周海峰

（國網(wǎng)江蘇省電力有限公司南通供電分公司 江蘇 南通 226499）

1 引言

隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展，計(jì)算機(jī)在人們的工作生活中得到了廣泛的應(yīng)用，在給人們帶來便利的同時，計(jì)算機(jī)病毒隨著信息技術(shù)的發(fā)展，病毒的傳播，給計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)安全帶來了極大的安全隱患，同時移動U盤、移動硬盤等移動存儲載體，因其容量大、便于攜帶、便于使用，在各行各業(yè)中使用率很高。與此同時，U盤已成為惡意木馬和U盤病毒傳播的主要介質(zhì)。通過分析U盤病毒的特征、傳播方式、以及防范措施，希望為大家在日常的計(jì)算機(jī)使用、維護(hù)過程中，提供幫助。

2 計(jì)算機(jī)U盤病毒

計(jì)算機(jī)病毒是非法組織或個人利用計(jì)算機(jī)軟件或硬件漏洞編制的一組指令集或程序代碼[1]。U盤病毒，不是特定的某個病毒，是存在于電腦硬盤或者移動存儲介質(zhì)中或者網(wǎng)絡(luò)上，可以通過U盤等存儲介質(zhì)來傳播的病毒。U盤因其小巧方便，被大眾廣泛用來數(shù)據(jù)存儲、數(shù)據(jù)交換，與此同時，U盤病毒的數(shù)量同比上升，國家計(jì)算機(jī)病毒處理中心發(fā)布公告稱U盤已成為病毒和惡意木馬程序傳播的主要途徑。U盤病毒主要通過打開U盤時自動播放和Autorun文件來執(zhí)行病毒程序，將病毒程序復(fù)制到計(jì)算機(jī)系統(tǒng)中從而使計(jì)算機(jī)中毒，同時中毒的計(jì)算機(jī)也會感染插入該計(jì)算機(jī)的移動盤。

3 計(jì)算機(jī)U盤病毒的特征和傳播方式

歸納起來，計(jì)算機(jī)病毒有如下特征：

3.1 攻擊隱蔽性

計(jì)算機(jī)病毒跟其他計(jì)算機(jī)程序一樣，是一段可執(zhí)行程序，計(jì)算機(jī)病毒在運(yùn)行后攻擊計(jì)算機(jī)，與用戶爭奪系統(tǒng)或數(shù)據(jù)的控制權(quán)，不易被人發(fā)現(xiàn)。

3.2 傳染性

病毒可通過各種渠道從受感染計(jì)算機(jī)復(fù)制到其他計(jì)算機(jī)、存儲設(shè)備上。

3.3 傳染渠道廣

病毒可以通過移動存儲設(shè)備（U盤）、互聯(lián)網(wǎng)、電子郵件以及即時通信軟件比如微信、騰訊QQ等方式入侵計(jì)算機(jī)系統(tǒng)并不斷傳播。

3.4 潛伏性

病毒可以潛伏在計(jì)算機(jī)系統(tǒng)而不造成破壞，等滿足一定條件(比如打開某一特定程序、到達(dá)某一時間點(diǎn)等)后，就啟動病毒程序?qū)ο到y(tǒng)進(jìn)行攻擊。

3.5 破壞力強(qiáng)

計(jì)算機(jī)U盤病毒一旦發(fā)作，輕則造成系統(tǒng)卡頓、影響用戶正常使用，造成系統(tǒng)死機(jī)、無法正常操作計(jì)算機(jī)；重則造成數(shù)據(jù)丟失、數(shù)據(jù)損壞、或者被非法加密，用戶無法正常使用計(jì)算機(jī)中的數(shù)據(jù)，對企業(yè)來講，有可能造成機(jī)密數(shù)據(jù)丟失、大量用戶信息的泄露，從而對企業(yè)正常運(yùn)營造成影響、對個人生命財(cái)產(chǎn)安全帶來危害。

3.6 針對性強(qiáng)

部分U盤病毒的編制有針對性，潛伏在個人或企業(yè)的計(jì)算機(jī)系統(tǒng)中，等待時機(jī)進(jìn)行攻擊，進(jìn)而獲取特定數(shù)據(jù)或者入侵信息系統(tǒng)。

根據(jù)江民病毒疫情監(jiān)測預(yù)警中心2021年7月的統(tǒng)計(jì)數(shù)據(jù)，病毒種類：655種，病毒發(fā)現(xiàn)數(shù)量：10784個，病毒感染計(jì)算機(jī)數(shù)量：1848臺，新病毒種類：167種，新病毒發(fā)現(xiàn)數(shù)量：384個，新病毒感染計(jì)算機(jī)數(shù)量：260臺，其中排名前10的病毒感染情況如圖1。

