蔣文浩

該文就目前U盤病毒的表象和癥狀進(jìn)行了分析，并提出了可行的解決方案。

U盤；U盤病毒；癥狀；解決方案

隨著U盤的廣泛使用，U盤感染病毒的現(xiàn)象也相應(yīng)增多。目前更出現(xiàn)專門利用U盤傳播的病毒。如果出現(xiàn)雙擊U盤無響應(yīng)或顯示U盤內(nèi)容為0字節(jié)等現(xiàn)象，那么你的U盤中毒了。

1.U盤病毒的危害

U盤病毒作為一種傳染性病毒，其危害如下：

導(dǎo)致U盤無法正常使用；破壞軟件系統(tǒng)，影響工作；刪除文件，篡改數(shù)據(jù)；遠(yuǎn)程控制，竊取資料。

2.U盤病毒的特點(diǎn)、目的及癥狀

U盤病毒的概念是：只要是通過感染U盤而在電腦間傳播的病毒都被稱為U盤病毒。U盤病毒的特點(diǎn)在于利用了Windows操作系統(tǒng)自動播放的特性，讓用戶在毫無察覺的情況下中毒。U盤病毒的目的是竊取染毒電腦里用戶的個人信息及各種密碼，破壞染毒電腦里的文件和操作系統(tǒng)，致使系統(tǒng)運(yùn)行緩慢，頻繁死機(jī)。

U盤被病毒感染后，會出現(xiàn)一些癥狀，如：U盤無法顯示文件；U盤的文件損壞；U盤無法格式化；U盤文件被隱藏等。

3.U盤病毒的原理

U盤病毒通常利用Windows系統(tǒng)的自動播放功能進(jìn)行傳播。自動播放功能是Windows系統(tǒng)為客戶提供方便的一種特性，當(dāng)這種功能啟用時，U盤或光盤插入到計(jì)算機(jī)上時無須用戶干預(yù)，就會自動運(yùn)行介質(zhì)中的指定程序，從而實(shí)現(xiàn)軟件自動安裝、媒體自動演示等功能。這一功能是通過U盤或光盤中的系統(tǒng)隱藏文件Autorun.inf來實(shí)現(xiàn)的，它是一個存放在驅(qū)動器根目錄下的一個純文本腳本文件，保存著一些簡單的命令，指定系統(tǒng)自動運(yùn)行的程序名稱和路徑。Autorun.inf本身是一個安裝信息文件，而不是病毒，但病毒程序通過它就可以實(shí)現(xiàn)U盤或者可移動設(shè)備的自動運(yùn)行。當(dāng)用戶雙擊U盤盤符時，便自動調(diào)用該文件，在用戶完全不知情的情況下，“自動”運(yùn)行該文件指定的U盤中的病毒程序，向各硬盤分區(qū)的根目錄拷貝病毒體和Autorun.inf。

4.U盤病毒的解決方法

在電腦上無法顯示U盤信息時，可以根據(jù)不同的情況，使用不同方法應(yīng)對。

病毒修改文件顯示屬性的解決方法。在插入U(xiǎn)盤前，先確認(rèn)一下要操作的計(jì)算機(jī)是不是也中毒了。如果已經(jīng)中毒，就不要插入U(xiǎn)盤，以免U盤被感染。

首先在桌面上建立一個RAR的壓縮包文件，然后打開壓縮包文件，再選擇"添加"，可以找到U盤，打開U盤后會看到里面的文件包括系統(tǒng)隱藏的文件，然后再打開里面的文件，這種方式打開U盤可以保證本臺計(jì)算機(jī)安全。正常的雙擊打開U盤可能不會使電腦中毒，但仍無法查閱U盤中被隱藏的文件。

然后，用DOS命令來恢復(fù)文件的顯示模式。在"開始"----"運(yùn)行"----輸入cmd回車，進(jìn)入DOS界面。在DOS提示符后輸入U(xiǎn)盤的盤符，然后回車。如果U盤插入后默認(rèn)為F盤，就輸入了F，回車進(jìn)入F盤。然后輸入命令恢復(fù)顯示文件attrib/d/s-s-h-a-r。attrib是調(diào)整文件的屬性，/s/d表示所有文件，s表示System系統(tǒng)屬性，h表示隱藏屬性，a表示存檔文件屬性，r表示只讀文件屬性。此舉可恢復(fù)文件的顯示屬性，使文件“可見”。

