主题 : 闪存中“快捷方式病毒”的分析与查杀
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61670(时)
注册时间: 2008-12-25
最后登录: 2024-03-28

0 闪存中“快捷方式病毒”的分析与查杀

朋友说自己一个8GB的闪存,在单位使用的时候,感染了快捷方式病毒。这个病毒一直困扰着我们单位的电脑,而且都是通过闪存交叉感染的。该如何查杀“快捷方式病毒”呢?  朋友提到的“快捷方式病毒”是闪存病毒的重要变种之一。闪存病毒自2006年流行后,因容易感染、攻击灵活等特点,给企业网、校园网的用户造成了极大的危害,成为仅次于网页挂马的第二大病毒传播途径。
  快捷方式病毒是去年开始流行的,在网上大规模传播。它的出现让很多用户摸不着头脑,闪存空间为什么会无缘无故地缩小了,或者点击闪存中的文件夹总要卡一下?

安全小百科:
  当我们将闪存插入一台已被感染的电脑后,病毒检测到闪存,就会将自身拷贝到闪存中。此后,在另一台电脑插入该闪存时,只要Windows自动播放功能是开启的,系统就会检查闪存根目录下是否存在Autorun.inf文件。
  Autorun.inf文件中的一些字段通常指向一个脚本文件,如BAT脚本、VBS脚本。系统会自动执行该脚本,从而触发病毒。病毒激活后还会感染本地磁盘分区,这样病毒就完成了从一台电脑到另一台电脑的传播。

  揭秘“快捷方式病毒”
  此前的闪存病毒,都是利用Windows自动播放功能激活的。如果用户关闭了它,闪存病毒不会自动运行(但如果用户双击盘符,还是会运行),所以闪存病毒开始往另一个方向发展——欺骗用户。
  病毒拷贝自身到闪存后,将根目录下文件夹的属性设为隐藏,设置系统属性为不显示隐藏文件、不显示文件扩展名,然后伪造同名的文件夹,这样用户看到的“文件夹”实际上就是病毒体本身。一旦用户双击文件夹就激活了病毒。这种方法不再依赖Autorun.inf文件。
  后来,欺骗方法又有了改进,闪存病毒不伪造文件夹,而是创建正常文件夹的快捷方式,当用户双击文件夹时,先激活病毒再进入正常文件夹。这样做的好处是,不会被用户察觉文件夹有问题。
  如何判断闪存中是否有快捷方式病毒呢?在“我的电脑”上点击鼠标右键,打开资源管理器,在菜单中依次选择“工具”→“文件夹选项”,选择“查看”标签,去掉“隐藏受保护的操作系统文件”、“隐藏已知文件类型和扩展名”前面的钩,选择“显示所有文件和文件夹”,在资源管理器左侧选择闪存盘符(这样操作不会激活Autorun.inf),就可以看到隐藏的文件夹,如果有同名的文件夹,就可以判断闪存中有快捷方式病毒(图1)。
  “快捷方式病毒”查杀方案
  如果发现闪存中有快捷方式病毒,先要做的就是调用杀毒软件进行查杀。如果杀毒软件暂时解决不了这个问题,那就用专杀工具,例如快捷方式病毒专杀或者闪存病毒专杀工具等(工具下载地址:http://www.shudoo.com/bzsoft)。下载运行专杀工具后,工具会扫描出闪存或电脑中的病毒并自动清除(图2)。
  单位内使用闪存,容易交叉感染病毒,应该怎么预防闪存病毒呢?单位内的所有电脑都要关闭系统自动播放功能,点击“开始”菜单,选择“运行”,输入“gpedit.msc”回车,进入“组策略”窗口。
  在该窗口左栏的“本地计算机策略”下,定位到“计算机配置→管理模板→系统”,然后在右栏的“设置”中,双击“关闭自动播放”, 接着在弹出窗口中选择“设置”,勾选“已启用”,在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮即可。此外,所有在单位使用的闪存应该用工具进行免疫处理(图3)。
  只做到上面的操作还不够,我们还要开启杀毒软件的闪存监控功能(主流的软件都有这个功能),及时更新杀毒软件病毒库,定期进行扫描,这样才可以全面预防闪存病毒。
Total 0.042124(s) query 4, Time now is:03-28 20:52, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