圖1 2021年7月江民病毒疫情監(jiān)測預(yù)警中心月度病毒排名前十?dāng)?shù)據(jù)

圖1中，可通過U盤傳播的Trojan木馬病毒占比達(dá)60%。如何防范和處理U盤病毒成為個人和企業(yè)計(jì)算機(jī)使用中必須面對的工作。

U盤病毒的自動播放方式：U盤病毒一般利用操作系統(tǒng)的自動播放功能來運(yùn)行，U盤病毒也稱Autorun病毒，通過更改AutoRun.inf文件，從而運(yùn)行計(jì)算機(jī)中的程序。一般經(jīng)由修改U盤自帶的AutoRun.inf文件，從而自動運(yùn)行和傳播內(nèi)置在U盤中的非法程序的病毒，都可以稱為U盤病毒。隨著U盤、各種SD卡、移動硬盤等各種移動存儲介質(zhì)的普及，U盤病毒也開始猖獗。病毒首先在U盤中注入病毒程序、更改autorun.inf文件。autorun.inf文件記錄了用戶選擇哪種方式來打開U盤。如果autorun.inf文件指向了病毒木馬，那么運(yùn)行后，就會激活病毒。有的病毒還會檢測U盤插入操作，檢測到之后會新建一個autorun.inf文件，一個新的帶毒U盤就誕生了。用戶的U盤插入受感染的計(jì)算機(jī)、拷貝帶毒U盤，都可能感染U盤病毒。用戶使用帶毒U盤時，只要插上U盤，通過計(jì)算機(jī)系統(tǒng)自動播放或者用戶雙擊打開，就會自動運(yùn)行病毒編制者預(yù)設(shè)的程序，從而對計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)造成破壞[2]。

4 U盤病毒的防范措施

在了解了U盤病毒的傳播特征和運(yùn)行原理后，我們可以使用安全移動存儲介質(zhì)加密工具，普通的U盤或者移動硬盤內(nèi)數(shù)據(jù)經(jīng)過高強(qiáng)度加密處理，用戶在授權(quán)計(jì)算機(jī)使用安全U盤時，輸入安全密碼可以讀取或?qū)懭氚踩玌盤中的數(shù)據(jù)[3]，這種方式杜絕了用戶雙擊U盤時計(jì)算機(jī)感染病毒的風(fēng)險(xiǎn)，降低了U盤和計(jì)算機(jī)之間相互復(fù)制傳播病毒的幾率，維護(hù)了企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，預(yù)防和控制了計(jì)算機(jī)病毒的感染、傳播和擴(kuò)散的途徑，保證了企業(yè)信息系統(tǒng)的正常運(yùn)行。

除了使用U盤加密來降低病毒感染率，針對U盤的特點(diǎn)和傳播方式，我們還可以使用以下防護(hù)措施來防止U盤病毒的入侵：

4.1 關(guān)閉系統(tǒng)自動播放功能

操作系統(tǒng)默認(rèn)情況下，會自動打開插入的光盤或U盤，用戶插入U(xiǎn)盤后，會自動運(yùn)行U盤中autorun指定的程序，病毒通過插入U(xiǎn)盤這個簡單的動作，在用戶沒有其他任何操作的情況下，悄悄地運(yùn)行自帶的惡意程序。為了防范這種傳播方式，我們可以關(guān)閉系統(tǒng)在插入U(xiǎn)盤時的自動播放功能，關(guān)閉后，插入即運(yùn)行的操作就被阻止了。

關(guān)閉自動播放功能：WindowsXp系統(tǒng)用戶可以直接在“開始-運(yùn)行”中輸入“gpedit.msc”后打開“本地組策略編輯器”。在“計(jì)算機(jī)配置”或者“用戶配置”下，找到“管理模板”下面的“系統(tǒng)”，在“設(shè)置”中找到并配置“關(guān)閉自動播放”設(shè)置為對所有驅(qū)動器“已啟用”即可。

Win7用戶可以在“控制面板”中直接找到并打開“自動播放”選項(xiàng)，把前面的√去掉即可。

我們還可以通過關(guān)閉系統(tǒng)相關(guān)服務(wù)來停止自動播放功能：在“計(jì)算機(jī)管理”下面的“服務(wù)”中找到“Shell Hardware Detection”項(xiàng)，直接改為“已禁用”即可。

