周海峰

（國網(wǎng)江蘇省電力有限公司南通供電分公司 江蘇 南通 226499）

1 引言

隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展，計(jì)算機(jī)在人們的工作生活中得到了廣泛的應(yīng)用，在給人們帶來便利的同時(shí)，計(jì)算機(jī)病毒隨著信息技術(shù)的發(fā)展，病毒的傳播，給計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)安全帶來了極大的安全隱患，同時(shí)移動(dòng)U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)載體，因其容量大、便于攜帶、便于使用，在各行各業(yè)中使用率很高。與此同時(shí)，U盤已成為惡意木馬和U盤病毒傳播的主要介質(zhì)。通過分析U盤病毒的特征、傳播方式、以及防范措施，希望為大家在日常的計(jì)算機(jī)使用、維護(hù)過程中，提供幫助。

2 計(jì)算機(jī)U盤病毒

計(jì)算機(jī)病毒是非法組織或個(gè)人利用計(jì)算機(jī)軟件或硬件漏洞編制的一組指令集或程序代碼[1]。U盤病毒，不是特定的某個(gè)病毒，是存在于電腦硬盤或者移動(dòng)存儲(chǔ)介質(zhì)中或者網(wǎng)絡(luò)上，可以通過U盤等存儲(chǔ)介質(zhì)來傳播的病毒。U盤因其小巧方便，被大眾廣泛用來數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)交換，與此同時(shí)，U盤病毒的數(shù)量同比上升，國家計(jì)算機(jī)病毒處理中心發(fā)布公告稱U盤已成為病毒和惡意木馬程序傳播的主要途徑。U盤病毒主要通過打開U盤時(shí)自動(dòng)播放和Autorun文件來執(zhí)行病毒程序，將病毒程序復(fù)制到計(jì)算機(jī)系統(tǒng)中從而使計(jì)算機(jī)中毒，同時(shí)中毒的計(jì)算機(jī)也會(huì)感染插入該計(jì)算機(jī)的移動(dòng)盤。

3 計(jì)算機(jī)U盤病毒的特征和傳播方式

歸納起來，計(jì)算機(jī)病毒有如下特征：

3.1 攻擊隱蔽性

計(jì)算機(jī)病毒跟其他計(jì)算機(jī)程序一樣，是一段可執(zhí)行程序，計(jì)算機(jī)病毒在運(yùn)行后攻擊計(jì)算機(jī)，與用戶爭奪系統(tǒng)或數(shù)據(jù)的控制權(quán)，不易被人發(fā)現(xiàn)。

3.2 傳染性

病毒可通過各種渠道從受感染計(jì)算機(jī)復(fù)制到其他計(jì)算機(jī)、存儲(chǔ)設(shè)備上。

3.3 傳染渠道廣

病毒可以通過移動(dòng)存儲(chǔ)設(shè)備（U盤）、互聯(lián)網(wǎng)、電子郵件以及即時(shí)通信軟件比如微信、騰訊QQ等方式入侵計(jì)算機(jī)系統(tǒng)并不斷傳播。

3.4 潛伏性

病毒可以潛伏在計(jì)算機(jī)系統(tǒng)而不造成破壞，等滿足一定條件(比如打開某一特定程序、到達(dá)某一時(shí)間點(diǎn)等)后，就啟動(dòng)病毒程序?qū)ο到y(tǒng)進(jìn)行攻擊。

3.5 破壞力強(qiáng)

計(jì)算機(jī)U盤病毒一旦發(fā)作，輕則造成系統(tǒng)卡頓、影響用戶正常使用，造成系統(tǒng)死機(jī)、無法正常操作計(jì)算機(jī)；重則造成數(shù)據(jù)丟失、數(shù)據(jù)損壞、或者被非法加密，用戶無法正常使用計(jì)算機(jī)中的數(shù)據(jù)，對(duì)企業(yè)來講，有可能造成機(jī)密數(shù)據(jù)丟失、大量用戶信息的泄露，從而對(duì)企業(yè)正常運(yùn)營造成影響、對(duì)個(gè)人生命財(cái)產(chǎn)安全帶來危害。

