论文部分内容阅读
【摘 要】随着USB设备的普及应用,计算机经常感染U盘病毒。感染U盘病毒的计算机中会出现额外的文件和文件夹,同时系统运行过程中会出现一些异常现象,操作者需要关注这些染毒征兆,以及时应对。
【关键词】U盘病毒;感染;征兆
U盘病毒泛指经由USB接口传播的病毒,主要借助autorun.inf这个文件的自动运行功能,让操作系统激活病毒程序。U盘病毒通过用户USB接口直接侵入电脑内部,轻松突破防火墙等网络设备,在USB设备和计算机系统之间反复传播,渠道便捷,危害严重。因为病毒体被激活后需要自我复制,产生变种,还要破坏数据或影响系统的正常运行,所以病毒总会留下蛛丝马迹,用户需要严密关注各种细微征兆,以及时采取有效的应对措施。
计算机感染U盘病毒后,一般有以下表现:
1.病毒驻留系统内存
计算机感染U盘病毒后,病毒会伪装成自启动的常驻程序,潜藏在系统服务中,同时自动复制到硬盘的每个分区上,在“C:windowssystem32”文件夹下创建可执行文件,或建立一个隐藏的系统文件夹来存放病毒程序。如果用户重装系统而不是格式化硬盘,这些文件会被保留下来。病毒驻留系统内存,往往比较隐蔽,普通用户很难看出来,需要借助一些病毒扫描软件才能发现。
2.存储设备出现额外文件和文件夹
计算机系统感染U盘病毒后,U盘、移动硬盘或硬盘根目录会多出来一个autorun.inf文件,或RECYCLER.exe、Recycle.exe等文件夹。由于这些文件和文件夹被设置成隐藏的系统文件,需要在windows操作系统中显示所有隐藏文件和隐藏文件夹,同时显示完整的文件后缀名,用户才能发现这些额外的文件或文件夹。
如果U盘根目录有一个autorun.inf文件,而且不是用户自己建立的,则可能潜藏着U盘病毒。不过,隐藏autorun.inf属于初级手法,特征太明显,所以很多U盘病毒通过伪装,诱使操作者点击某个文件夹来运行病毒。此类U盘病毒扫描U盘上的文件夹,将原本正常的文件夹“隐藏”起来,变为不可见状态,而把病毒文件命名为现有文件夹的名称(加上隐藏的扩展名),并且采用相同的图标。因为windows操作系统出厂的默认设置下不显示隐藏的文件和文件夹,以及已知类型的文件扩展名,所以操作者一般不易察觉。当操作者点击这个伪装过的病毒文件夹后,就会激活病毒体,让病毒程序运行,同时,它还会打开原来的文件夹,就像一切都没有发生过一样。但是,计算机已经中毒了。其实,通过显示系统文件夹和隐藏文件夹的方法,就会发现病毒文件夹有一个exe扩展名,往往还删除不掉。另外,还有一些U盘病毒,会删除用户本身的可执行文件,并以冒名顶替的病毒程序取而代之,危害更大。
3.病毒造成异常操作现象
计算机感染U盘病毒后,系统会出现一些异常现象,比如任务管理器无法打开、文件夹选项中无法修改“显示所有文件和文件夹”等选项。同时,右键点击U盘、移动硬盘或硬盘根目录,弹出的右键菜单中会有一项“自动运行”,这说明该盘符下存在一个autorun.inf文件,很可能指向病毒程序。
此外,鼠标左键双击某个磁盘分区时,出现“找不到程序”、“无法打开分区”等出错提示信息,表明曾经可能中过U盘病毒。这种现象是由于U盘病毒被杀毒软件清除了,但autorun.inf文件未被清除,仍然保留在磁盘分区根目录上。用户双击磁盘分区时会启动autorun.inf文件,但是它指向的病毒程序已无法运行,因此才会弹出提示信息窗口。
4.U盘病毒防范措施
安全只是相对的安全,没有绝对的安全,对于移动存储设备主要通过两个层面来进行防范,一个是技术层面,另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。
(1)及时更新安全漏洞补丁和病毒库。
对于个人和单位来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生成的报告,可选择自动修复功能修复系统所存在的漏洞。
(2)禁止移动设备自动播放。
很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开。如果设备具有可读写保护功能,则在从设备复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过U盘进行病毒传播。对Windows Xp操作系统,单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。
