最近,有关U盘病毒的情况非常严重,以湛江年会为例,在各人递交的U盘上,发现有病毒的比例可以高达90%。
这里记录一下有关此病毒的一些个人看法:
首 先,目前几乎这类的病毒都是利用autorun.inf来侵入,而事实上autorun.inf相当于一个传染途径,经过这个途径入侵的病毒,理论上是 “任何”病毒。因此大家可以在网上发现,当搜索到autorun.inf之后,附带的病毒往往有不同的名称,正是这个道理。就好像身体上有个创口,有可能 进入的细菌就不止一种,在不同环境下进入的细菌可以不同,甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是 什么病毒,也因此导致在查杀上会存在混乱。
现在先说说autorun.inf这个所谓的创口吧……
首 先,autorun.inf这个文件是很早就存在的,在WinXP以前,当光盘、U盘插入到机器中,会自动运行的话,靠的就是autorun.inf。这 个文件会通过一些简单的命令符号,告诉系统这个新插入的硬件应该自动启动什么程序。所以,这本身是一个常规且合理的文件和技术。
但 相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全自愿的情况下,“自动”执行自己的命令。因此, 通过这个autorun.inf文件,可以放置正常的启动程序,一如我们经常使用的各种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式, 放置任何可能的恶意内容。
这里再说说病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物 也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、正常的功能,病 毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表 格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机器被格式化,或者删除了一些文件,而这 其实不需要太高深的电脑知识。
说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:
一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:
另一种是假杀毒软件方式:病毒在U盘中放置一个程序(由于现在手头没有标本,名称可能有点记错),大概的名字是“Rav E.exe”,这很容易让人以为是瑞星的程序,其实是病毒。
也许有人会问,为什么在你的机器上能看到上面的文件,我的机器看不到呢?很简单,通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等等,一般情况下当然就看不到了。
要让自己能看到隐藏的文件,怎么办?
个人如操作,按如下步骤:打开“我的电脑”,在菜单栏上点“工具”,点“文件夹选项”,出现一个对话框,选择“查看”标签,然后对照下图:
通过该操作后,即可看到隐藏起来的文件,包括上述病毒了,这样,你以后也可以肉眼发现别人U盘上的病毒,作一回赤脚医生了。
如果U盘带有上述病毒,还会一个现象,当你点击U盘时,会多了一些东西:
上图左侧是带病毒的U盘,右键菜单多了“自动播放”、“Open”、“Browser”等项目;右侧是杀毒后的,没有这些项目。
这里注明一下:凡是带Autorun.inf的移动媒体,包括光盘,右键都会出现“自动播放”的菜单,这是正常的功能。
综上所述:
目前的U盘病毒都是通过Autorun.inf来进入的;
Autorun.inf本身是正常的文件,但可被利用作其他恶意的操作;
不同的作者可以通过Autorun.inf放置不同的病毒,因此无法简单说是什么病毒,可以是病毒、木马、黑客程序等等;
一般情况下,U盘不应该有Autorun.inf文件;*
如果发现U盘有Autorun.inf,且不是你自己创建生成的,请删除它;
如果有貌似回收站、瑞星文件等文件,而你又能通过对比硬盘上的回收站名称、正版的瑞星名称,同时确认该内容不是你创建生成的,请删除它;
同时,一般建议插入U盘时,不要双击U盘,另外有一个更好的技巧:插入U盘前,按住Shift键,然后插入U盘,建议按键的时间长一点。插入后,用右键点击U盘,选择“资源管理器”来打开U盘。
推荐查杀软件:Kaspersky
注:
*:部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计,目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式,因此建议购买U盘是先做识别,或咨询销售人员。
