曾光中，曹冠英，郭學(xué)軍

(1.湖南科技大學(xué)圖書館，湖南 湘潭 411201;2.湖南工業(yè)大學(xué)圖書館，湖南 株洲 412008)

1 U盤概述

U盤是一種新型的移動存儲產(chǎn)品，是基于USB接口的微型高容量活動盤，主要用于存儲較大的數(shù)據(jù)文件，可在電腦之間方便地交換文件。它不需要物理驅(qū)動器，也不要外接電源，可熱插拔，即插即用，使用非常簡單方便。U盤體積很小，重量極輕，存取速度快，約為軟盤速度的15倍，容量大(現(xiàn)在一般可達到16GB或更大)，可靠性好，可擦寫達100萬次，數(shù)據(jù)可保存10年，可寫保護，抗震防潮，特別適合隨身攜帶，是移動辦公及文件交換理想的存儲產(chǎn)品［1］。除原有純存儲型U盤外，現(xiàn)在又有了新一代的啟動型優(yōu)盤，通過獨有的軟、硬盤開關(guān)，可以提供USB外置軟驅(qū)、硬盤功能，通過模擬USB軟驅(qū)及USB硬盤，直接引導(dǎo)系統(tǒng)啟動［2］。

正是由于U盤有如此眾多的優(yōu)點，其使用已相當普及，來電子閱覽室的讀者可謂人手一個，有的甚至有多個。然而，恰恰是這些U盤給圖書館電子閱覽室的管理帶來了極大的負擔(dān)——那就是U盤病毒的侵擾。

2 U盤病毒概述

顧名思義，U盤病毒就是通過U盤傳播的病毒。自從發(fā)現(xiàn)U盤的autorun.inf漏洞以后，U盤病毒的數(shù)量就與日俱增。

常見的U盤病毒有:autorun.inf、sxs.Exe、folder.Exe等，這些病毒不只會存在于移動磁盤里，如果計算機系統(tǒng)中沒有安裝殺毒軟件，也會感染到計算機的其他硬盤中，硬盤中此病毒可能難以用USB Cleaner v6.rar清除。病毒程序的隱藏方式有:①作為系統(tǒng)文件隱藏。因為一般系統(tǒng)文件是看不見的，所以這樣就達到了隱藏的效果。②偽裝成其他文件。由于一般人們不會顯示文件的后綴，或者是文件名太長看不到后綴，于是有些病毒程序?qū)⒆陨韴D標改為其他文件的圖標，導(dǎo)致用戶誤打開。③藏于系統(tǒng)文件夾中［3］。

最近，一種U盤蠕蟲病毒偽裝成電影種子或視頻文件以吸引用戶下載，還利用U盤大肆傳播，并會搜集電腦中的隱私和機密信息，并將全部信息發(fā)送到黑客指定地址。該病毒由以下文件組成:autorun.inf、msvcr71.dll、RavMonE.Exe、RavMonLog。當用戶雙擊U盤盤符，會激活autorun.inf自動加載Rav-MonE.Exe，中毒之后，計算機識別U盤時會極為緩慢，病毒又會傳染給新的U盤。U盤的打開方式里首選一個auto，就是用來激活被感染U盤中的病毒文件，繼續(xù)感染其他電腦。這種病毒還把機器從某些端口連接指定IP，并從另外的端口向另一指定IP發(fā)送數(shù)據(jù)，還能偷偷地打開某電腦的遠程登錄程序，這對于個人隱私以及個人信息的保護來說存在著很大的安全隱患［4］。

目前，U盤病毒的傳播方式已不像當初只在U盤根目錄下生成一個autorun.inf的引導(dǎo)文件那么簡單了。最新的U盤病毒變種方式有:首先是把U盤下所有文件夾隱藏，并把自己復(fù)制成與原文件夾名稱相同的具有文件夾圖標的文件，當點擊時病毒就會執(zhí)行且該病毒會打開該名稱的文件夾;其次是在U盤的所有可執(zhí)行文件里插入病毒本身。還有的是直接在每一個文件夾下面生成一個與該文件夾同名的exe文件，這就更具有混淆性。目前已經(jīng)發(fā)現(xiàn)的有固定名稱的病毒有:autorun.inf、AdobeR.Exe、bittorrent.Exe、copy.Exe、desktop.Exe、desktop2.Exe、folder.Exe、host.Exe、msinfmgr.Exe、msvcr71.dll、Rav-MonE.Exe、RavMonLog、RECYCLER〔.*、RECYCLER、SHE.Exe、sxs.Exe、SYSTEM.VER、toy.Exe、setup.pif、WORM_SILLYDC等［5］。

