最近在学校机房上课的时候电脑十分的卡,原因也无从查找,谁让学校装的是WIN2000呢,读个U盘也得几分钟,(可能说的有点过,但真的很慢,让人有点无语)说到U盘就又发现一个问题,几个同学的U盘里出现的文件夹图标有点不正常,那个文件看上去特别的别扭,一查才知道U盘原来存在的文件夹全部被隐藏,取而代之的是一个伪装成文件夹图标的EXE文件。因为操作系统缺省情况下,并不显示已知文件类型的文件扩展名,也就是说类似于“文件夹名.exe”的程序,缺省情况下我们只看到“文件夹名”,并且这个文件看上去就是个文件夹,很多人就会去直接双击访问。这个病毒很聪明,当你双击访问这个“文件夹名”文件夹时,病毒会跳到被隐藏的真实文件夹中,你没有感觉到任何异常。而事实上,你已经执行了一次病毒程序。
如果你修改了文件夹选项,配置了显示文件的扩展名,这个文件夹伪装者就会露出真面目。
U盘病毒的变化
1.关键文件Autorun.inf
Autorun.inf文件本身并不是病毒,它是自动运行的一个配置文件。这个文件 通常在驱动器的根目录下(是一个隐 藏的系统文件),文件的内容包含着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路 径下的图标,它的格式通常是下面这样:
[AutoRun]
open=auto.exe
//自动运行auto.exe程序
shellexecute=auto.exe//启动指定的auto.exe
shell\Auto\command=auto.exe//定义设备右键菜单执行命令行,右键U盘的时候会出现auto菜单
2.披着各种伪装的U盘病毒唉,又是Windows 缺省设置在帮助病毒传播者欺骗用户,缺省情况下windows 不显示文件扩展名。
U盘病毒的清除
需要指出,如果仅在U盘、移动硬盘、数码存储卡、手机内存卡中发现伪装成文件夹图标的EXE文件,或者仅看到autorun.inf,这并不表示你的电脑已经中了U盘病毒。而只能表示,这个存储介质曾经中过U盘病毒,或者曾经安装过某个U盘免疫工具。分析可疑进程或者使用扫描工具扫描系统,看看是否有可疑的加载项,来检查系统是否已经中了U盘病毒。在工具把U盘病毒的加载项禁用之后,我们就可以搜索系统中的异常文件(修改文件夹选项,选择查看隐藏文件和受保护的操作系统文件,显示文件扩展名),当我们发现一个伪装成文件夹图标的exe文件时,可以观察其大小,生成日期,然后使用windows 的查找功能,将同样大小,同样生成日期的exe文件全部找出来,确认无误后,直接删除。
在排除系统中毒的情况下,只需要简单的删除U盘上的病毒文件就可以了。发现和识别U盘病毒非常简单:
我们可以用记事本打开autorun.inf(你可以先运行notepad打开记事本,再把autorun.inf拖进去查看,不用担心会中毒)。
根据open=的值,如果没有检查到对应的EXE文件,表示这个U盘上曾中过毒,但病毒已经被清除了。如果我们根据open=的值,找到对应的EXE文件,当然就可以直接将其删除。
某些情况下会出现删除失败,这可能是病毒修改了该文件的访问权限。
有时候病毒作者会创建一个畸形的文件,导致简单的删除操作会失败。
你只需要把以下命令保存为扩展名为.bat的文件,将该畸形文件拖放到这个bat文件的图标上即可完成删除(特别提醒:因该操作非常危险,会无条件删除任何文件或文件夹,请一定不要误操作。)
DEL /F /A /Q \?%1
RD /S /Q \?%1
U盘病毒的防御
(1) 运用组策略,关闭windows的自动播放功能
在开始、运行中输入gpedit.msc后回车。会出现组策略的控制窗口,在该窗口中选择
计算机设置->管理模板->系统->关闭自动播放,双击关闭自动播放,然后选择已启用,选择关闭所有驱动器。
需要注意的是windows xp的home版不支持编辑组策略,可以借用一些安全软件来实现。
(2) 可以在U盘根目录下新建一个免疫文件夹
(可以保存以下内容为bat文件然后保存到U盘根目录运行就行了)
md autorun.inf
cd autorun.inf
md nodel…\
cd ..
attrib autorun.inf +s +r +h
