U盘病毒的认识及防范措施

  随着U盘,移动硬盘,存储卡等移动存储设备的普及,U盘病毒也随之泛滥起来。U盘病毒顾名思义就是通过U盘传播的病毒。自从发现U盘的autorun.inf漏洞之后,U盘病毒的数量与日俱增。

  1.优盘病毒危害

  早期的优盘病毒仅仅是恶作剧,被感染计算机往往出现打不开文件,或者显示一些具有搞笑性质的东西。随着优盘容量的不断扩大和广泛使用,优盘成为传输文件等数据资料的主要存储介质之一,日常使用和交换的文件,包括涉密文件均是通过优盘来进行传输,虽然市面上推出了一些保密优盘,但是这些保密优盘其主要功能是防止优盘丢失后,拾者随意浏览文件,并不能防止优盘病毒的传播,优盘病毒在使用者浏览优盘时就进行了感染。优盘病毒具有交叉感染的特点,即感染了优盘病毒的计算机,在插入一个未感染的优盘到感染计算机中时,病毒会自动感染优盘,当将已经感染优盘病毒的优盘插入未感染计算机中时,未感染病毒的计算机将感染优盘病毒。在对优盘病毒分析研究中我们发现,优盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到优盘中,当优盘插入到具有上网条件的计算机中使用时,优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。

  优盘病毒作为一种传染性病毒,其危害如下:

  (1)破坏软件系统,影响工作。对于一般性优盘病毒将会破坏系统文件的完整性,导致系统不能正常打开文件,其危害程度较轻。

  (2)删除或者更改文件。这种优盘病毒往往带有恶作剧,例如将系统中所有的word等文件全部删除,或者将Word文件的默认后缀更改为其它名称导致文件打不开,其危害程度中等。

  (3)盗取系统中各种密码帐号,实施远程控制。目前很多个人计算机大多具备上网条件,一旦连接上网络,病毒就会主动连接控制端,将系统中的密码和帐号发到指定邮箱,并实施远程控制将其作为僵尸网络的木马端。

  (4)平时窃取资料,战时破坏系统。优盘病毒平时蛰伏在计算机中,当具备互联网条件时将平时复制的资料通过网络传输到指定邮箱,当发生战争时可以破坏和瘫痪计算机系统或者计算机网络,其危害程度最大。

  2.优盘病毒危害机理

  2.1病毒的传播原理

  优盘病毒主要通过优盘与计算机的交互来进行传播。近年来,在“黑色”产业链利益驱动下,利用优盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的网站“挂马”来实现,网站“挂马”主要利用的是IE等安全漏洞,当用户没有安装补丁程序而访问被“挂马”的网站中的网页时,系统就会“偷偷”地执行网页中指定的程序,从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行优盘病毒的传播。

  2.2优盘病毒传播阶段

  优盘对病毒的传播主要借助的就是autorun.inf文件,主要分为2个阶段。

  第一阶段:感染病毒,当用户将一块没有任何病毒的优盘插入一台潜伏了病毒的主机上,通过一些常用的操作后,可能就会激发病毒程序。病毒首先会将自身复制到优盘中,同时创建一个名为autorun.inf的文件。此时,这块优盘就被病毒感染了。

  第二阶段:传播病毒,当这块优盘插入到一台没有任何病毒的电脑上后,使用者双击打开优盘文件浏览时,Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序,此时Windows操作系统就被感染了。

  2.3 autorun.ini文件运行机理

  autorun.inf是设备自动运行的设置文件,比如当插入某些驱动光盘后,Windows就会自动运行驱动安装程序,这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种:

  (1)自动运行的程序

  Open=filename.exe

  (2)修改上下文菜单,把默认项改为病毒的启动项

  ShellAutocommand=filename.exeShell=Auto

  (3)只要调用ShellExecuteA/W函数试图打开优盘根目录,病毒就会自动运行

  Shellexecute=filename.exeShellExecute=……

  (4)伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。

  Shellopen=打开(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器(&X)

  2.4优盘病毒程序隐藏方式

  (1)作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的,现在的病毒一般不会采用这种方式。

  (2)伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。

  (3)藏于系统文件夹中。这些系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。

  (4)运用Windows的漏洞。有些病毒所藏的文件夹的名字为 runauto.。。,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是 runauto.。。。

