【摘 要】隨著USB設(shè)備的普及應(yīng)用，計算機經(jīng)常感染Ｕ盤病毒。感染Ｕ盤病毒的計算機中會出現(xiàn)額外的文件和文件夾，同時系統(tǒng)運行過程中會出現(xiàn)一些異常現(xiàn)象，操作者需要關(guān)注這些染毒征兆，以及時應(yīng)對。

【關(guān)鍵詞】U盤病毒;感染;征兆

Ｕ盤病毒泛指經(jīng)由USB接口傳播的病毒，主要借助autorun.inf這個文件的自動運行功能，讓操作系統(tǒng)激活病毒程序。Ｕ盤病毒通過用戶USB接口直接侵入電腦內(nèi)部，輕松突破防火墻等網(wǎng)絡(luò)設(shè)備，在USB設(shè)備和計算機系統(tǒng)之間反復(fù)傳播，渠道便捷，危害嚴(yán)重。因為病毒體被激活后需要自我復(fù)制，產(chǎn)生變種，還要破壞數(shù)據(jù)或影響系統(tǒng)的正常運行，所以病毒總會留下蛛絲馬跡，用戶需要嚴(yán)密關(guān)注各種細(xì)微征兆，以及時采取有效的應(yīng)對措施。

計算機感染Ｕ盤病毒后，一般有以下表現(xiàn)：

１．病毒駐留系統(tǒng)內(nèi)存

計算機感染Ｕ盤病毒后，病毒會偽裝成自啟動的常駐程序，潛藏在系統(tǒng)服務(wù)中，同時自動復(fù)制到硬盤的每個分區(qū)上，在“C:\\windows\\system32”文件夾下創(chuàng)建可執(zhí)行文件，或建立一個隱藏的系統(tǒng)文件夾來存放病毒程序。如果用戶重裝系統(tǒng)而不是格式化硬盤，這些文件會被保留下來。病毒駐留系統(tǒng)內(nèi)存，往往比較隱蔽，普通用戶很難看出來，需要借助一些病毒掃描軟件才能發(fā)現(xiàn)。

2.存儲設(shè)備出現(xiàn)額外文件和文件夾

計算機系統(tǒng)感染Ｕ盤病毒后，Ｕ盤、移動硬盤或硬盤根目錄會多出來一個autorun.inf文件，或RECYCLER.exe、Recycle.exe等文件夾。由于這些文件和文件夾被設(shè)置成隱藏的系統(tǒng)文件，需要在windows操作系統(tǒng)中顯示所有隱藏文件和隱藏文件夾，同時顯示完整的文件后綴名，用戶才能發(fā)現(xiàn)這些額外的文件或文件夾。

如果Ｕ盤根目錄有一個autorun.inf文件，而且不是用戶自己建立的，則可能潛藏著Ｕ盤病毒。不過，隱藏autorun.inf屬于初級手法，特征太明顯，所以很多Ｕ盤病毒通過偽裝，誘使操作者點擊某個文件夾來運行病毒。此類Ｕ盤病毒掃描Ｕ盤上的文件夾，將原本正常的文件夾“隱藏”起來，變?yōu)椴豢梢姞顟B(tài)，而把病毒文件命名為現(xiàn)有文件夾的名稱（加上隱藏的擴展名），并且采用相同的圖標(biāo)。因為windows操作系統(tǒng)出廠的默認(rèn)設(shè)置下不顯示隱藏的文件和文件夾，以及已知類型的文件擴展名，所以操作者一般不易察覺。當(dāng)操作者點擊這個偽裝過的病毒文件夾后，就會激活病毒體，讓病毒程序運行，同時，它還會打開原來的文件夾，就像一切都沒有發(fā)生過一樣。但是，計算機已經(jīng)中毒了。其實，通過顯示系統(tǒng)文件夾和隱藏文件夾的方法，就會發(fā)現(xiàn)病毒文件夾有一個exe擴展名，往往還刪除不掉。另外，還有一些Ｕ盤病毒，會刪除用戶本身的可執(zhí)行文件，并以冒名頂替的病毒程序取而代之，危害更大。

3.病毒造成異常操作現(xiàn)象

計算機感染Ｕ盤病毒后，系統(tǒng)會出現(xiàn)一些異?，F(xiàn)象，比如任務(wù)管理器無法打開、文件夾選項中無法修改“顯示所有文件和文件夾”等選項。同時，右鍵點擊Ｕ盤、移動硬盤或硬盤根目錄，彈出的右鍵菜單中會有一項“自動運行”，這說明該盤符下存在一個autorun.inf文件，很可能指向病毒程序。

此外，鼠標(biāo)左鍵雙擊某個磁盤分區(qū)時，出現(xiàn)“找不到程序”、“無法打開分區(qū)”等出錯提示信息，表明曾經(jīng)可能中過U盤病毒。這種現(xiàn)象是由于U盤病毒被殺毒軟件清除了，但autorun.inf文件未被清除，仍然保留在磁盤分區(qū)根目錄上。用戶雙擊磁盤分區(qū)時會啟動autorun.inf文件，但是它指向的病毒程序已無法運行，因此才會彈出提示信息窗口。

