陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院電子信息學(xué)院，湖北黃岡438002)

U盤病毒的傳播分析及防范

陳金蓮

(黃岡職業(yè)技術(shù)學(xué)院電子信息學(xué)院，湖北黃岡438002)

計算機(jī)病毒對當(dāng)今人們的工作生活造成了相當(dāng)大的困擾，以至于有些用戶到了談毒色變的地步。這些病毒中，U盤病毒也占有一席之地。其實(shí)，計算機(jī)病毒并沒有人們想象的那么可怕，只要我們清楚其傳染原理，避免感染還是很簡單的。本文就為用戶介紹U盤病毒的傳播及防范方法。

病毒;自動播放;autorun.inf;病毒傳播;激活

1.U盤病毒的傳播分析

U盤病毒是一種通過U盤或移動硬盤來傳播的病毒，雖然其傳播速度不及網(wǎng)絡(luò)病毒迅猛，但因其傳播代碼的簡單易寫而被大量病毒使用。那么，U盤病毒是怎樣通過U盤來實(shí)現(xiàn)傳播的呢?

其實(shí)，所有U盤病毒的傳播都離不開一個文件—autorun.inf，該文件置于U盤或移動硬盤的根目錄之下，其本意是為了方便用，當(dāng)用戶插入U盤或移動硬盤時自動運(yùn)行某個安裝程序的軟件或自動播放一段視頻，但autorun.inf在方便用戶的同時也方便了病毒的傳播。要了解U盤病毒是如何通過autorun.inf文件來傳播，就需要對該文件的結(jié)構(gòu)及相關(guān)命令有一個認(rèn)識。

autorun.inf文件由三個部分構(gòu)成，分別是［AutoRun］、［AutoRun.Alpha］、［DeviceInstall］，其中［AutoRun］是必需的也是最常用的一部分。下面就［AutoRun］部分的關(guān)鍵命令來做一個闡述。

Open和shellexecute命令用于指定當(dāng)設(shè)備啟動時所運(yùn)行的程序或命令，即U盤或移動硬盤自動播放所運(yùn)行的程序或命令，兩者的區(qū)別在于open命令只能運(yùn)行.exe、.com或 .bat三種可執(zhí)行程序，而shellexecute運(yùn)行任何類型的文件。

另一個重要命令就是shell，用于定義U盤或移動硬盤的右鍵菜單。Shell至少包含以下兩個子命令，命令“Shell/關(guān)鍵字=文本”定義右鍵的菜單文本，關(guān)鍵字指菜單標(biāo)記，無實(shí)際意義，文本指出現(xiàn)在鼠標(biāo)右鍵上的菜單名。命令“Shell/關(guān)鍵字/command=命令行”定義當(dāng)單擊菜單文本時所執(zhí)行的命令，命令行的命令必須是.exe、.com 或.bat，如果是其它類型的文件，需用start.exe命令調(diào)用。這兩個子命令結(jié)合起來就可以控制鼠標(biāo)右鍵菜單的動作［1］。

以下是一個典型的U盤病毒的autorun.inf文件

［AutoRun］

Shellexecute=WScript.exe 731232676.vbs“AutoRun”

shellopen=打開(＆O)

shellopen command = WScript.exe 731232676.vbs“AutoRun”

shellopenDefault=1

shellexplore=資源管理器(＆X)

shellexplorecommand = WScript.exe 731232676.vbs“AutoRun”

其中，“731232676.vbs”為病毒文件名，這段代碼的功能就是去激活這個腳本病毒程序。從以上代碼可以看出，文檔完全控制著設(shè)備的自動播放、雙擊、右鍵的“打開”、右鍵的“資源管理器”等各種形式，即無論是設(shè)備自動播放，還是用戶雙擊設(shè)備、右鍵點(diǎn)擊“打開”菜單、右鍵點(diǎn)擊“資源管理器”菜單，將都執(zhí)行文件名為731232676.vbs的腳本病毒文件。如此，對于普通用戶而言，只要U盤中毒了，就很容易將病毒傳給計算機(jī)的硬盤，從而傳給任何接入該計算機(jī)的其它的移動存儲設(shè)備［2］。

2.U盤病毒的防范方法

既然U盤病毒的傳播是靠 autorun.inf來實(shí)現(xiàn)，那防范病毒的傳播也該從這個文件著手。實(shí)際上，現(xiàn)在有一部分的殺毒軟件已經(jīng)把這個文件看作是病毒，從而阻止其運(yùn)行了。但我們不能完全依賴這些殺毒軟件，而且有些殺毒軟件并沒有對這個文件進(jìn)行限制，那我們該如何防范帶毒的U盤將病毒傳播到自己的機(jī)器上呢?