  3.优盘病毒发展趋势

  据软件监测结果表明,目前至少存在288种优盘病毒;优盘病毒由过去功能单一,逐渐演变为功能众多,且技术水平越来越高。目前的优盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及Windows安全中心,高级一点的会修改防火墙和病毒设置,使其安全穿透个人防火墙,还有一些未公布的优盘病毒,已经做到感染PE文件,计算机一旦被感染这种病毒很难根除。目前世界上大多数病毒都具备优盘病毒感染功能,使其成为内网和外网沟通的桥梁,优盘病毒已经成为一种顽疾。由于优盘病毒的巨大危害性,很多杀毒软件都会查杀以Autorun.inf文件为主要特征的优盘病毒,因此新型的优盘病毒将向硬件以及驱动程序发展。可以将优盘病毒直接嵌入到一些硬件设备,例如手机、mp3等,需要激活时只需要通过网络发送一个密码指令即可。另外一种趋势就是将优盘病毒做成驱动级,任何系统都离不开驱动程序,通过驱动程序来进行病毒的传播和控制。

  4.优盘病毒防范措施

  安全只是相对的安全,没有绝对的安全,对于移动存储设备主要通过两个层面来进行防范,一个是技术层面,另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。

  4.1技术防范

  (1)及时更新安全漏洞补丁和病毒库

  对于个人和公司来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生成的报告,可选择自动修复功能修复系统所存在的漏洞。

  (2)禁止移动设备自动播放

  很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开;如果设备具有可读写保护功能,则在从设备复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过优盘进行病毒传播。对Windows Xp操作系统,单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。

  (3)实时监控,杀毒先行

  对杀毒软件和个人防火墙要实时监控,确保杀毒软件及其个人防火墙都在正常运行。在使用移动存储设备时,首先查杀移动存储设备中的文件,在确定无病毒的情况下,再进行其他操作。Windows操作系统默认不显示隐藏文件和系统保护文件,病毒往往利用这一点进行病毒隐藏和传播,因此需要通过“文件夹”-“查看”选项,选择“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”复选框,方便查看优盘以及系统其它盘中是否隐藏病毒文件。

  (4)在所有磁盘中创建Autorun.inf文件夹

  优盘病毒一般都是利用Autorun.inf文件来进行传播,根据Windows操作系统文件以及文件夹名称唯一性原则,系统仅存在唯一名称文件,因此可以在系统所有磁盘中建立一个名称为“Autorun.inf”的文件夹,使优盘病毒不能创建Autorun.inf文件而达到防范优盘病毒的目的。

  (5)谨慎下载,安全运行

  在需要软件时,尽量到正规大型网站进行下载,下载后对软件进行查杀毒处理,防止软件被捆绑木马程序。如果需要运行在重要计算机上面,必须进行安全性测试,确保该软件对系统不会造成危害。

  (6)做好系统和数据备份

  近年来,计算机木马病毒往往带有较强的商业利益目的,尤其是以优盘为传播介质的病毒;例如最近出现的熊猫病毒、AV病毒,会对所有可执行文件进行感染,如果处理不好,将会带来巨大的经济损失。因此平时对重要数据和系统一定要做好备份,做到随时可以恢复系统,并正常运行。

  (7)使用一些移动存储专用管理软件

  根据数据资料的价值,安装移动存储专用管理软件来进行优盘资料的保护,这些软件往往具有文件加密等功能,优盘资料只能在指定计算机和指定网络中使用,到其它计算机上无法读取,即使读取也是乱码,从而保证数据的安全。

  (8)对移动存储设备的一切权限变更和一切文件操作,全部都有日志记录和审计。

  (9)非法优盘,进不来。所有能在内部使用的优盘、移动硬盘必需通过授权认证,没有经过授权的优盘和移动硬盘无法使用。

  (10)授权优盘,拿不走。即使是经过认证的移动存储设备,其保存的机密文件都进行了高强度加密存储,并完全隐藏;授权优盘、移动硬盘在内部如常使用,但在外部计算机看不见任何信息。

  4.2非技术防范、

  (1)从制度上加强管理。对于部分有必要的计算机,才允许使用优盘、移动硬盘;其他计算机禁止使用优盘、移动硬盘等移动存储设备,凡涉密优盘禁止接触上网计算机,凡涉密优盘,在数据处理完毕后,要采取安全删除文件或者低级格式优盘等安全技术措施,严防从优盘中泄漏涉密文件,从源头上保证安全。

  (2)专盘专用。交流使用模式优盘仅对外使用,每次使用完毕后进行安全处理,做到外盘专用专处理。

  (3)加强优盘安全意识培训,定期进行安全检查。安全重在安全意识和安全措施的执行力度,定期对安全措施的落实情况进行安全检查,结合安全违规取证系统对计算机进行涉密文件的安全检查并进行相应的安全处理,降低和减少安全隐患。

  5.结束语

  优盘病毒看似普通,如果管理监控不好,将会给个人、企业乃至国家造成重大损失,本文通过对优盘病毒的特点、传播原理等进行了分析,最后从技术和非技术的角度给出了优盘病毒的防范措施,对于U盘安全管理和病毒防范有一定的借鉴和参考价值。