U盤病毒AutoRun.inf的解決方法。U盤感染AutoRun.inf病毒后，會調(diào)用Windows的自動播放功能，自動運(yùn)行病毒。解決方法：直接刪除盤符里的AutoRun.inf文件和sxs.exe文件。由于這兩個文件是隱藏的，在Windows下是看不見的（即使顯示所有文件也看不見）。因此，這里介紹幾種解決方法。

方法一是組策略關(guān)閉AutoRun功能。

如果想一次全部禁用Windows XP的自動播放功能，可以按下述步驟操作：

①單擊“開始→運(yùn)行”，在“打開”框中，鍵入“gpedit.msc”，單擊“確定”按鈕，打開“組策略”窗口；

②在左窗格的“本地計(jì)算機(jī)策略”下，展開“計(jì)算機(jī)配置→管理模板→系統(tǒng)”，然后在右窗格的“設(shè)置”標(biāo)題下，雙擊“關(guān)閉自動播放”；

③單擊“設(shè)置”選項(xiàng)卡，選中“已啟用”復(fù)選鈕，然后在“關(guān)閉自動播放”框中單擊“所有驅(qū)動器”，單擊“確定”按鈕，最后關(guān)閉“組策略”窗口。

方法二是修改注冊表，在注冊表中關(guān)閉AutoRun功能。具體操作如下：

①在“開始”菜單的“運(yùn)行”中輸入Regedit，打開注冊表編輯器，展開到HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Exploer主鍵下，在右側(cè)窗格中找到“NoDriveTypeAutoRun”（就是這個鍵決定了是否執(zhí)行）

②雙擊“NoDriveTypeAutoRun”，在默認(rèn)狀態(tài)下沒有禁止AutoRun功能，在彈出窗口中可以看到“NoDriveTypAutoRun”默認(rèn)鍵值為95，00，00，00。其中第一個值“95”是十六進(jìn)制值，它是所有被禁止自動運(yùn)行設(shè)備的和。將“95”轉(zhuǎn)為二進(jìn)制就是10010101，其中每位代表一個設(shè)備，Windows中不同設(shè)備會用不同的數(shù)值表示。

方法三是修改權(quán)限法，具體操作如下：

①點(diǎn)開始->運(yùn)行輸入regedit.exe回車；

②[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼MountPoints2]；

③右鍵點(diǎn)MountPoints2選擇權(quán)限；

④依次點(diǎn)擊“安全中的用戶和組”，在下面的權(quán)限中都改成拒絕；

⑤刷新一遍，此后即使U盤有病毒也不會激活，可正常進(jìn)入U(xiǎn)盤。

方法四是隱藏驅(qū)動器法，具體操作如下：打開注冊表編輯器，進(jìn)入HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer，新建二進(jìn)制值“NoDrives”，缺省值是00000000，表示不隱藏任何驅(qū)動器。鍵值由4個字節(jié)組成，每個字節(jié)的每一位（bit）對應(yīng)從A到Z的一個盤，當(dāng)相應(yīng)位為1時，“我的電腦”中的相應(yīng)驅(qū)動器就被隱藏了。第一個字節(jié)代表從A到H的八個盤，即01為A、02為B、04為C……依此類推，第二個字節(jié)代表I到P；第三個字節(jié)代表Q到X；第四個字節(jié)代表Y和Z。U盤的盤符是接著現(xiàn)有盤符往下推。如果硬盤已經(jīng)分區(qū)為C、D、E、F，那么U盤采用G：作為盤符，再插入一個U盤就用H：。此時只需將G：和H：隱藏，則插入U(xiǎn)盤也不會在“我的電腦”里顯示。當(dāng)然，用注冊表編輯器修改注冊表的方法操作起來較為復(fù)雜，現(xiàn)在有很多專門修改注冊表的軟件，如WINDOWS優(yōu)化大師中展開“系統(tǒng)性能優(yōu)化/系統(tǒng)安全優(yōu)化/更多設(shè)置/選擇要隱藏的驅(qū)動器”，將要隱藏的盤符前的"□"里打"√"，確定即可。

方法五是禁止創(chuàng)建AutoRun.inf，具體操作如下：在根目錄下建立一個文件夾，名字就叫AutoRun.inf。由于Windows規(guī)定在同一目錄中，同名的文件和文件夾不能共存，這樣病毒就無法創(chuàng)建AutoRun.inf文件，即使您雙擊盤符也不會運(yùn)行病毒。

[1]張偉.新型U盤病毒的防止辦法[J].電腦知識與技術(shù)，2008.29

[2]范志力，孫靜麗，包春芳等.U盤病毒及其應(yīng)對策略[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2008.24

[3]丁彥英.常見U盤病毒故障分析[J].福建電腦，2008.07