U盘病毒的传播分析及防范
2011-08-15陈金莲
陈金莲
(黄冈职业技术学院电子信息学院,湖北黄冈438002)
U盘病毒的传播分析及防范
陈金莲
(黄冈职业技术学院电子信息学院,湖北黄冈438002)
计算机病毒对当今人们的工作生活造成了相当大的困扰,以至于有些用户到了谈毒色变的地步。这些病毒中,U盘病毒也占有一席之地。其实,计算机病毒并没有人们想象的那么可怕,只要我们清楚其传染原理,避免感染还是很简单的。本文就为用户介绍U盘病毒的传播及防范方法。
病毒;自动播放;autorun.inf;病毒传播;激活
1.U盘病毒的传播分析
U盘病毒是一种通过U盘或移动硬盘来传播的病毒,虽然其传播速度不及网络病毒迅猛,但因其传播代码的简单易写而被大量病毒使用。那么,U盘病毒是怎样通过U盘来实现传播的呢?
其实,所有U盘病毒的传播都离不开一个文件—autorun.inf,该文件置于U盘或移动硬盘的根目录之下,其本意是为了方便用,当用户插入U盘或移动硬盘时自动运行某个安装程序的软件或自动播放一段视频,但autorun.inf在方便用户的同时也方便了病毒的传播。要了解U盘病毒是如何通过autorun.inf文件来传播,就需要对该文件的结构及相关命令有一个认识。
autorun.inf文件由三个部分构成,分别是[AutoRun]、[AutoRun.Alpha]、[DeviceInstall],其中[AutoRun]是必需的也是最常用的一部分。下面就[AutoRun]部分的关键命令来做一个阐述。
Open和shellexecute命令用于指定当设备启动时所运行的程序或命令,即U盘或移动硬盘自动播放所运行的程序或命令,两者的区别在于open命令只能运行.exe、.com或 .bat三种可执行程序,而shellexecute运行任何类型的文件。
另一个重要命令就是shell,用于定义U盘或移动硬盘的右键菜单。Shell至少包含以下两个子命令,命令“Shell/关键字=文本”定义右键的菜单文本,关键字指菜单标记,无实际意义,文本指出现在鼠标右键上的菜单名。命令“Shell/关键字/command=命令行”定义当单击菜单文本时所执行的命令,命令行的命令必须是.exe、.com 或.bat,如果是其它类型的文件,需用start.exe命令调用。这两个子命令结合起来就可以控制鼠标右键菜单的动作[1]。
以下是一个典型的U盘病毒的autorun.inf文件
[AutoRun]
Shellexecute=WScript.exe 731232676.vbs“AutoRun”
shellopen=打开(&O)
shellopen command = WScript.exe 731232676.vbs“AutoRun”
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexplorecommand = WScript.exe 731232676.vbs“AutoRun”
其中,“731232676.vbs”为病毒文件名,这段代码的功能就是去激活这个脚本病毒程序。从以上代码可以看出,文档完全控制着设备的自动播放、双击、右键的“打开”、右键的“资源管理器”等各种形式,即无论是设备自动播放,还是用户双击设备、右键点击“打开”菜单、右键点击“资源管理器”菜单,将都执行文件名为731232676.vbs的脚本病毒文件。如此,对于普通用户而言,只要U盘中毒了,就很容易将病毒传给计算机的硬盘,从而传给任何接入该计算机的其它的移动存储设备[2]。
2.U盘病毒的防范方法
既然U盘病毒的传播是靠 autorun.inf来实现,那防范病毒的传播也该从这个文件着手。实际上,现在有一部分的杀毒软件已经把这个文件看作是病毒,从而阻止其运行了。但我们不能完全依赖这些杀毒软件,而且有些杀毒软件并没有对这个文件进行限制,那我们该如何防范带毒的U盘将病毒传播到自己的机器上呢?
从autorun.inf文件的代码来看,其本质就是当用户用各种方式打U盘时激活病毒文件,从而导致病毒传播。从另一个方面来说,即使U盘带有病毒,但没有激活病毒,病毒也不起任何破坏作用,更不会传播到硬盘中去。那么,如何架空autorun.inf文件,让其对病毒的激活消失于无形之中呢?
首先,要关闭系统的自动播放功能。自动播放是微软系统给用户提供的一个方便的功能,当移动设备接入电脑时,它会对这个设备进行扫描,搜寻设备根目录下的autorun.inf文件,并执行文件中的命令。关闭自动播放功能后,插入U盘时,系统就不会搜寻autorun.inf文件并执行其中的命令,从而也就无法激活U盘中的病毒。关闭自动播放功能很简单,首先在运行菜单中输入gpedit.msc命令打开组策略编辑器,选择“计算机配置”—“管理模板”—“系统”,找到右窗格中的“关闭自动播放”策略,选择“已启用”状态即可[3]。
其次,要养成良好的使用移动存储设备的习惯,即不要用鼠标右键弹出菜单上的“打开”和“资源管理器”两种方式打开移动存储设备,而用“我的电脑”中的资源管理器打开移动存储设备,以架空autorun.inf文件中的 shellopencommand和shellexplorecommand两条命令对病毒的激活[4]。
再次,为了避免移动存储设备感染病毒时在设备中写入进一步激活并传播病毒autorun.inf文件,可以预先在移动存储设备的根目录中建立一个内容为空、名称为autorun.inf的文件,并将该文件设为“只读”、“系统”属性,这样,当病毒想在U盘中建立autorun.inf时,就会出现文件名冲突的提示,从而提醒用户可能中了U盘病毒[5]。
有了以上的三条防范措施后,即使U盘中带有病毒,只有我们用户不去主动地运行病毒程序,病毒就不会发作以产生危害,从而为我们下一步的病毒清除赢得时间。
3.小结
随着计算机网络应用的普及,计算机病毒也如影随行,几乎人人谈病毒色变。其实,病毒并没有我们想象的那么可怕,只要你了解病毒的运行机制,就可以让它静静地躺在你的U盘或硬盘中而毫无破坏功能。
[1]http://baike.baidu.com/view/603374.htm[Z].
[2]张涛.网络安全管理技术专家门诊[M].北京:清华大学出版社,2005.
[3]微软帮助文件[Z].
[4]肖军模等.网络信息安全[M].北京:机械工业出版社,2006.
[5]罗诗尧.黑客攻防实战进阶[M].北京:电子工业出版社,2008.
Transmission Analysis&Prevention of U-Disk Viruses
CHEN Jin-lian
(Huanggang Polytechnic College,Huanggang 438002 Hubei)
Computer viruses have caused considerable distress to people's life an work,so that some users are very fear of viruses.U-disk virus is one of those.In fact,computer viruses are not so terrible,as long as we understand their infection principle,avoiding infection is very simple.This paper describes transmission and prevention methods of U-disk virus for users.
Viruses;Auto Play;Transmission of the virus;Activation
TP311.569
A
1672-1047(2011)05-0088-02
10.3969/j.issn.1672-1047.2011.05.23
2011-09-12
陈金莲,女,硕士,高级工程师。研究方向:网络工程,网络安全。
[责任编辑:罗幼平]