时间: 2024-10-30 20:50:58

U盘病毒的认识及防范措施的相关文章

“熊猫烧香”病毒疯狂蔓延 免费防范措施推出

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 国家计算机病毒应急处理中心昨天发布预警:一伪装成"熊猫烧香"图案的蠕虫正在互联网上进行传播,已有很多企业局域网遭受该蠕虫的感染. 据分析,伪装成"熊猫烧香"图案的"威金"蠕虫病毒感染计算机系统后,电脑中所有exe文件都变成了一种怪异的"熊猫烧香"图案,文件将不可执

轻松防范U盘病毒的小技巧

  如何建立一个病毒不能删除的具有金刚不坏之身的Autorun.inf免疫文件呢?于是基于更低层的NTFS文件系统权限控制的办法出现了.将U盘.移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容.(但是,该办法不适合于音乐播放器之类通常不支持NTFS的设备).详细步骤如下: 1.开始--运行--cmd,打开命令行窗口; 2.运行convert k: /FS:NTFS(假设U盘是K:盘),将U盘格式转化为N

U盘病毒智能化:格式化重装系统竟无效

格式化被许多用户认为是对付病毒的"终极撒手锏",不管你如何感染,我将系统格式化后重装,岂不是重新生出一个完全健康的系统,这种方法尽管有些麻烦,但被不少人认为是行之有效的御毒妙招.但是,最近出现的新一类U盘病毒却打破了人们的常规思维模式,变得更加智能,即时格式化系统盘,也无法彻底杀灭这些病毒,反而会中了他们的奸计. U盘的广泛使用给人们带来了便利,大部分电脑用户通过U盘进行文件交换,同时也正是由于U盘巨大的社会保有量,深深吸引住了黑客的眼球.进入2007年,"熊猫烧香"

U盘病毒专杀工具 移动存储卫士

[软件简介] U 盘病毒又称 Autorun 病毒,是通过 AutoRun.inf 文件使对方所有的硬盘完全共享或中木马的病毒.随着 U 盘,移动硬盘,存储卡等移动存储设备的普及,U 盘病毒也随之泛滥起来.近日,国家计算机病毒处理中心发布公告称 U 盘已成为病毒和恶意木马程序传播的主要途径.面对这一需要,U 盘病毒专杀工具 - USBCleaner 应运而生. USBCleaner名为U盘病毒专杀工具,这里的U盘病毒其实是一种泛指也是不规范的称法,它应该包括U盘,移动硬盘,记忆棒,SD存储卡,M

U盘病毒为何难以清除

  很多用户可能由此疑问,既然大部分U盘病毒都与"autorun.inf"病毒文件有关系,如果把存放在U盘各分区根目录下的所有"autorun.inf"文件都删除,不就可以有效防范各种U盘病毒了吗?其实不然,清除U盘病毒远远没有这么简单. 1."autorun.inf"文件通常是以"隐藏"属性存在的,该文件在开始创建时,用户一般不容易发现,只有在"文件夹选项"对话框的"查看"选项卡下点选

VBS脚本病毒原理分析与防范_vbs

网络的流行,让我们的世界变得更加美好,但它也有让人不愉快的时候.当您收到一封主题为"I Love You"的邮件,用兴奋得几乎快发抖的鼠标去点击附件的时候:当您浏览一个信任的网站之后,发现打开每个文件夹的速度非常慢的时候,您是否察觉病毒已经闯进了您的世界呢?2000年5月4日欧美爆发的"爱虫"网络蠕虫病毒.由于通过电子邮件系统传播,爱虫病毒在短短几天内狂袭全球数百万计的电脑.微软.Intel等在内的众多大型企业网络系统瘫痪,全球经济损失达几十亿美元.而去年爆发的新欢

HDM.exe手工查杀U盘病毒的方法_病毒查杀

HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E

U盘病毒分析附bat批处理文件_病毒查杀

                                U盘病毒分析                         作 者:CyyIsGood.Cloud ★功能:         一.分析某一个或多个磁盘中的Autorun.inf,确定引导的文件,备份引导文件并 将其删除.(如果让其一直运行,可以防范U盘病毒)         二.免疫某一个或多个磁盘,四级免疫:Autorun.inf文件夹.加系统/隐藏/只读 /存档属性.8.3子文件夹.NTFS写权.         三.发送备份

对Autorun.inf类U盘病毒的攻防经验总结

"RavMonE.exe"."rose.exe"."sxs.exe"."copy.exe"."setup.exe"...根目录下的神秘幽灵,系统安全的杀手,它们被称作"U盘病毒".无数Windows用户,都在为它们而焦头烂额.这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结. Windows 95以后的系统都有一个"自动运行"的功能.通过在卷插入