用户名:密 码:验证码 我要投稿 电脑技巧 信息订阅 高级搜索 网站地图 加入收藏
中国网管站 中国网管站发展目标  
我要学→
当前位置:中国网管站首页>网络安全>网络应用安全>文章内容

U盘(auto病毒)类病毒解析

来源: 作者: 发布时间:2007-10-26  (阅读次数:)  查看更多关于: U盘 auto病毒 的文章
出处:数据安全实验室 (DSW Lab Avert 小组)
日期:2007年01月07日 
版权所有,转载请保留版权!


一、U盘病毒简述:

  U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘 的时候,自动执行相关的文件。目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的 U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析:

   所谓的自动运行功能是指Windows系统一种方便特性,使当光盘、U盘插入到机器自动运行,而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。

   常见的Autorun.inf文件格式大致如下:

    [AutoRun]    //表示AutoRun部分开始,必须输入
     icon=C:\C.ico  //指定给C盘一个个性化的盘符图标C.ico
     open=C:\1.exe  //指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行;

   在Windows系统有允许和阻止自动运行的键值的方法:
     在注册表中找到如下键:
     键路径:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
     在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:


设备名称 第几位 值 设备用如下数值表示 设备名称含义 
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备 
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器 
DRIVE_REMOVABLE 2 1 04h 可移动驱动器 
DRIVE_FIXED 3 0 08h 固定的驱动器 
DRIVE_REMOTE 4 1 10h 网络驱动器 
DRIVE_CDROM 5 0 20h 光驱 
DRIVE_RAMDISK 6 0 40h RAM磁盘  

   
 
其中: 保留 7 1 80h  未指定的驱动器类型

以上值"0"表示设备运行,"1"表示设备不运行。
从上面可以看出,对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运 行的。所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED这些键的值设为1,由于DRIVE_FIXED代表固定的驱动 器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的 键值改为:BD,00,00,00即可。

   U盘病毒就是利用这种系统特性,一般在感染后会修改系统的注册表,将显示所有文件的选项设置为禁止。甚至修改磁盘关联,杀毒软件一般会只把病毒文件清除, 但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净,或者清除后双击无法打开磁盘的原因。
三、解决方案:
    1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):
       ①超级巡警对U盘病毒检测进行了特别的处理,可以快速的监测和定位U盘病毒,并清除它们。
       ②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。
       2、手动解决办法:
       ①根据上面的原理,自己修改注册表禁止磁盘的自动运行特性。
       ②把文件夹选项中隐藏受保护的操作系统文件钩掉,选中显示所有文件和文件夹,点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件),删除后,病毒就清除了。
上一篇:静态路由协议配置方法   下一篇:Trojan-Downloader.Win32.Agent.blm病毒分析
[收藏] [推荐] [返回顶部][打印本页] [关闭窗口]  
  相关文章
·“蘑菇”病毒解决方案(图)
·卡巴斯基vs莫名IE窗口弹出解决方
·无忧校园网络解决方案(图)
·海尔官方网站首页被挂马(图)
·小浩蠕虫(xiaohao.exe)分析与解
·经典总结:各个网络端口的入侵方
·局域网盗用IP地址的安全问题解析
·"哈希信息窃取器"暴力破解主机用
·网络的最大威胁 间谍软件成为头
·IDS的缺陷成就了IPS的发展
·经验:避免危害DNS服务器安全部
·从程序的漏洞到服务器的安全渗透
·教你防御网络游戏外挂木马全攻略
·桌面管理能保证企业安全吗?
·解决企业网中存在的通病
·安全技巧:logogo.exe病毒的手动
·高效的NAC方案控制解决方案
·入侵盗QQ号者的网站,取回属于自
·江民升级后重启出现蓝屏的解决办
·DL1.exe U盘病毒的清除教程
  热点文章
·Sniffer Pro监控网络流量(图)
·手工杀毒必备工具!
·企业网络防病毒解决方案
·如何在局域网内防范DDOS攻击
·MSN小尾巴专杀
·Anti ARP Sniffer查找ARP攻击者(
·病毒和木马的隐藏技术解密
·修复任何品牌U盘的工具!Mformat
·如何给微软的软件全面快速地打安
·维护服务器安全的7大技巧
·系统加密
·主流杀毒软件备份全攻略
·拯救被封iPhone功能恢复有限
·怎样保护你的机密文件
·打造一道超级防御的电脑防火墙
·技术分析 TOR实现真正安全传输?(
·经典总结:各个网络端口的入侵方
·防范U盘病毒Autorun.inf的绝招
·合理配置防火墙是保证网络安全的
·教你给病毒加壳技术与脱壳杀毒方
Copyright@2007 中国网管站 All Rights Reserved 陕ICP备07501327号
E-mail:qidian512@163.com 电话:13759975857
编辑负责QQ:347795937 251695990 技术交流群:45212068