里的資料夾後綴名為exe,scr的檔案
4.所有隨身碟原資料夾別隱藏,出現1.2MB同名exe 或者1.4M
5.隨身碟中毒後資料夾看不見了,如果恢復呢?