3.6 針對(duì)性強(qiáng)

部分U盤病毒的編制有針對(duì)性，潛伏在個(gè)人或企業(yè)的計(jì)算機(jī)系統(tǒng)中，等待時(shí)機(jī)進(jìn)行攻擊，進(jìn)而獲取特定數(shù)據(jù)或者入侵信息系統(tǒng)。

根據(jù)江民病毒疫情監(jiān)測預(yù)警中心2021年7月的統(tǒng)計(jì)數(shù)據(jù)，病毒種類：655種，病毒發(fā)現(xiàn)數(shù)量：10784個(gè)，病毒感染計(jì)算機(jī)數(shù)量：1848臺(tái)，新病毒種類：167種，新病毒發(fā)現(xiàn)數(shù)量：384個(gè)，新病毒感染計(jì)算機(jī)數(shù)量：260臺(tái)，其中排名前10的病毒感染情況如圖1。

圖1 2021年7月江民病毒疫情監(jiān)測預(yù)警中心月度病毒排名前十?dāng)?shù)據(jù)

圖1中，可通過U盤傳播的Trojan木馬病毒占比達(dá)60%。如何防范和處理U盤病毒成為個(gè)人和企業(yè)計(jì)算機(jī)使用中必須面對(duì)的工作。

U盤病毒的自動(dòng)播放方式：U盤病毒一般利用操作系統(tǒng)的自動(dòng)播放功能來運(yùn)行，U盤病毒也稱Autorun病毒，通過更改AutoRun.inf文件，從而運(yùn)行計(jì)算機(jī)中的程序。一般經(jīng)由修改U盤自帶的AutoRun.inf文件，從而自動(dòng)運(yùn)行和傳播內(nèi)置在U盤中的非法程序的病毒，都可以稱為U盤病毒。隨著U盤、各種SD卡、移動(dòng)硬盤等各種移動(dòng)存儲(chǔ)介質(zhì)的普及，U盤病毒也開始猖獗。病毒首先在U盤中注入病毒程序、更改autorun.inf文件。autorun.inf文件記錄了用戶選擇哪種方式來打開U盤。如果autorun.inf文件指向了病毒木馬，那么運(yùn)行后，就會(huì)激活病毒。有的病毒還會(huì)檢測U盤插入操作，檢測到之后會(huì)新建一個(gè)autorun.inf文件，一個(gè)新的帶毒U盤就誕生了。用戶的U盤插入受感染的計(jì)算機(jī)、拷貝帶毒U盤，都可能感染U盤病毒。用戶使用帶毒U盤時(shí)，只要插上U盤，通過計(jì)算機(jī)系統(tǒng)自動(dòng)播放或者用戶雙擊打開，就會(huì)自動(dòng)運(yùn)行病毒編制者預(yù)設(shè)的程序，從而對(duì)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)造成破壞[2]。

4 U盤病毒的防范措施

在了解了U盤病毒的傳播特征和運(yùn)行原理后，我們可以使用安全移動(dòng)存儲(chǔ)介質(zhì)加密工具，普通的U盤或者移動(dòng)硬盤內(nèi)數(shù)據(jù)經(jīng)過高強(qiáng)度加密處理，用戶在授權(quán)計(jì)算機(jī)使用安全U盤時(shí)，輸入安全密碼可以讀取或?qū)懭氚踩玌盤中的數(shù)據(jù)[3]，這種方式杜絕了用戶雙擊U盤時(shí)計(jì)算機(jī)感染病毒的風(fēng)險(xiǎn)，降低了U盤和計(jì)算機(jī)之間相互復(fù)制傳播病毒的幾率，維護(hù)了企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，預(yù)防和控制了計(jì)算機(jī)病毒的感染、傳播和擴(kuò)散的途徑，保證了企業(yè)信息系統(tǒng)的正常運(yùn)行。