在系統(tǒng)中發(fā)現(xiàn)有wuauserv.Exe這個進程時，則可能已經(jīng)中毒了，表現(xiàn)的方式是無法顯示計算機中隱藏的文件和文件夾，即使在文件夾選項中選擇了“顯示所有文件和文件夾”，確定后又會自動改回去。感染病毒后，U盤里會帶一個desktop.Exe的病毒文件，有一個folder.Exe文件，還可能有desktop2.Exe文件，都為隱藏狀態(tài)。有一些偽裝成受系統(tǒng)保護的文件，感染到電腦后會生成SVCHOST.EXE病毒母本。

一種名為“隨機8位數(shù)”的木馬病毒，也可通過U盤、MP3、移動硬盤等移動存儲設(shè)備瘋狂傳播。該病毒采用“映像劫持”技術(shù)，病毒運行后，會產(chǎn)生一個由數(shù)字和字母隨機組成的8位名稱的病毒進程，使系統(tǒng)運行速度變慢，并且嘗試關(guān)閉殺毒軟件、防火墻和安全工具進程，造成殺毒操作困難，無法升級病毒庫，危害較大。

網(wǎng)絡(luò)上流行的“rose.Exe”病毒，也通過U盤等移動存儲設(shè)備傳播。它最初的表現(xiàn)為右鍵單擊電腦里各個盤符時，第一項由原來的“打開”變成了“自動播放”，然后在系統(tǒng)進程里會出現(xiàn)若干個“rose”進程，占用電腦的CPU資源。在移動存儲設(shè)備內(nèi)文件無法剪切、移動存儲設(shè)備無法移出等，尤其在公用電腦上表現(xiàn)極為明顯，傳播更為迅速。

Worm/AutoRun.cbm“U盤寄生蟲”變種cbm是“U盤寄生蟲”蠕蟲家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理。病毒長度為49，781字節(jié)。與“卡拉蜜”(Packed.Krap.ju)類似，該病毒是由其他惡意程序釋放出來的DLL病毒文件，一般會被注入到幾乎所有用戶級權(quán)限的進程中運行，隱藏自身以蒙蔽用戶和防止被查殺，影響平臺包括Win 9X/ME/NT/2000/XP/2003。

“U盤寄生蟲”變種cbm是一個專門盜取即時聊天工具“騰訊QQ”賬號信息的木馬程序，會在被感染計算機的后臺秘密監(jiān)視用戶打開的所有應(yīng)用程序窗口標題，一旦發(fā)現(xiàn)“騰訊QQ”的登錄窗口便會強行破壞其“鍵盤保護鎖”，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取“QQ”的賬號信息，并在后臺將竊取到的內(nèi)容發(fā)送到黑客指定的遠程服務(wù)器站點上，給用戶造成了一定程度上的損失?！癠盤寄生蟲”變種cbm還會修改系統(tǒng)注冊表，實現(xiàn)開機自動運行。

有一種在局域網(wǎng)內(nèi)流傳的U盤病毒，能在磁盤內(nèi)建立page file等自動運行文件，使磁盤無法雙擊打開，并能自動關(guān)閉殺毒軟件的運行，阻止安全軟件的安裝，甚至修改或刪除.exe和.doc文件，給用戶帶來麻煩。

