Windows系统下的U盘病毒防范浅谈

Windows系统下的U盘病毒防范浅谈

胡杰（中国人民解放军95080部队，广东汕头515000

作者简介：胡杰，中国人民解放军95080部队。

摘要:USB移动存储器的广泛应用给现有的U盘病毒带来了可乘之机，已成为物理网络外的一个新的病毒防范领域。本文通过对Windows操作系统下的U盘病毒传播和发作方式的简析，从防范和清除U盘病毒两个方面提出一些简要的软硬件方法。

关键词:U盘；病毒；防范

随着存储设备的不断更新，从软盘，磁盘到今天风靡全球的U盘，依附于存储介质的病毒也在不断更新换代[1]，现有的U盘病毒在Windows操作系统中已经成为了一个新的防范领域。特别是对现有的很多保密单位，在物理网络隔绝的情况下做数据交换和转移，U盘病毒防范尤为重要。

1U盘病毒简述

U盘是采用flashmemory(也称闪存)存储技术的USB设备，此类移动存储设备用第一个字母U命名，所以简称“U盘”。U盘具有体积小，容量大，无驱使用，即插即用，存取速度快，可靠性好和抗震防潮等优异的移动存储特性，U盘病毒主要通过U盘、移动硬盘传播。目前这类病毒的最大特征是利用autorun.inf配置文件在Windows操作系统中的漏洞来发作，事实上autorun.inf相当于一个传染途径，经过该途径入侵的病毒，理论上是“任何”病毒。就像身体上的创口，可能感染的细菌就不止一种。这个autorun.inf就是系统的创口。

1.1U盘病毒发作的条件

一般的，U盘病毒发作的条件主要有:以时间为触发条件、诱使用户点击发作、用系统漏洞触发、击键和鼠标触发、启动系统触发、访问磁盘次数触发、调用中断功能触发、cpu型号/主板型号触发、利用病毒体自带的计数器触发等。病毒的触发条件是很复杂的，常常综合了几种触发机制，并且触发机制难以预见。

1.2U盘病毒传播的方式

就当前的病毒特点分析，传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播。这里主要讨论通过硬件设备传播，带写保护功能U盘病毒已经成为一种社会公害，作为计算机使用者，必须时刻提高警惕，才能免受其害。

一种是通过不可移动的计算机硬件设备进行病毒传播，另一种是利用移动存储设备进行传播。随着信息，多媒体的交互日益频繁，U盘等移动存储设备感染病毒几率非常大。几乎所有带病毒的U盘根目录里都有一个autorun.inf，在Windows操作系统中的右键菜单多了“自动播放”、“Open”、“Browser”等项目。一般用户习惯用双击来打开磁盘，但通常不是打开U盘，而是让autorun.inf里的病毒进行传播到用户计算机上。

1.3U盘病毒的发作的危害

与其他网络病毒等类似，U盘病毒发作的危害主要有非法占用计算机资源，扰乱计算机操作系统的正常使用，非法篡改，删除用户数据资料，甚至盗取用户的数据资料，非法拷贝到U盘上，再转移到有网络连接的计算机终端上，结合网络病毒进行数据资料盗取。U盘病毒发作时具有以下特性:

①自动运行性:在磁盘根目录下生成一个名为“Autorun.inf”的引导文件，能够自动执行病毒文件。

②隐蔽性高:U盘病毒本身是以“隐藏文件”的形式存在的，而且能伪装在其他正常系统文件夹和文件，隐藏在文件目录中，不易被察觉。

③破坏性大:U盘病毒波及范围广，甚至可以破坏用户计算机主板等底层硬件。

④变种速度快:自从发现U盘的“autorun.inf”漏洞之后，U盘病毒的数量与日俱增，这些病毒有些是新病毒，而大部分都是依靠变种得来的。

2U盘病毒的软硬件防范

①防范U盘病的重要做法是关闭“自动播放”功能。在windows操作系统中单击“开始→运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口，在左窗格的“本地计算机策略”下，展开“计算机配置→管理模板→系统”，在右窗格的“设置”标题下，双击“关闭自动播放”。然后再单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭“组策略”窗口。至此就完成了关闭Windows系统自动播放功能的工作，以后在系统上插上U盘后系统也不会出现自动播放的对话框了，系统变得更加安全。

