目前病毒木馬的主要傳播通道是兩個:一是網頁掛馬,浏覽器或浏覽器插件存在漏洞的電腦訪問被黑客掛馬的網頁即可中毒;另一個傳播病毒的主要通道就是U盤、移動硬盤、數碼存儲卡,因使用U盤的用戶大都遇到過這類病毒,用戶統稱這類病毒為“U盤病毒”。
U盤病毒並不是一種新型的病毒,就象最初的病毒主要通過軟盤傳播一樣,用戶經常用來交換數據的媒介,會成為病毒傳播的載體。如今的U盤病毒傳播力遠強過早期通過軟盤傳播的文件型病毒和引導型病毒,一個重要的原因在於Windows 系統配置的自動播放功能存在重大安全隱患——Windows提供自動播放功能的初衷是插入光盤時自動運行指定的程序,該功能對移動硬盤和U盤同樣有效,用戶將U盤、移動硬盤、數碼相機存儲卡、手機內存卡等連接到計算機的USB口時,特殊配置的U盤病毒就會自動運行。然後,這個U盤病毒會試圖將同樣的配置信息和病毒程序寫入到任意一個新連接的移動存儲設備,再伺機感染其它電腦。
早期的U盤病毒是依賴Windows 的自動播放功能的,任何病毒都可以通過這種途徑入侵電腦。而最近的U盤病毒則利用社會工程學欺騙用戶去執行病毒程序。
根據金山毒霸雲安全系統統計,2009年4月,偽裝成文件夾圖標的U盤病毒的感染量一直占據病毒排名的前五位。
U盤病毒常見症狀
這裡以這個偽文件夾U盤病毒為例。
U盤原來存在的文件夾全部被隱藏,取而代之的是一個偽裝成文件夾圖標的EXE文件。
因為操作系統缺省情況下,並不顯示已知文件類型的文件擴展名,也就是說類似於“我的工作報告.exe”的程序,缺省情況下我們只看到“我的工作報告”,並且這個文件看上去就是個文件夾,很多人就會去直接雙擊訪問。
這個病毒很聰明,當你雙擊訪問這個“我的工作報告”文件夾時,病毒會跳到被隱藏的真實文件夾中,你沒有感覺到任何異常。而事實上,你已經執行了一次病毒程序。
如果你修改了文件夾選項,配置了顯示文件的擴展名,這個文件夾偽裝者就會露出真面目。
U盤病毒的變化
1.關鍵文件Autorun.inf
Autorun.inf文件本身並不是病毒,它是自動運行的一個配置文件。這個文件通常在驅動器的根目錄下(是一個隱 藏的系統文件),文件的內容包含著一些簡單的命令,告訴系統這個新插入的光盤或硬件應該自動啟動什麼程序,也可以告訴系統讓系統將它的盤符圖標改成某個路 徑下的圖標,它的格式通常是下面這樣:
[AutoRun]
2.披著各種偽裝的U盤病毒
唉,又是Windows 缺省設置在幫助病毒傳播者欺騙用戶,缺省情況下windows 不顯示文件擴展名。
U盤病毒偽裝者利用社會工程學成功的入侵了超過50萬台PC。
U盤病毒的清除
需要指出,如果僅在U盤、移動硬盤、數碼存儲卡、手機內存卡中發現偽裝成文件夾圖標的EXE文件,或者僅看到autorun.inf,這並不表示你的電腦已經中了U盤病毒。而只能表示,這個存儲介質曾經中過U盤病毒,或者曾經安裝過某個U盤免疫工具。
我們可以使用金山清理專家的進程管理器分析可疑進程
或者使用金山系統急救箱掃描系統,看看是否有可疑的加載項,來檢查系統是否已經中了U盤病毒。在急救箱把U盤病毒的加載項禁用之後,我們就可以搜索系統中的異常文件(修改文件夾選項,選擇查看隱藏文件和受保護的操作系統文件,顯示文件擴展名),當我們發現一個偽裝成文件夾圖標的exe文件時,可以觀察其大小,生成日期,然後使用windows 的查找功能,將同樣大小,同樣生成日期的exe文件全部找出來,確認無誤後,直接刪除。