4.2 修改注冊表鍵值/備份注冊表

在關(guān)閉U盤自動播放功能后，用戶雙擊U盤盤符后，病毒依然會自動運(yùn)行感染系統(tǒng)，這個時候用戶可以通過修改注冊表鍵值來阻止雙擊操作時U盤內(nèi)置程序自動運(yùn)行：在“開始”--“運(yùn)行”中輸入“regedit”，打開注冊表編輯器，直接查找鍵值“MountPoints2”，找到后右鍵單擊“MountPoints2”；設(shè)置權(quán)限：把“組或者用戶名”中所有的組或者用戶分別設(shè)置“RESTRICTED的權(quán)限”為“拒絕”。這樣設(shè)置后，系統(tǒng)即便讀取了Autorun.inf文件，相關(guān)運(yùn)行U盤的程序也不會出現(xiàn)在系統(tǒng)的右鍵菜單中，雙擊盤符不會運(yùn)行Autorun.inf文件，而是直接打開其中的內(nèi)容，從而阻止了病毒程序的運(yùn)行。

部分病毒攻擊系統(tǒng)時會通過更改注冊表來運(yùn)行病毒程序，我們還可以在系統(tǒng)純凈的狀態(tài)下，備份注冊表數(shù)據(jù)，當(dāng)系統(tǒng)出現(xiàn)異常時，可以通過恢復(fù)注冊表來阻止病毒的破壞。

4.3 為磁盤創(chuàng)建Autorun.inf文件夾

因?yàn)閁盤病毒的傳播離不開Autorun.inf文件，我們可以給磁盤創(chuàng)建一個“Autorun.inf”文件，當(dāng)U盤病毒嘗試復(fù)制時，病毒因無法創(chuàng)建autorun.inf文件，這時就算沒有關(guān)閉自動播放功能，雙擊磁盤也不會運(yùn)行病毒程序[4]。

4.4 使用鼠標(biāo)右鍵打開U盤

很多用戶在使用U盤時，在插入U(xiǎn)盤后直接雙擊盤符打開U盤，如果U盤存在病毒，用戶的雙擊操作，有可能直接被認(rèn)定為運(yùn)行U盤中的病毒程序，從而導(dǎo)致用戶的數(shù)據(jù)遭到破壞。因此，我們在插入U(xiǎn)盤后，可以采用在“我的電腦”鼠標(biāo)右擊盤符打開U盤，或者在“我的電腦”的地址欄中直接輸入U(xiǎn)盤盤符，這些操作，避免了雙擊U盤運(yùn)行U盤內(nèi)置程序的隱患，這樣操作即使U盤中有病毒程序也不會運(yùn)行。也可以在插入U(xiǎn)盤前，按住“Shift”鍵，再插入U(xiǎn)盤，過幾秒后松開，這樣也可以阻止U盤在插入計(jì)算機(jī)后自動運(yùn)行U盤內(nèi)的程序。

4.5 清除U盤病毒

如果用戶在使用中發(fā)現(xiàn)計(jì)算機(jī)中了U盤病毒，我們可以重新啟動計(jì)算機(jī)，開機(jī)時按“F8”，選擇進(jìn)入安全模式。在“開始”--“運(yùn)行”中輸入regedit，打開注冊表編輯器，找到“計(jì)算機(jī)HKEY_CLASS_ROOTDriveShell”，如果下面有鍵值“Autorun”就刪除。如果中毒比較嚴(yán)重，就需要專用U盤病毒清除工具：例如USBKiller、USBCleaner等工具來清除，同時檢查計(jì)算機(jī)是否及時安裝操作系統(tǒng)補(bǔ)丁，殺毒軟件的病毒庫是否升級到最新等。

5 結(jié)語

為了維護(hù)企業(yè)計(jì)算機(jī)計(jì)算機(jī)系統(tǒng)以及用戶數(shù)據(jù)的安全，預(yù)防和控制計(jì)算機(jī)病毒的傳播和擴(kuò)散，保障企業(yè)各項(xiàng)應(yīng)用系統(tǒng)的穩(wěn)定以及用戶數(shù)據(jù)的安全，可以使用一些安全移動存儲介質(zhì)加密工具對U盤進(jìn)行加密，能較好地降低U盤病毒傳播的問題，計(jì)算機(jī)用戶要確保計(jì)算機(jī)安裝了殺毒軟件并定期查殺病毒、木馬、更新病毒定義碼[5]；使用安全U盤并為操作系統(tǒng)和各個應(yīng)用系統(tǒng)設(shè)置足夠安全的密碼；在使用外來U盤進(jìn)行數(shù)據(jù)交換前，首先查殺病毒、木馬；在存儲重要數(shù)據(jù)的計(jì)算機(jī)上，專盤專用并使用經(jīng)過數(shù)據(jù)加密安全盤，保證數(shù)據(jù)傳輸?shù)陌踩?；為防止感染病毒造成?shù)據(jù)丟失，涉密的U盤還應(yīng)做好數(shù)據(jù)備份、控制使用區(qū)域等措施。計(jì)算機(jī)用戶養(yǎng)成良好的U盤使用習(xí)慣，提升企業(yè)、個人用戶的病毒防范意識，有助于提升企業(yè)、個人用戶數(shù)據(jù)的安全水平。