從autorun.inf文件的代碼來看，其本質(zhì)就是當(dāng)用戶用各種方式打U盤時激活病毒文件，從而導(dǎo)致病毒傳播。從另一個方面來說，即使U盤帶有病毒，但沒有激活病毒，病毒也不起任何破壞作用，更不會傳播到硬盤中去。那么，如何架空autorun.inf文件，讓其對病毒的激活消失于無形之中呢?

首先，要關(guān)閉系統(tǒng)的自動播放功能。自動播放是微軟系統(tǒng)給用戶提供的一個方便的功能，當(dāng)移動設(shè)備接入電腦時，它會對這個設(shè)備進(jìn)行掃描，搜尋設(shè)備根目錄下的autorun.inf文件，并執(zhí)行文件中的命令。關(guān)閉自動播放功能后，插入U盤時，系統(tǒng)就不會搜尋autorun.inf文件并執(zhí)行其中的命令，從而也就無法激活U盤中的病毒。關(guān)閉自動播放功能很簡單，首先在運(yùn)行菜單中輸入gpedit.msc命令打開組策略編輯器，選擇“計算機(jī)配置”—“管理模板”—“系統(tǒng)”，找到右窗格中的“關(guān)閉自動播放”策略，選擇“已啟用”狀態(tài)即可［3］。

其次，要養(yǎng)成良好的使用移動存儲設(shè)備的習(xí)慣，即不要用鼠標(biāo)右鍵彈出菜單上的“打開”和“資源管理器”兩種方式打開移動存儲設(shè)備，而用“我的電腦”中的資源管理器打開移動存儲設(shè)備，以架空autorun.inf文件中的 shellopencommand和shellexplorecommand兩條命令對病毒的激活［4］。

再次，為了避免移動存儲設(shè)備感染病毒時在設(shè)備中寫入進(jìn)一步激活并傳播病毒autorun.inf文件，可以預(yù)先在移動存儲設(shè)備的根目錄中建立一個內(nèi)容為空、名稱為autorun.inf的文件，并將該文件設(shè)為“只讀”、“系統(tǒng)”屬性，這樣，當(dāng)病毒想在U盤中建立autorun.inf時，就會出現(xiàn)文件名沖突的提示，從而提醒用戶可能中了U盤病毒［5］。

有了以上的三條防范措施后，即使U盤中帶有病毒，只有我們用戶不去主動地運(yùn)行病毒程序，病毒就不會發(fā)作以產(chǎn)生危害，從而為我們下一步的病毒清除贏得時間。

3.小結(jié)

隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用的普及，計算機(jī)病毒也如影隨行，幾乎人人談病毒色變。其實(shí)，病毒并沒有我們想象的那么可怕，只要你了解病毒的運(yùn)行機(jī)制，就可以讓它靜靜地躺在你的U盤或硬盤中而毫無破壞功能。

［1］http：//baike.baidu.com/view/603374.htm［Z］.

［2］張濤.網(wǎng)絡(luò)安全管理技術(shù)專家門診［M］.北京：清華大學(xué)出版社，2005.

［3］微軟幫助文件［Z］.

［4］肖軍模等.網(wǎng)絡(luò)信息安全［M］.北京：機(jī)械工業(yè)出版社，2006.

［5］羅詩堯.黑客攻防實(shí)戰(zhàn)進(jìn)階［M］.北京：電子工業(yè)出版社，2008.

Transmission Analysis＆Prevention of U-Disk Viruses

CHEN Jin-lian
(Huanggang Polytechnic College，Huanggang 438002 Hubei)

Computer viruses have caused considerable distress to people＇s life an work，so that some users are very fear of viruses.U-disk virus is one of those.In fact，computer viruses are not so terrible，as long as we understand their infection principle，avoiding infection is very simple.This paper describes transmission and prevention methods of U-disk virus for users.

Viruses;Auto Play;Transmission of the virus;Activation

TP311.569

A

1672-1047(2011)05-0088-02

10.3969/j.issn.1672-1047.2011.05.23

2011-09-12

陳金蓮，女，碩士，高級工程師。研究方向：網(wǎng)絡(luò)工程，網(wǎng)絡(luò)安全。

［責(zé)任編輯：羅幼平］