除了使用U盤加密來降低病毒感染率，針對(duì)U盤的特點(diǎn)和傳播方式，我們還可以使用以下防護(hù)措施來防止U盤病毒的入侵：

4.1 關(guān)閉系統(tǒng)自動(dòng)播放功能

操作系統(tǒng)默認(rèn)情況下，會(huì)自動(dòng)打開插入的光盤或U盤，用戶插入U(xiǎn)盤后，會(huì)自動(dòng)運(yùn)行U盤中autorun指定的程序，病毒通過插入U(xiǎn)盤這個(gè)簡單的動(dòng)作，在用戶沒有其他任何操作的情況下，悄悄地運(yùn)行自帶的惡意程序。為了防范這種傳播方式，我們可以關(guān)閉系統(tǒng)在插入U(xiǎn)盤時(shí)的自動(dòng)播放功能，關(guān)閉后，插入即運(yùn)行的操作就被阻止了。

關(guān)閉自動(dòng)播放功能：WindowsXp系統(tǒng)用戶可以直接在“開始-運(yùn)行”中輸入“gpedit.msc”后打開“本地組策略編輯器”。在“計(jì)算機(jī)配置”或者“用戶配置”下，找到“管理模板”下面的“系統(tǒng)”，在“設(shè)置”中找到并配置“關(guān)閉自動(dòng)播放”設(shè)置為對(duì)所有驅(qū)動(dòng)器“已啟用”即可。

Win7用戶可以在“控制面板”中直接找到并打開“自動(dòng)播放”選項(xiàng)，把前面的√去掉即可。

我們還可以通過關(guān)閉系統(tǒng)相關(guān)服務(wù)來停止自動(dòng)播放功能：在“計(jì)算機(jī)管理”下面的“服務(wù)”中找到“Shell Hardware Detection”項(xiàng)，直接改為“已禁用”即可。

4.2 修改注冊(cè)表鍵值/備份注冊(cè)表

在關(guān)閉U盤自動(dòng)播放功能后，用戶雙擊U盤盤符后，病毒依然會(huì)自動(dòng)運(yùn)行感染系統(tǒng)，這個(gè)時(shí)候用戶可以通過修改注冊(cè)表鍵值來阻止雙擊操作時(shí)U盤內(nèi)置程序自動(dòng)運(yùn)行：在“開始”--“運(yùn)行”中輸入“regedit”，打開注冊(cè)表編輯器，直接查找鍵值“MountPoints2”，找到后右鍵單擊“MountPoints2”；設(shè)置權(quán)限：把“組或者用戶名”中所有的組或者用戶分別設(shè)置“RESTRICTED的權(quán)限”為“拒絕”。這樣設(shè)置后，系統(tǒng)即便讀取了Autorun.inf文件，相關(guān)運(yùn)行U盤的程序也不會(huì)出現(xiàn)在系統(tǒng)的右鍵菜單中，雙擊盤符不會(huì)運(yùn)行Autorun.inf文件，而是直接打開其中的內(nèi)容，從而阻止了病毒程序的運(yùn)行。

部分病毒攻擊系統(tǒng)時(shí)會(huì)通過更改注冊(cè)表來運(yùn)行病毒程序，我們還可以在系統(tǒng)純凈的狀態(tài)下，備份注冊(cè)表數(shù)據(jù)，當(dāng)系統(tǒng)出現(xiàn)異常時(shí)，可以通過恢復(fù)注冊(cè)表來阻止病毒的破壞。

