U盤(auto病毒)類病毒分析與解決方案

發(fā)布：cyqdesign 2007-01-12 12:41 閱讀：2479

轉(zhuǎn)載于數(shù)據(jù)安全實(shí)驗(yàn)室 (DSW Lab Avert 小組)

U盤病毒簡述:
　　U盤(自動運(yùn)行)類病毒(auto病毒)近來非常常見,并且具有一定程度危害,它的機(jī)理是依賴Windows的自動運(yùn)行功能,使得我們在點(diǎn)擊打開磁盤的時候,自動執(zhí)行相關(guān)的文件.目前我們使用U盤都十分頻繁,當(dāng)我們享受U盤所帶來的方便時,U盤病毒也在悄悄利用系統(tǒng)的自動運(yùn)行功能肆意傳播,目前流行的 U盤病毒文件大家甚至耳熟能詳了,比如經(jīng)常有網(wǎng)友問的SSS.EXE SXS.EXE如何查殺這類的,下面我們將對U盤病毒極其特性和防范辦法進(jìn)行分析總結(jié).

二、特性分析:
　　所謂的自動運(yùn)行功能是指Windows系統(tǒng)一種方便特性，使當(dāng)光盤、U盤插入到機(jī)器自動運(yùn)行，而這種特性的實(shí)現(xiàn)就是通過磁盤跟目錄下的 autorun.inf文件進(jìn)行。這個文件保存在驅(qū)動器的根目錄下(一般會是一個隱藏屬性的系統(tǒng)文件)，它保存著一些簡單的命令，告知系統(tǒng)新插入的光盤或 U盤應(yīng)該自動啟動什么程序等。

　　　　常見的Autorun.inf文件格式大致如下：

　　　　[AutoRun]　　　　//表示AutoRun部分開始，必須輸入
　　　　 icon=C:C.ico　　//指定給C盤一個個性化的盤符圖標(biāo)C.ico
　　　　 open=C:1.exe　　//指定要運(yùn)行程序的路徑和名稱，只要在此放入病毒程序就可自動運(yùn)行；

　　在Windows系統(tǒng)有允許和阻止自動運(yùn)行的鍵值的方法：

　　在注冊表中找到如下鍵：

鍵路徑：[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]

在右側(cè)窗格中有 "NoDriveTypeAutoRun"這個鍵決定了是否執(zhí)行Autorun功能.其中每一位代表一個設(shè)備,不同設(shè)備用以下數(shù)值表示:

設(shè)備名稱第幾位值設(shè)備用如下數(shù)值表示設(shè)備名稱含義
DRIVE_UNKNOWN 0 1 01h 不能識別的類型設(shè)備
DRIVE_NO_ROOT_DIR 1 0 02h 沒有根目錄的驅(qū)動器
DRIVE_REMOVABLE 2 1 04h 可移動驅(qū)動器
DRIVE_FIXED 3 0 08h 固定的驅(qū)動器
DRIVE_REMOTE 4 1 10h 網(wǎng)絡(luò)驅(qū)動器
DRIVE_CDROM 5 0 20h 光驅(qū)
DRIVE_RAMDISK 6 0 40h RAM磁盤

其中：保留 7 1 80h 　未指定的驅(qū)動器類型

以上值"0"表示設(shè)備運(yùn)行，"1"表示設(shè)備不運(yùn)行。
從上面可以看出，對應(yīng)的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自動運(yùn)行的。所以要禁止硬盤自動運(yùn)行AutoRun.inf文件，就必須將DRIVE_FIXED這些鍵的值設(shè)為1，由于DRIVE_FIXED代表固定的驅(qū)動器(即硬盤)。如果僅想禁止軟件光盤的AutoRun功能，但又保留對CD音頻碟的自動播放能力，這時只需將“NoDriveTypeAutoRun”的鍵值改為：BD,00,00,00即可。

　　 U盤病毒就是利用這種系統(tǒng)特性，一般在感染后會修改系統(tǒng)的注冊表，將顯示所有文件的選項(xiàng)設(shè)置為禁止。甚至修改磁盤關(guān)聯(lián)，殺毒軟件一般會只把病毒文件清除，但對殘余的文件不會處理。這也是常見的殺毒軟件為什么常常無法清除干凈，或者清除后雙擊無法打開磁盤的原因。

三、解決方案：

亚洲AV日韩AV无码污污网站_亚洲欧美国产精品久久久久久久_欧美日韩一区二区视频不卡_丰满无码人妻束缚无码区_久爱WWW成人网免费视频

帖子

U盤(auto病毒)類病毒分析與解決方案