3 U盤病毒的防范

現(xiàn)在電子閱覽室所有電腦都有USB接口，U盤等移動存儲設(shè)備似乎已成為讀者的生活必需品，讀者進入電子閱覽室上機幾乎必用U盤。然而，由于現(xiàn)有殺毒軟件的缺陷，讀者使用U盤等設(shè)備傳播的病毒已成為電子閱覽室乃至圖書館局域網(wǎng)安全的重大隱患。病毒通過U盤入駐電腦后，會占用大量資源，導(dǎo)致CPU使用率極高，系統(tǒng)運行困難。一些病毒通過互聯(lián)網(wǎng)自動下載病毒程序，包括一些木馬或流氓插件等，一旦一臺電腦感染了病毒，整個局域網(wǎng)也因感染U盤傳播的病毒而受到大量垃圾數(shù)據(jù)信號攻擊，流量阻塞而導(dǎo)致網(wǎng)絡(luò)癱瘓。如何防范U盤病毒已成為電子閱覽室乃至圖書館計算機及其網(wǎng)絡(luò)安全維護工作的又一重點。以下介紹防范U盤病毒的方法:①使用正版軟件，并對系統(tǒng)軟件及時升級，彌補漏洞，努力保持系統(tǒng)的完整性、安全性，從系統(tǒng)層面杜絕外部不安全因素的入侵。②安裝殺毒軟件包括防火墻，并要及時升級。③建立嚴格的上機制度，嚴格控制讀者瀏覽不良網(wǎng)站，并要求讀者使用U盤時要先查殺病毒。④建議插入U盤時，不要雙擊U盤。一個更好的技巧是:插入U盤前，按住Shift鍵，然后插入U盤，建議按鍵的時間長一點。U盤插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤。⑤關(guān)閉自動播放封殺病毒傳播。一般來說當我們把光盤或者U盤插到員工計算機后系統(tǒng)會馬上出現(xiàn)一個自動播放的對話框，讓我們選擇打開方式，這種自動播放功能很容易造成病毒的入侵，關(guān)閉系統(tǒng)的自動播放功能可以封殺病毒傳播途徑。方法是:通過系統(tǒng)左下角的“開始”“運行”“輸入gpedit.msc”，單擊“確定”按鈕，打開“組策略”窗口，在左窗格的“本地計算機策略”下，展開“計算機配置管理模板系統(tǒng)”，然后在右窗格的“設(shè)置”標題下，雙擊“關(guān)閉自動播放”。⑥采取趨勢科技推出的網(wǎng)絡(luò)安全專家(TIS)2008產(chǎn)品中提供的針對U盤病毒的解決方案，即免疫、查殺、啟發(fā)式檢測三項防范技術(shù)，形成有效的主動防御應(yīng)對方案。這其中的“免疫”技術(shù)專門針對U盤插入電腦后的自運行功能，而這個本是方便使用者的功能經(jīng)常會被病毒制造者利用，使病毒在用戶完全不知情的情況下自動執(zhí)行。這項“免疫”技術(shù)能自動禁用包括U盤在內(nèi)的所有移動設(shè)備的自動播放功能，讓U盤病毒無法自動激活，封鎖了病毒侵入計算機的通路。由于該解決方案是嵌入到殺毒軟件內(nèi)部的，與系統(tǒng)防火墻同步運行，所以用戶不用單獨執(zhí)行任何操作，即可避免從插入U盤到查殺病毒之間的防御“真空”?！安闅ⅰ奔夹g(shù)會自動搜索并刪除所有磁盤根目錄下的autorun.inf文件，并根據(jù)這個文件的信息反向查殺已知和未知的病毒體文件和進程，使病毒無處藏身?！皢l(fā)式檢測”可以檢測可疑autorun.inf文件，并阻止對該文件的訪問，以阻止U盤病毒通過autorun.inf激活，抑制U盤病毒的傳播。

總之，要多管齊下，多項技術(shù)互相支撐，使電子閱覽室盡可能地避免或減少U盤病毒的侵襲，以全方位保障電子閱覽室和圖書館的網(wǎng)絡(luò)安全。

［1］ 什么叫U盤?.http：//iask.sina.com.cn/b/369003.html.2004-12-13.

［2］ SilveryMoon910.U盤是什么?.http：//zhidao.baidu.com/question/30280453.html.2007-7-10.

［3］ tieshashi.常見的u盤病毒有哪些.http：//zhidao.baidu.com/question/28038030.html.2007-6-11.

［4］ 最近流行的U盤病毒有哪些.http：//shequ.qihoo.com/q/shopping/14397219.html.2008-08-16.

［5］ monyer.手把手地教你干掉目前所有的U盤病毒.http：//publish.it168.com/2007/0621/20070621003301.shtml.2007-06-21.