(3)实时监控,杀毒先行。
对杀毒软件和个人防火墙要实时监控,确保杀毒软件及其个人防火墙都在正常运行。在使用移动存储设备时,首先查杀移动存储设备中的文件,在确定无病毒的情况下,再进行其他操作。Windows操作系统默认不显示隐藏文件和系统保护文件,病毒往往利用这一点进行病毒隐藏和传播,因此需要通过“文件夹”-“查看”选项,选择“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”复选框,方便查看U盘以及系统其它盘中是否隐藏病毒文件。
(4)在所有磁盘中创建Autorun.inf文件夹。
U盘病毒一般都是利用Autorun.inf文件来进行传播,根据Windows操作系统文件以及文件夹名称唯一性原则,系统仅存在唯一名称文件,因此可以在系统所有磁盘中建立一个名称为“Autorun.inf”的文件夹,使U盘病毒不能创建Autorun.inf文件而达到防范U盘病毒的目的。
(5)谨慎下载,安全运行。
在需要软件时,尽量到正规大型网站进行下载,下载后对软件进行查杀毒处理,防止软件被捆绑木马程序。如果需要运行在重要计算机上面,必须进行安全性测试,确保该软件对系统不会造成危害。
(6)做好系统和数据备份。
近年来,计算机木马病毒往往带有较强的商业利益目的,尤其是以U盘为传播介质的病毒。例如熊猫病毒、AV病毒,会对所有可执行文件进行感染,如果处理不好,将会带来巨大的经济损失。因此平时对重要数据和系统一定要做好备份,做到随时可以恢复系统,并正常运行。
(7)使用一些移动存储专用管理软件。
(8)对移动存储设备的一切权限变更和一切文件操作,全部都有日志记录和审计。
(9)非法U盘,进不来。所有能在内部使用的U盘、移动硬盘必需通过授权认证,没有经过授权的U盘和移动硬盘无法使用。
(10)授权U盘,拿不走。即使是经过认证的移动存储设备,其保存的机密文件都进行了高强度加密存储,并完全隐藏。授权U盘、移动硬盘在内部如常使用,但在外部计算机看不见任何信息。 [科]
【参考文献】
[1]徐玮.U盘病毒的分析与防治[J].科技信息,2010,(15).
[2]毕超群.U盘病毒原理分析及设计与实现[J].计算机安全,2010,(03).
[3]刘宁,赵建华.移动U盘病毒工作原理、清除与防范[J].长春大学学报,2009,(4).
【关键词】U盘病毒;感染;征兆
U盘病毒泛指经由USB接口传播的病毒,主要借助autorun.inf这个文件的自动运行功能,让操作系统激活病毒程序。U盘病毒通过用户USB接口直接侵入电脑内部,轻松突破防火墙等网络设备,在USB设备和计算机系统之间反复传播,渠道便捷,危害严重。因为病毒体被激活后需要自我复制,产生变种,还要破坏数据或影响系统的正常运行,所以病毒总会留下蛛丝马迹,用户需要严密关注各种细微征兆,以及时采取有效的应对措施。
计算机感染U盘病毒后,一般有以下表现:
1.病毒驻留系统内存
计算机感染U盘病毒后,病毒会伪装成自启动的常驻程序,潜藏在系统服务中,同时自动复制到硬盘的每个分区上,在“C:windowssystem32”文件夹下创建可执行文件,或建立一个隐藏的系统文件夹来存放病毒程序。如果用户重装系统而不是格式化硬盘,这些文件会被保留下来。病毒驻留系统内存,往往比较隐蔽,普通用户很难看出来,需要借助一些病毒扫描软件才能发现。
2.存储设备出现额外文件和文件夹
计算机系统感染U盘病毒后,U盘、移动硬盘或硬盘根目录会多出来一个autorun.inf文件,或RECYCLER.exe、Recycle.exe等文件夹。由于这些文件和文件夹被设置成隐藏的系统文件,需要在windows操作系统中显示所有隐藏文件和隐藏文件夹,同时显示完整的文件后缀名,用户才能发现这些额外的文件或文件夹。
如果U盘根目录有一个autorun.inf文件,而且不是用户自己建立的,则可能潜藏着U盘病毒。不过,隐藏autorun.inf属于初级手法,特征太明显,所以很多U盘病毒通过伪装,诱使操作者点击某个文件夹来运行病毒。此类U盘病毒扫描U盘上的文件夹,将原本正常的文件夹“隐藏”起来,变为不可见状态,而把病毒文件命名为现有文件夹的名称(加上隐藏的扩展名),并且采用相同的图标。因为windows操作系统出厂的默认设置下不显示隐藏的文件和文件夹,以及已知类型的文件扩展名,所以操作者一般不易察觉。当操作者点击这个伪装过的病毒文件夹后,就会激活病毒体,让病毒程序运行,同时,它还会打开原来的文件夹,就像一切都没有发生过一样。但是,计算机已经中毒了。其实,通过显示系统文件夹和隐藏文件夹的方法,就会发现病毒文件夹有一个exe扩展名,往往还删除不掉。另外,还有一些U盘病毒,会删除用户本身的可执行文件,并以冒名顶替的病毒程序取而代之,危害更大。