②防止U盘病毒传播，除了自动播放外另外一个容易感染U盘病毒的途径就是U盘中存在的AUTORUN文件了，很多病毒都会在磁盘根目录建立一个autorun.inf的文件，在该文件中写入打开U盘时自动加载和运行的程序具体路径，从而实现传播与感染的目的。我们利用windows操作系统规定在同一目录中，同名的文件和文件夹不能共存的特性。先在每个磁盘根目录下建立一个文件夹，名字就叫autorun.inf。这样病毒就无法自动创建autorun.inf文件了，即使你双击盘符也不会运行病毒。

③禁用硬件检测服务让U盘丧失智能，在WindowsXP系统中我们拥有即插即用的功能，所有硬件连接都能够自动检测自动安装驱动，如果我们希望禁止用户计算机使用U盘的话，最直接的办法就是禁用硬件检测服务，这样即使有人尝试将U盘插到计算机对应接口也不会发现任何硬件设备，U盘一样无法使用。具体指令和操作步骤为——通过“开始”->“运行”->“输入CMD”后回车进入命令提示窗口，然后在该窗口中执行

“scconfigShellHWDetectionstart=disabled”来禁用硬件检测服务，出现changeserviceconfigsuccess提示表明命令有效。

④修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。操作步骤:打开资源管理器,点“工具(T)”菜单下“文件夹选项(O)⋯”,再点“查看”,在“高级设置”中,选择显示所有文件和文件夹,并取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。

⑤用户计算机安启用Windows防火墙或病毒预防软件保护本地计算机。

3U盘病毒的清除

计算机的盘病毒的清除也比较简单，一般来说有以下几种方法:

①使用杀毒软件进行杀毒，通常有瑞星，江民，诺顿，卡巴斯基等杀毒软件，必要时可以考虑使用杀毒光盘启动杀毒。

②手动清除U盘病毒。根据前面讲到的U盘病毒的工作原理,我们知道,U盘病毒通过Autorun.inf里面的OPEN打开病毒程序。因此,我们可以用记事本打开Autorun.inf查看OPEN后面病毒的文件名,并在U盘根目录找到并删除,随后删除Autorun.inf文件。

③纯DOS模式下杀毒和使用专杀工具在安全模式下杀毒。因为许多Ｕ盘病毒程序是在操作系统解释模式下运行的，如脚本病毒等，它们运行时在内存中是不可见的，而系统也会因为它们都是合法的程序而对其加以保护，保证它能继续运行，禁止对正在运行程序进行修改，这就造成了病毒不能被清除的原因。而只有在纯DOS模式下，连Windows操作系统都没能被运行，病毒就更不可能运行，因此这时对其查杀，就绕过了系统的保护，达到干净杀毒的效果。纯DOS模式查毒的方法。在命令提示符窗口中执行几个简单DOS命令就可以把Autorun.inf之类的病毒赶出U盘。还可以在DOS环境下进行手动杀毒，点击“开始→运行”，输入“CMD”（不含引号），按回车键后打开命令提示符窗口，切换到U盘所在盘符或是中了Autorun.inf病毒的盘符下，先执行命令attrib-S-H-Rautorun.inf，再执行delautorun.inf命令就可以手动删除Ｕ盘的autorun.inf病毒。

4U盘病毒防范和清除的展望

由于计算机病毒防范技术是随着病毒的不断演变而发展的，所以在很多保密单位的计算机管理中要以“预防为主，防治结合”为原则，切实做好病毒的软硬件防范工作。除了需要加强对用户上机的监督管理，提高用户对计算机病毒的防范意识，减少病毒的传播途径；要明确计算机管理者的责任，不断学习有关新知识和新技术，持续关注病毒的发展动向及特点，熟练掌握最新的防、杀毒技术。

参考文献：

[1]林建.浅谈计算机病毒[J].武警工程学院学报,2002,(4).

[2]魏小智.注册表应用技巧精粹[M].北京:电子工业出版社,2007.

[3]张尧学.计算机操作系统教程(第3版)[M].北京:清华大学出版社,2006.