U盘病毒原理一
U盘对病毒的传播主要借助的就是autorun.ini文件,主要分为2个阶段。
阶段一:感染病毒
当用户将一块没有任何病毒的U盘插入一台潜伏了病毒的主机上,通过一些常用的操作后,可能就会激发病毒程序。病毒首先会将自身复制到U盘中,同时创建一个名为autorun.ini的文件。此时,病毒顺利在这块U盘上扎根了。
阶段二:传播病毒
当这块U盘插入到一台没有任何病毒的电脑上后,您首先要做的必然是双击U盘。此时,Windows默认会autorun.ini中的设置去运行u盘中的病毒程序,此时病毒就会在windows系统中扎根了。
PS:autorun.ini文件的机理
autorun.ini是设备自动运行的设置文件,比如当您插入某些驱动光盘后,过一会windows就会自动运行驱动安装程序,这就是靠autorun.ini里面设置。其实它的文件格式非常简单
[AutoRun]
open=command.exe
icon=aa.ico
open=command.exe,是指自动运行的程序icon=aa.ico,是指定该盘显示的图标如果你的硬盘根目录中出现autorun.ini文件,当你双击盘符时,就会运行它指定的程序。但是,你点击右键,选择“打开”,就不会运行了。
看到这,恐怕您应该明白了,这个U盘传递病毒主要还是钻了windows自动运行的漏洞。由于一般用户习惯性的双击盘符进入分区的根目录,所以才给了病毒可成之机。对于这个事情我们可以有2种处理方式。
方式一:关闭windows系统的自动播放
方式一的缺点很明显,只能阻止某台机器不会自动运行U盘上病毒,面太窄。如果想要全面的预防,就得用到方式二。
方式二:阻止autorun.ini文件的建立。
我们只要可以阻止autorun.ini文件的创建,那么U盘上就算有病毒只要不运行它,病毒也只能在家zZZ了。可是,即使你给autorun.ini设置为“只读”属性,病毒都有能力更改它。于是,我们想到了这招:
1、进入无病毒的U盘根目录下(可以事先格式化一次),删除autorun.ini文件。
2、在根目录下建立一个文件夹,名字就叫autorun.ini。
由于Windows规定在同一目录中,同名的文件和文件夹不能共存,这样病毒就无法创建autorun.ini文件,即使您双击盘符也不会运行病毒。于是病毒也只能就此偃旗息鼓了……
方式二是不是很简单?大家赶紧让自己的U盘更安全一点吧。
病毒原理:
U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U 盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行。
有些资料认为Autorun.inf是最典型的中层病毒,是一个主病毒的第一级执行文件,本身INF是不会称为病毒而被任何一款杀毒软件查杀的,但单纯的在U盘类盘中是有可能杀掉的!
在Autorun.inf出现的初期,是软硬件生产厂家为了更好的介绍自己的产品或者为了使用户更易使用产品而设置的自引导文件,后来才被病毒制作者利用。现在大部分以只读光盘为载体的软件产品依然使用Autorun.inf,但是由于只读光盘的不可写性,只要第一次刻录没有写入病毒,使用者并不会以它传播病毒。autorun.inf是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。
其文档格式为:
[autorun]
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe)
icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.) u盘病毒就是利用这种方式来在用户不知情的双击盘符打开u盘时是系统中毒的,而病毒主体实际上也是隐藏在u盘中.目前相关的U盘病毒的隐藏方式:
一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:
另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。目前主要流行病毒: 记事本病毒,文件夹病毒, 比肩社区病毒toy.exe
以toy.exe举例 在Autorun.inf的文档格式中为[autorun]open=toy.exe
双击U盘盘符,便激活了toy.exe,从而使电脑中毒,症状是使电脑登陆时使桌面出现蓝色高亮文字诸如"比肩社区使全国……can you fand the program' inner fance"而且如果系统设置了隐藏系统文件,那么将看不到病毒主体文件。
防治:
步骤1:打开记事本编辑如下:
Windows Registry Editor Version 5.00[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]"NoDriveTypeAutoRun"=dword:000000B5
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000B5将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件"
然后双击此文件将其导入注册表
步骤2: 显示所有文件;(如果已经设置过的可以进入下一步)
我的电脑→工具→文件夹选项→查看 分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”
步骤3:删除U盘下的病毒文件autorun.inf、toy.exe注意:打开U盘时不能双击盘符,要点鼠标右键,再选打开。
步骤4:在开始菜单→运行→输入regedit,删除注册表的键值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
打开注册表,在开始菜单→运行→输入regedit,选择查找autorun.inf,找到这一个键值,然后删除其实这些病毒是对盘符进行传染的,属于跟随鼠标类型的病毒,可对C,D,E,F盘传染!如果感染此病毒的u盘在系统上连接,那么用户双击其它盘符仍有可能使相应的盘感染。
常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前,各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使系统感染。
病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 常见U盘病毒: 一.Worm.UsbSpy.a和AdobeR.exe及SXS.EXE、SKS.EXE病毒。
一般的杀毒软件都可以查出并删除 二.最近在网络上流行一个叫“rose.exe”的病毒 最初的表现为在你的电脑里面,右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”或“autorun”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。
通过可移动存储设备传播,一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等病毒危害:
1、在系统中占用大量cpu资源。
2、在每个分区下建立rose.exe 和autorun.inf 2个文件,且它们都隐藏系统保护文件之内,无法搜索到这些文件,但是在双击该盘符时病毒就自动运行了。
3、若你继续无视该病毒,可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统,简单的说就是你电脑突然死机了,然后就再也开不了机。即便在你重新格式化C盘,重新安装系统之后,你只是清除了C盘的该病毒,但是它在其他盘下仍然存在,且会再次发作。
杀毒方式
1、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
2、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“rose.exe”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。
3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除,可将这两个文件的属性由“只读”改为“存档。若还不能删除,则重启电脑,在自检时按F8进入到安全模式下去删除。
预防办法
1、当别人将U盘插入自己的电脑,当出现操作提示框时,不要选择任何操作,关掉。
2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去,否则会立刻激活病毒! 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件,直接删除! 4、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“rose.exe”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。
三.可手工清除的U盘doc.exe病毒感染U盘文件的病毒DOC.exe,它的表现特征:
U盘插入后,即被写入win32.exe、win33.exe以及很多.exe的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为doc.exe的进程。此病毒名为:Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体。
哎呀,环球小编暂时没收集到U盘相关的品牌排行,可以看看右侧信息,有很多与《U盘病毒原理一》相关的资讯