3.病毒造成异常操作现象
计算机感染U盘病毒后,系统会出现一些异常现象,比如任务管理器无法打开、文件夹选项中无法修改“显示所有文件和文件夹”等选项。同时,右键点击U盘、移动硬盘或硬盘根目录,弹出的右键菜单中会有一项“自动运行”,这说明该盘符下存在一个autorun.inf文件,很可能指向病毒程序。
此外,鼠标左键双击某个磁盘分区时,出现“找不到程序”、“无法打开分区”等出错提示信息,表明曾经可能中过U盘病毒。这种现象是由于U盘病毒被杀毒软件清除了,但autorun.inf文件未被清除,仍然保留在磁盘分区根目录上。用户双击磁盘分区时会启动autorun.inf文件,但是它指向的病毒程序已无法运行,因此才会弹出提示信息窗口。
4.U盘病毒防范措施
安全只是相对的安全,没有绝对的安全,对于移动存储设备主要通过两个层面来进行防范,一个是技术层面,另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。
(1)及时更新安全漏洞补丁和病毒库。
对于个人和单位来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生成的报告,可选择自动修复功能修复系统所存在的漏洞。
(2)禁止移动设备自动播放。
很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开。如果设备具有可读写保护功能,则在从设备复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过U盘进行病毒传播。对Windows Xp操作系统,单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。
(3)实时监控,杀毒先行。
对杀毒软件和个人防火墙要实时监控,确保杀毒软件及其个人防火墙都在正常运行。在使用移动存储设备时,首先查杀移动存储设备中的文件,在确定无病毒的情况下,再进行其他操作。Windows操作系统默认不显示隐藏文件和系统保护文件,病毒往往利用这一点进行病毒隐藏和传播,因此需要通过“文件夹”-“查看”选项,选择“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”复选框,方便查看U盘以及系统其它盘中是否隐藏病毒文件。
(4)在所有磁盘中创建Autorun.inf文件夹。
U盘病毒一般都是利用Autorun.inf文件来进行传播,根据Windows操作系统文件以及文件夹名称唯一性原则,系统仅存在唯一名称文件,因此可以在系统所有磁盘中建立一个名称为“Autorun.inf”的文件夹,使U盘病毒不能创建Autorun.inf文件而达到防范U盘病毒的目的。
(5)谨慎下载,安全运行。
在需要软件时,尽量到正规大型网站进行下载,下载后对软件进行查杀毒处理,防止软件被捆绑木马程序。如果需要运行在重要计算机上面,必须进行安全性测试,确保该软件对系统不会造成危害。
(6)做好系统和数据备份。
近年来,计算机木马病毒往往带有较强的商业利益目的,尤其是以U盘为传播介质的病毒。例如熊猫病毒、AV病毒,会对所有可执行文件进行感染,如果处理不好,将会带来巨大的经济损失。因此平时对重要数据和系统一定要做好备份,做到随时可以恢复系统,并正常运行。
(7)使用一些移动存储专用管理软件。
(8)对移动存储设备的一切权限变更和一切文件操作,全部都有日志记录和审计。
(9)非法U盘,进不来。所有能在内部使用的U盘、移动硬盘必需通过授权认证,没有经过授权的U盘和移动硬盘无法使用。
(10)授权U盘,拿不走。即使是经过认证的移动存储设备,其保存的机密文件都进行了高强度加密存储,并完全隐藏。授权U盘、移动硬盘在内部如常使用,但在外部计算机看不见任何信息。 [科]
【参考文献】
[1]徐玮.U盘病毒的分析与防治[J].科技信息,2010,(15).
[2]毕超群.U盘病毒原理分析及设计与实现[J].计算机安全,2010,(03).
[3]刘宁,赵建华.移动U盘病毒工作原理、清除与防范[J].长春大学学报,2009,(4).