瑞星:解析U盤(pán)病毒防治技巧(1) |
發(fā)布時(shí)間: 2012/7/4 13:51:31 |
U盤(pán)病毒是許多人深?lèi)和唇^的東西,一旦中招,麻煩且不說(shuō),還可能導(dǎo)致丟失重要文件,下文瑞星專(zhuān)家將詳細(xì)對(duì)其進(jìn)行解析!
U盤(pán)病毒原理 U盤(pán)病毒通常利用Windows系統(tǒng)的自動(dòng)播放功能進(jìn)行傳播。自動(dòng)播放是Windows給用戶(hù)提供的一個(gè)方便的功能,但被黑客大量利用,增加了病毒傳播的可能性。 圖1:U盤(pán)插入后,Windows系統(tǒng)會(huì)自動(dòng)詢(xún)問(wèn)用戶(hù)進(jìn)行何種操作 自動(dòng)播放這一功能是通過(guò)系統(tǒng)隱藏文件Autorun.inf文件來(lái)實(shí)現(xiàn)的,它存放在驅(qū)動(dòng)器根目錄下。Autorun.inf文件本身不是病毒,但很容易被病毒利用,試想如果Autorun.inf文件指向了病毒程序,那么在你雙擊U盤(pán)盤(pán)符的時(shí)候,Windows就可立即激活指定的病毒。為了更直觀地說(shuō)明Autorun.inf的實(shí)現(xiàn)過(guò)程,下面為大家做一個(gè)簡(jiǎn)單的演示。 首先編寫(xiě)一個(gè)Autorun.inf [autorun] OPEN=notepad.exe shell\open=打開(kāi)(&O) shell\open\Command=notepad.exe shell\open\Default=1 shell\explore=資源管理器(&X) shell\explore\Command=notepad.exe icon=rising.ico 將Autorun.inf,Windows自帶的記事本程序notepad.exe和rising.ico一同拷貝到U盤(pán)的根目錄下,如下圖所示。 圖2:將Autorun.inf、notepad.exe和rising.ico三個(gè)文件放入U(xiǎn)盤(pán)根目錄 在這里,加入一個(gè)圖標(biāo)是為了檢查Autorun.inf是否被讀取,這個(gè)Autorun.inf會(huì)偽造右鍵菜單里的打開(kāi)和資源管理器,點(diǎn)擊就運(yùn)行notepad.exe。重新插入U(xiǎn)盤(pán)后圖標(biāo)變了,無(wú)論是雙擊、右鍵打開(kāi)還是右鍵點(diǎn)擊資源管理器,都只彈出記事本,而無(wú)法打開(kāi)U盤(pán)。試想,若把notepad.exe換成病毒文件會(huì)怎么樣? 圖3:此時(shí)用戶(hù)無(wú)論使用"打開(kāi)"還是"資源管理器"命令,都將調(diào)用存在U盤(pán)根目錄下的notepad.exe,而無(wú)法正常查看U盤(pán)當(dāng)中的文件 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |