摘 要：U盤病毒是一種比較常見的病毒類型，腳本類型的U盤更因編寫簡單而大受制造者們的親睞。通過分析一種腳本類型的U盤病毒運(yùn)行機(jī)制及查殺方法，來揭開病毒的面紗及為讀者提供手工查殺病毒的思路。

關(guān)鍵詞：U盤；腳本；病毒；進(jìn)程

1 前言

U盤病毒因編寫簡單、傳染簡單而一直占有一定的市場，它不依賴系統(tǒng)的漏洞，也不依賴網(wǎng)絡(luò)，在用戶使用U盤傳輸信息的同時(shí)不經(jīng)意地就實(shí)施了傳播。U盤病毒可以是一個(gè)可執(zhí)行文件，也可以是一個(gè)簡單的腳本文件，甚至可以是一個(gè)批處理文件。

2 病毒的運(yùn)行

下面要介紹的是一種腳本病毒，病毒文件名為 *.vbs， “*”為一個(gè)自動(dòng)產(chǎn)生的隨機(jī)數(shù)，每次感染產(chǎn)生的數(shù)值都不一樣，該病毒主要感染windows XP系統(tǒng)，帶毒的U盤里的自動(dòng)運(yùn)行文件autorun.inf被修改如下：

[AutoRun]

Shellexecute=WScript.exe *.vbs “AutoRun”

Shell＼open=打開（o）

Shell＼open＼command=WSscipt.exe *.vbs “AutoRun”

Shell＼open＼Default=1

Shell＼explore=資源管理器（X）

Shell＼explore＼command=WScript.exe *.vbs “AutoRun”

從以上代碼可以看出，無論對U盤進(jìn)行怎樣的操作——雙擊打開、右擊打開、右擊選擇資源管理器等，都會(huì)導(dǎo)致病毒運(yùn)行，從而使得病毒進(jìn)一步傳播。

3 病毒的表現(xiàn)及原因分析

被病毒感染了的機(jī)器會(huì)有如下一些表現(xiàn)：

⑴所有盤符中的一級文件夾變成1KB快捷方式，但雙擊可以打開相應(yīng)的文件夾，文件夾的目標(biāo)屬性變成c：＼*.vbs “c：＼windows＼Dir”。由目標(biāo)屬性的值可分析出，病毒將實(shí)際的文件夾隱藏，同時(shí)在盤符的根目錄下生成了病毒的備份，并將快捷方式指向文件夾本身和隱藏的病毒文件，使得每單擊一快捷方式病毒被運(yùn)行一次，同時(shí)打開真實(shí)的文件夾，不僅讓病毒多次運(yùn)行，還增強(qiáng)了病毒的迷惑性。如圖1所示。

⑵REGEDIT、CMD等與安全相關(guān)的工具窗口打開后立即關(guān)閉或打開后稍候幾秒，便自動(dòng)關(guān)閉。病毒中有相關(guān)代碼循環(huán)關(guān)閉REGEDIT、CMD等窗口，使得用戶無法利用這些系統(tǒng)提供的工具檢測及處理病毒的存在，增加了病毒查殺的困難性。

⑶在進(jìn)程列表中增加了三個(gè)進(jìn)程，分別SVChost.exe（兩個(gè)）和WScript.exe，如圖2所示。

圖2中，兩個(gè)svchost.exe是病毒的主程序，并且這兩個(gè)進(jìn)程相互保護(hù)，刪除其中一個(gè)，另一個(gè)自動(dòng)幫助恢復(fù)，除非兩個(gè)進(jìn)程同時(shí)刪除，這也增加清除病毒的困難性。wscript.exe是系統(tǒng)進(jìn)程，用于運(yùn)行腳本程序，在這里用來啟動(dòng)病毒程序*.vbs。

⑷病毒還污染了兩個(gè)系統(tǒng)進(jìn)程explorer.exe和smss.exe。病毒利用了ntfs文件系統(tǒng)的流式注入法修改了正常文件explorer.exe和smss.exe，如圖3和圖4所示。

4 解決方法

這個(gè)病毒因?yàn)闆]有太強(qiáng)的破壞性和典型性，很多的殺毒軟件都無法查殺，下面根據(jù)以上的運(yùn)行分析來說明該病毒的手工查殺方法。

結(jié)束病毒進(jìn)程是查殺病毒的第一步。因?yàn)椴《居脙蓚€(gè)進(jìn)程來相互保護(hù)，要結(jié)束病毒進(jìn)程必須兩個(gè)進(jìn)程同時(shí)結(jié)束，由于系統(tǒng)提供的進(jìn)程管理工具一次只能結(jié)束一個(gè)進(jìn)程，并且被病毒監(jiān)控，故需要找一個(gè)第三方的進(jìn)程管理工具，如Icesword或Prcmgr等，同時(shí)結(jié)束兩個(gè)用戶名為administrator的Svchost進(jìn)程和wscript進(jìn)程。由于病毒污染了系統(tǒng)進(jìn)程explorer和smss，所以這兩個(gè)進(jìn)程在清除病毒源程序之前也要結(jié)束。由于explorer進(jìn)程是系統(tǒng)的桌面管理進(jìn)程，結(jié)束后只能用命令的方式操作機(jī)器，對用戶來說很不方便，故得找一個(gè)干凈的explorer和smss程序，在命令模式下替換掉系統(tǒng)中感染了的相應(yīng)的程序，然后啟動(dòng)兩個(gè)干凈的進(jìn)程，以顯示桌面。清除感染進(jìn)程后，不要隨便操作計(jì)算機(jī)，以免觸發(fā)病毒再次運(yùn)行。

第二步，修改注冊表和文件夾屬性，將隱藏文件和系統(tǒng)文件都顯示出來。真實(shí)的文件夾和病毒都在其中，將每一個(gè)盤符根目錄下的病毒源文件*.vbs和快捷方式逐一刪除，此時(shí)系統(tǒng)中的病毒已經(jīng)清除，剩下的事情就是恢復(fù)系統(tǒng)了。

恢復(fù)系統(tǒng)包括兩個(gè)方面的問題，一是恢復(fù)注冊表，二是恢復(fù)真實(shí)文件夾的系統(tǒng)和隱藏屬性。注冊表的修復(fù)要依賴于用戶平時(shí)良好的安全習(xí)慣和意識，在對系統(tǒng)作重大改動(dòng)時(shí)，一般都要對注冊表進(jìn)行備份。對真實(shí)文件夾的屬性修改用在圖形界面下已經(jīng)是無能為力了，需要通過命令的方法進(jìn)行，用命令“attrib -s -h文件夾名”逐一恢復(fù)文件夾的屬性。

最后一步，別忘了對U盤的清理。首先通過組策略關(guān)閉U盤的自動(dòng)播放功能，避免autorun.inf文件去激活病毒，再插入U(xiǎn)盤，注意一定不能用雙擊、右擊等方式打U盤，這些操作都會(huì)激活病毒。只能在命令提示符下進(jìn)入U(xiǎn)盤，刪除其中的病毒文件、autorun.inf文件、快捷方式，并恢復(fù)正常文件夾的文件屬性。

至此，用手工的方法完成了病毒的清除和系統(tǒng)的恢復(fù)。

[參考文獻(xiàn)]

[1]http：//baike.baidu.com/view/603374.htm.

[2]張濤.網(wǎng)絡(luò)安全管理技術(shù)專家門診[M].北京：清華大學(xué)出版社，2005.

[3]http：//wenku.baidu.com/view/c7f5e4315a8102d276a22f90.html.

[4]肖軍模，等.網(wǎng)絡(luò)信息安全[M].北京：機(jī)械工業(yè)出版社，2006.

[5]羅詩堯.黑客攻防實(shí)戰(zhàn)進(jìn)階[M].北京：電子工業(yè)出版社，2008.