瑞星：解析U盤病毒防治技巧(1)

U盤病毒原理

U盤病毒通常利用Windows系統(tǒng)的自動播放功能進行傳播。自動播放是Windows給用戶提供的一個方便的功能，但被黑客大量利用，增加了病毒傳播的可能性。

圖1：U盤插入后，Windows系統(tǒng)會自動詢問用戶進行何種操作

自動播放這一功能是通過系統(tǒng)隱藏文件Autorun.inf文件來實現(xiàn)的，它存放在驅(qū)動器根目錄下。Autorun.inf文件本身不是病毒，但很容易被病毒利用，試想如果Autorun.inf文件指向了病毒程序，那么在你雙擊U盤盤符的時候，Windows就可立即激活指定的病毒。為了更直觀地說明Autorun.inf的實現(xiàn)過程，下面為大家做一個簡單的演示。

首先編寫一個Autorun.inf

[autorun]

OPEN=notepad.exe

shell\open=打開(&O)

shell\open\Command=notepad.exe

shell\open\Default=1

shell\explore=資源管理器(&X)

shell\explore\Command=notepad.exe

icon=rising.ico

將Autorun.inf，Windows自帶的記事本程序notepad.exe和rising.ico一同拷貝到U盤的根目錄下，如下圖所示。

圖2：將Autorun.inf、notepad.exe和rising.ico三個文件放入U盤根目錄

在這里，加入一個圖標是為了檢查Autorun.inf是否被讀取，這個Autorun.inf會偽造右鍵菜單里的打開和資源管理器，點擊就運行notepad.exe。重新插入U盤后圖標變了，無論是雙擊、右鍵打開還是右鍵點擊資源管理器，都只彈出記事本，而無法打開U盤。試想，若把notepad.exe換成病毒文件會怎么樣？

圖3：此時用戶無論使用"打開"還是"資源管理器"命令，都將調(diào)用存在U盤根目錄下的notepad.exe，而無法正常查看U盤當中的文件

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]