基于U盘病毒防范的研究

摘要:病毒的传播途径多种多样,而传播病毒的载体也越来越丰富了,U盘成为病毒载体的“新宠”,因为它的体积小,携带方便,使用它的人也越来越多。这就给病毒防治工作带来很大的难度,如何防范利用U盘传播病毒呢?本文通过介绍U盘病毒的工作原理,从源头上进行防范。

关键词:U盘;病毒;防范

中图分类号:TP309.5 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02

随着电脑的普及,使用的电脑的人是越来越多了,信息交换量也是越来越大了,在这些信息的交换过程中,更多的人喜欢使用U盘,这样,就给病毒带来了很大的便利。

如何防止这些病毒呢?除了要靠杀毒软件外,还要靠我们自己的眼睛。因为杀毒软件不是万能的,有很多病毒杀毒软件是发现不了的,即使你每天都在升级杀毒软件,必定病毒肯定比杀毒软件“发展”得更快。杀毒软件处理不到这些病毒时,就要靠我们的眼睛来自己处理了。

一、U盘病毒的工作原理:

大多数病毒是利用Windows的“Autorun.inf”文件进行传播的。在Windows95时期,“Autorun.inf”文件就已经存在了,它当初设计的本意是为了方便用户快捷的访问光盘、U盘、移动硬盘、等移动设备,可以让系统变得更自动化,其本身并不是病毒,但它的部分功能被黑客所利用。“Autorun.inf”文件的存放位置是在根目录下,它是一个文本文件。它告诉计算机进入分区时,应该执行什么程序、怎样修改驱动器或分区图标、怎样修改菜单等。当这些设置连接到计算机后,计算机首先会扫描根目录下是否有“Autorun.inf”文件的存在,如果有,则加载里面的信息。

“Autorun.inf”文件的结构有三个部分:[AutoRun] [AutoRun.Alpha] [DeviceInstall]

[AutoRun]适用于Windows95系统及以上系统,32位以上的光驱,必选。

[AutoRun.alpha]适用于基于RISC的计算机光驱,它的优先级高于[AutoRun],适用系统为Windows NT 4.0,可选。

[DeviceInstall]适用于Windows XP以上的系统,指定安装驱动程序,可选。

下面对部分[AutoRun]的关键命令进行说明:

(一)Icon

它的作用是指定设备所显示的图标,使用方法为:Icon=图标路径名[,序号]。其中图标文件名是指定显示的图标的路径及文件名,格式可以为.ico(图标文件)、.bmp(图片文件)、.exe(可执行文件)、.dll(动态文件)。但要注意的是,如果图标文件格式为.exe和.dll时,需要用序号来指定图标,序号是从0开始标记的。图标默认的路径在根目录中。

(二)Open

它的作用是当设备进入计算机或启动时,运行的命令。使用方法为:Open=命令行(命令行:程序路径名[参数])。其中,命令行是Windows中可执行的程序,如.exe(可执行文件)、.com(系统可执行文件)、.bat(批处理文件),也可以是其它类型的文件,但其它类型的文件需使用“Start.exe”打开,或者用“ShellExecute”命令调用。命令行的默认路径为设备根目录和系统中环境变量“$Path”所指定的路径。

(三)Shell关键字

它的作用是重定义设备右键菜单显示的文本,使用方法为:Shell关键字=文本。其中,关键字可以是任意字符,相当于定义系统变量,然后在用“Shell关键字Command”命令它的使用方法或执行的命令,文本是在右键菜单中所显示的文本,可以是任意字符,如果要显示“&”符号,则用“&&”来表示,但不能使用空格,如果要定义快捷键,则可用“&字母”来进行定义。

(四)Shell关键字Command

它的作用是定义设备右键菜单的执行命令行,使用方法为:Shell关键字Command=命令行 (命令行:程序路径名[参数])。其中命令行和“Open”命令中的命令行完全相同,关键字和“Shell关键字”命令中的关键字相同,需要说明的是“Shell关键字”和“Shell关键字Command”两个命令是缺一不可的,但其顺序无所谓。

如果“Autorun.inf”文件中不存在Open、ShellExecute与Shell命令时,设备进入计算机或启动时,系统自动运行右键菜单中的第一个命令。

常见的autorun.inf文件格式如下:

[AutoRun]

open=explorer.exe //双击时执行得文件

shell\open=打开(&O) //在右键里添加“打开”选项(快捷键为O)

shell\open\Command=explorer.exe //单击右键选择“打开”时执行得文件

shell\open\Default=1 //打开方式1

shell\explore=资源管理器(&X) //在右键里添加“资源管理器”选项(快捷键为X)

shell\explore\Command=explorer.exe //单击右键选择“资源管理器”时执行得文件

这个“AutoRun.inf”文件就是把双击变成了运行“explorer.exe”文件,用右键的“打开”或“资源管理器”都运行“explorer.exe”文件。如果把U盘里的“explorer.exe”文件换成病毒文件,那么,一旦你执行了刚才的操作,就会触发病毒,感染你的计算机,并通过修改注册表达到开机自动运行,如果有新的U盘插入,病毒就自检测这个U盘是否存在这个病毒,如果已存在,就不管它,如果没有,则会把相关信息复制到U盘上,再通过这个U盘去感染其它没有中毒的计算机。