4.3 為磁盤創(chuàng)建Autorun.inf文件夾

因?yàn)閁盤病毒的傳播離不開Autorun.inf文件，我們可以給磁盤創(chuàng)建一個(gè)“Autorun.inf”文件，當(dāng)U盤病毒嘗試復(fù)制時(shí)，病毒因無法創(chuàng)建autorun.inf文件，這時(shí)就算沒有關(guān)閉自動(dòng)播放功能，雙擊磁盤也不會(huì)運(yùn)行病毒程序[4]。

4.4 使用鼠標(biāo)右鍵打開U盤

很多用戶在使用U盤時(shí)，在插入U(xiǎn)盤后直接雙擊盤符打開U盤，如果U盤存在病毒，用戶的雙擊操作，有可能直接被認(rèn)定為運(yùn)行U盤中的病毒程序，從而導(dǎo)致用戶的數(shù)據(jù)遭到破壞。因此，我們?cè)诓迦險(xiǎn)盤后，可以采用在“我的電腦”鼠標(biāo)右擊盤符打開U盤，或者在“我的電腦”的地址欄中直接輸入U(xiǎn)盤盤符，這些操作，避免了雙擊U盤運(yùn)行U盤內(nèi)置程序的隱患，這樣操作即使U盤中有病毒程序也不會(huì)運(yùn)行。也可以在插入U(xiǎn)盤前，按住“Shift”鍵，再插入U(xiǎn)盤，過幾秒后松開，這樣也可以阻止U盤在插入計(jì)算機(jī)后自動(dòng)運(yùn)行U盤內(nèi)的程序。

4.5 清除U盤病毒

如果用戶在使用中發(fā)現(xiàn)計(jì)算機(jī)中了U盤病毒，我們可以重新啟動(dòng)計(jì)算機(jī)，開機(jī)時(shí)按“F8”，選擇進(jìn)入安全模式。在“開始”--“運(yùn)行”中輸入regedit，打開注冊(cè)表編輯器，找到“計(jì)算機(jī)HKEY_CLASS_ROOTDriveShell”，如果下面有鍵值“Autorun”就刪除。如果中毒比較嚴(yán)重，就需要專用U盤病毒清除工具：例如USBKiller、USBCleaner等工具來清除，同時(shí)檢查計(jì)算機(jī)是否及時(shí)安裝操作系統(tǒng)補(bǔ)丁，殺毒軟件的病毒庫是否升級(jí)到最新等。

5 結(jié)語

為了維護(hù)企業(yè)計(jì)算機(jī)計(jì)算機(jī)系統(tǒng)以及用戶數(shù)據(jù)的安全，預(yù)防和控制計(jì)算機(jī)病毒的傳播和擴(kuò)散，保障企業(yè)各項(xiàng)應(yīng)用系統(tǒng)的穩(wěn)定以及用戶數(shù)據(jù)的安全，可以使用一些安全移動(dòng)存儲(chǔ)介質(zhì)加密工具對(duì)U盤進(jìn)行加密，能較好地降低U盤病毒傳播的問題，計(jì)算機(jī)用戶要確保計(jì)算機(jī)安裝了殺毒軟件并定期查殺病毒、木馬、更新病毒定義碼[5]；使用安全U盤并為操作系統(tǒng)和各個(gè)應(yīng)用系統(tǒng)設(shè)置足夠安全的密碼；在使用外來U盤進(jìn)行數(shù)據(jù)交換前，首先查殺病毒、木馬；在存儲(chǔ)重要數(shù)據(jù)的計(jì)算機(jī)上，專盤專用并使用經(jīng)過數(shù)據(jù)加密安全盤，保證數(shù)據(jù)傳輸?shù)陌踩?；為防止感染病毒造成?shù)據(jù)丟失，涉密的U盤還應(yīng)做好數(shù)據(jù)備份、控制使用區(qū)域等措施。計(jì)算機(jī)用戶養(yǎng)成良好的U盤使用習(xí)慣，提升企業(yè)、個(gè)人用戶的病毒防范意識(shí)，有助于提升企業(yè)、個(gè)人用戶數(shù)據(jù)的安全水平。