4.U盤病毒防范措施

安全只是相對的安全，沒有絕對的安全，對于移動存儲設(shè)備主要通過兩個層面來進(jìn)行防范，一個是技術(shù)層面，另外一個是非技術(shù)層面。技術(shù)層面主要從數(shù)據(jù)的完整性、準(zhǔn)確性及排他性等方面進(jìn)行考慮;非技術(shù)層面針對培訓(xùn)、思想意識以及組織管理方面進(jìn)行考慮。

(1)及時更新安全漏洞補丁和病毒庫。

對于個人和單位來說，每人都是安全專家肯定不現(xiàn)實，殺毒軟件是安全領(lǐng)域的衛(wèi)士，能夠查殺市面大多數(shù)病毒，因此及時更新安全漏洞補丁、應(yīng)用程序漏洞補丁及其病毒庫可以有效的降低安全風(fēng)險。目前市面上銷售的正版殺毒軟件都帶有漏洞掃描功能，通過漏洞掃描生成的報告，可選擇自動修復(fù)功能修復(fù)系統(tǒng)所存在的漏洞。

(2)禁止移動設(shè)備自動播放。

很多木馬病毒都是通過自動運行來執(zhí)行的，因此在打開移動存儲設(shè)備時，盡量不使用自動運行，而通過瀏覽器或者資源管理器來打開。如果設(shè)備具有可讀寫保護(hù)功能，則在從設(shè)備復(fù)制資料到計算機時，可使用可讀保護(hù)開關(guān)，杜絕感染系統(tǒng)通過U盤進(jìn)行病毒傳播。對Windows Xp操作系統(tǒng)，單擊“開始”-“運行”，在運行中輸入gpedit.msc進(jìn)入組策略編輯器，依次選擇“用戶配置”-“管理模板”-“系統(tǒng)”-“關(guān)閉自動播放”，在“關(guān)閉自動播放”屬性窗口選擇“已啟用”，關(guān)閉自動播放中選擇“所有驅(qū)動器”，單擊“應(yīng)用”按鈕禁用系統(tǒng)中所有驅(qū)動器的自動播放功能。

(3)實時監(jiān)控，殺毒先行。

對殺毒軟件和個人防火墻要實時監(jiān)控，確保殺毒軟件及其個人防火墻都在正常運行。在使用移動存儲設(shè)備時，首先查殺移動存儲設(shè)備中的文件，在確定無病毒的情況下，再進(jìn)行其他操作。Windows操作系統(tǒng)默認(rèn)不顯示隱藏文件和系統(tǒng)保護(hù)文件，病毒往往利用這一點進(jìn)行病毒隱藏和傳播，因此需要通過“文件夾”-“查看”選項，選擇“顯示所有文件和文件夾”和去掉“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”復(fù)選框，方便查看U盤以及系統(tǒng)其它盤中是否隱藏病毒文件。

(4)在所有磁盤中創(chuàng)建Autorun.inf文件夾。

U盤病毒一般都是利用Autorun.inf文件來進(jìn)行傳播，根據(jù)Windows操作系統(tǒng)文件以及文件夾名稱唯一性原則，系統(tǒng)僅存在唯一名稱文件，因此可以在系統(tǒng)所有磁盤中建立一個名稱為“Autorun.inf”的文件夾，使U盤病毒不能創(chuàng)建Autorun.inf文件而達(dá)到防范U盤病毒的目的。

(5)謹(jǐn)慎下載，安全運行。

在需要軟件時，盡量到正規(guī)大型網(wǎng)站進(jìn)行下載，下載后對軟件進(jìn)行查殺毒處理，防止軟件被捆綁木馬程序。如果需要運行在重要計算機上面，必須進(jìn)行安全性測試，確保該軟件對系統(tǒng)不會造成危害。

(6)做好系統(tǒng)和數(shù)據(jù)備份。

近年來，計算機木馬病毒往往帶有較強的商業(yè)利益目的，尤其是以U盤為傳播介質(zhì)的病毒。例如熊貓病毒、AV病毒，會對所有可執(zhí)行文件進(jìn)行感染，如果處理不好，將會帶來巨大的經(jīng)濟(jì)損失。因此平時對重要數(shù)據(jù)和系統(tǒng)一定要做好備份，做到隨時可以恢復(fù)系統(tǒng)，并正常運行。

(7)使用一些移動存儲專用管理軟件。

(8)對移動存儲設(shè)備的一切權(quán)限變更和一切文件操作，全部都有日志記錄和審計。

(9)非法U盤，進(jìn)不來。所有能在內(nèi)部使用的U盤、移動硬盤必需通過授權(quán)認(rèn)證，沒有經(jīng)過授權(quán)的U盤和移動硬盤無法使用。

(10)授權(quán)U盤，拿不走。即使是經(jīng)過認(rèn)證的移動存儲設(shè)備，其保存的機密文件都進(jìn)行了高強度加密存儲，并完全隱藏。授權(quán)U盤、移動硬盤在內(nèi)部如常使用，但在外部計算機看不見任何信息。 [科]

【參考文獻(xiàn)】

［１］徐瑋.U盤病毒的分析與防治[J].科技信息，2010，(15).

［２］畢超群.U盤病毒原理分析及設(shè)計與實現(xiàn)[J].計算機安全，2010，(03).

［３］劉寧，趙建華.移動U盤病毒工作原理、清除與防范[J].長春大學(xué)學(xué)報，2009，(4).