隨著U盤,移動硬盤,存儲卡等移動存儲設備的普及,U盤病毒也隨之泛濫起來。U盤病毒顧名思義就是通過U盤傳播的病毒。自從發現U盤的autorun.inf漏洞之後,U盤病毒的數量與日俱增。
1.優盤病毒危害
早期的優盤病毒僅僅是惡作劇,被感染計算機往往出現打不開文件,或者顯示一些具有搞笑性質的東西。隨著優盤容量的不斷擴大和廣泛使用,優盤成為傳輸文件等數據資料的主要存儲介質之一,日常使用和交換的文件,包括涉密文件均是通過優盤來進行傳輸,雖然市面上推出了一些保密優盤,但是這些保密優盤其主要功能是防止優盤丟失後,拾者隨意浏覽文件,並不能防止優盤病毒的傳播,優盤病毒在使用者浏覽優盤時就進行了感染。優盤病毒具有交叉感染的特點,即感染了優盤病毒的計算機,在插入一個未感染的優盤到感染計算機中時,病毒會自動感染優盤,當將已經感染優盤病毒的優盤插入未感染計算機中時,未感染病毒的計算機將感染優盤病毒。在對優盤病毒分析研究中我們發現,優盤病毒具有輪渡技術,即將系統中的某些指定關鍵字的文件復制到優盤中,當優盤插入到具有上網條件的計算機中使用時,優盤病毒會將已經復制的文件傳送到指定的郵箱或者木馬病毒控制端。
優盤病毒作為一種傳染性病毒,其危害如下:
(1)破壞軟件系統,影響工作。對於一般性優盤病毒將會破壞系統文件的完整性,導致系統不能正常打開文件,其危害程度較輕。
(2)刪除或者更改文件。這種優盤病毒往往帶有惡作劇,例如將系統中所有的word等文件全部刪除,或者將Word文件的默認後綴更改為其它名稱導致文件打不開,其危害程度中等。
(3)盜取系統中各種密碼帳號,實施遠程控制。目前很多個人計算機大多具備上網條件,一旦連接上網絡,病毒就會主動連接控制端,將系統中的密碼和帳號發到指定郵箱,並實施遠程控制將其作為僵屍網絡的木馬端。
(4)平時竊取資料,戰時破壞系統。優盤病毒平時蟄伏在計算機中,當具備互聯網條件時將平時復制的資料通過網絡傳輸到指定郵箱,當發生戰爭時可以破壞和癱瘓計算機系統或者計算機網絡,其危害程度最大。
2.優盤病毒危害機理
2.1病毒的傳播原理
優盤病毒主要通過優盤與計算機的交互來進行傳播。近年來,在“黑色”產業鏈利益驅動下,利用優盤病毒傳播已經成為病毒的一大必備功能;病毒感染主要通過存在安全漏洞的網站“掛馬”來實現,網站“掛馬”主要利用的是IE等安全漏洞,當用戶沒有安裝補丁程序而訪問被“掛馬”的網站中的網頁時,系統就會“偷偷”地執行網頁中指定的程序,從而達到控制等目的。此外還有一種就是通過發送垃圾郵件、捆綁木馬軟件到正常軟件中供並放在網站上供網絡用戶下載等方式來進行優盤病毒的傳播。
2.2優盤病毒傳播階段
優盤對病毒的傳播主要借助的就是autorun.inf文件,主要分為2個階段。
第一階段:感染病毒,當用戶將一塊沒有任何病毒的優盤插入一台潛伏了病毒的主機上,通過一些常用的操作後,可能就會激發病毒程序。病毒首先會將自身復制到優盤中,同時創建一個名為autorun.inf的文件。此時,這塊優盤就被病毒感染了。
第二階段:傳播病毒,當這塊優盤插入到一台沒有任何病毒的電腦上後,使用者雙擊打開優盤文件浏覽時,Windows默認會以autorun.inf文件中的設置去運行優盤中的病毒程序,此時Windows操作系統就被感染了。
2.3 autorun.ini文件運行機理
autorun.inf是設備自動運行的設置文件,比如當插入某些驅動光盤後,Windows就會自動運行驅動安裝程序,這就是靠autorun.inf文件裡面設置。其中的filename就是木馬程序。其文件格式有以下幾種:
(1)自動運行的程序
Open=filename.exe
(2)修改上下文菜單,把默認項改為病毒的啟動項
ShellAutocommand=filename.exeShell=Auto
(3)只要調用ShellExecuteA/W函數試圖打開優盤根目錄,病毒就會自動運行
Shellexecute=filename.exeShellExecute=……
(4)偽裝成系統文件,迷惑性比較大,較為常見的就是偽裝成垃圾回收站。
Shellopen=打開(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=資源管理器(&X)
2.4優盤病毒程序隱藏方式
(1)作為系統文件隱藏。一般系統文件是看不見的,所以這樣就達到了隱藏的效果。但這也是比較初級的,現在的病毒一般不會采用這種方式。
(2)偽裝成其他文件。由於一般計算機用戶不會顯示文件的後綴,或者是文件名太長看不到後綴,於是有些病毒程序將自身圖標改為其他文件的圖標,導致用戶誤打開。
(3)藏於系統文件夾中。這些系統文件夾往往都具有迷惑性,如文件夾名是回收站的名字。
(4)運用Windows的漏洞。有些病毒所藏的文件夾的名字為 runauto.。。,這個文件夾打不開,系統提示不存在路徑,其實這個文件夾的真正名字是 runauto.。。。
3.優盤病毒發展趨勢
據軟件監測結果表明,目前至少存在288種優盤病毒;優盤病毒由過去功能單一,逐漸演變為功能眾多,且技術水平越來越高。目前的優盤病毒在感染計算機上還會關閉防火牆、殺毒軟件、系統自動更新以及Windows安全中心,高級一點的會修改防火牆和病毒設置,使其安全穿透個人防火牆,還有一些未公布的優盤病毒,已經做到感染PE文件,計算機一旦被感染這種病毒很難根除。目前世界上大多數病毒都具備優盤病毒感染功能,使其成為內網和外網溝通的橋梁,優盤病毒已經成為一種頑疾。由於優盤病毒的巨大危害性,很多殺毒軟件都會查殺以Autorun.inf文件為主要特征的優盤病毒,因此新型的優盤病毒將向硬件以及驅動程序發展。可以將優盤病毒直接嵌入到一些硬件設備,例如手機、mp3等,需要激活時只需要通過網絡發送一個密碼指令即可。另外一種趨勢就是將優盤病毒做成驅動級,任何系統都離不開驅動程序,通過驅動程序來進行病毒的傳播和控制。
4.優盤病毒防范措施
安全只是相對的安全,沒有絕對的安全,對於移動存儲設備主要通過兩個層面來進行防范,一個是技術層面,另外一個是非技術層面。技術層面主要從數據的完整性、准確性及排他性等方面進行考慮;非技術層面針對培訓、思想意識以及組織管理方面進行考慮。
4.1技術防范
(1)及時更新安全漏洞補丁和病毒庫
對於個人和公司來說,每人都是安全專家肯定不現實,殺毒軟件是安全領域的衛士,能夠查殺市面大多數病毒,因此及時更新安全漏洞補丁、應用程序漏洞補丁及其病毒庫可以有效的降低安全風險。目前市面上銷售的正版殺毒軟件都帶有漏洞掃描功能,通過漏洞掃描生成的報告,可選擇自動修復功能修復系統所存在的漏洞。
(2)禁止移動設備自動播放
很多木馬病毒都是通過自動運行來執行的,因此在打開移動存儲設備時,盡量不使用自動運行,而通過浏覽器或者資源管理器來打開;如果設備具有可讀寫保護功能,則在從設備復制資料到計算機時,可使用可讀保護開關,杜絕感染系統通過優盤進行病毒傳播。對Windows Xp操作系統,單擊“開始”-“運行”,在運行中輸入gpedit.msc進入組策略編輯器,依次選擇“用戶配置”-“管理模板”-“系統”-“關閉自動播放”,在“關閉自動播放”屬性窗口選擇“已啟用”,關閉自動播放中選擇“所有驅動器”,單擊“應用”按鈕禁用系統中所有驅動器的自動播放功能。
(3)實時監控,殺毒先行
對殺毒軟件和個人防火牆要實時監控,確保殺毒軟件及其個人防火牆都在正常運行。在使用移動存儲設備時,首先查殺移動存儲設備中的文件,在確定無病毒的情況下,再進行其他操作。Windows操作系統默認不顯示隱藏文件和系統保護文件,病毒往往利用這一點進行病毒隱藏和傳播,因此需要通過“文件夾”-“查看”選項,選擇“顯示所有文件和文件夾”和去掉“隱藏受保護的操作系統文件(推薦)”復選框,方便查看優盤以及系統其它盤中是否隱藏病毒文件。
(4)在所有磁盤中創建Autorun.inf文件夾
優盤病毒一般都是利用Autorun.inf文件來進行傳播,根據Windows操作系統文件以及文件夾名稱唯一性原則,系統僅存在唯一名稱文件,因此可以在系統所有磁盤中建立一個名稱為“Autorun.inf”的文件夾,使優盤病毒不能創建Autorun.inf文件而達到防范優盤病毒的目的。
(5)謹慎下載,安全運行
在需要軟件時,盡量到正規大型網站進行下載,下載後對軟件進行查殺毒處理,防止軟件被捆綁木馬程序。如果需要運行在重要計算機上面,必須進行安全性測試,確保該軟件對系統不會造成危害。
(6)做好系統和數據備份
近年來,計算機木馬病毒往往帶有較強的商業利益目的,尤其是以優盤為傳播介質的病毒;例如最近出現的熊貓病毒、AV病毒,會對所有可執行文件進行感染,如果處理不好,將會帶來巨大的經濟損失。因此平時對重要數據和系統一定要做好備份,做到隨時可以恢復系統,並正常運行。
(7)使用一些移動存儲專用管理軟件
根據數據資料的價值,安裝移動存儲專用管理軟件來進行優盤資料的保護,這些軟件往往具有文件加密等功能,優盤資料只能在指定計算機和指定網絡中使用,到其它計算機上無法讀取,即使讀取也是亂碼,從而保證數據的安全。
(8)對移動存儲設備的一切權限變更和一切文件操作,全部都有日志記錄和審計。
(9)非法優盤,進不來。所有能在內部