常见病毒查杀.docVIP

第一章 常见病毒查杀 1.1 U盘病毒的运行原理及防治方法 常使用U盘的朋友可能已经多次遭遇到了U盘病毒，U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前，各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使系统感染。 病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 1.1.1 U盘病毒原理 U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U 盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行。 有些资料认为Autorun.inf是最典型的中层病毒，是一个主病毒的第一级执行文件，本身INF是不会称为病毒而被任何一款杀毒软件查杀的，但单纯的在U盘类盘中是有可能杀掉的！ 在Autorun.inf出现的初期，是软硬件生产厂家为了更好的介绍自己的产品或者为了使用户更易使用产品而设置的自引导文件，后来才被病毒制作者利用。现在大部分以只读光盘为载体的软件产品依然使用Autorun.inf，但是由于只读光盘的不可写性，只要第一次刻录没有写入病毒，使用者并不会以它传播病毒。 autorun.inf是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。 其文档格式为: [autorun] open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe) icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.) u盘病毒就是利用这种方式来在用户不知情的情况下双击盘符打开u盘时是系统中毒的，而病毒主体实际上也是隐藏在u盘中. 1.1.2 U盘病毒防范 U盘病毒的感染，一部分是用户去点击运行U盘上的可执行文件感染的，另一部分是由于移动存储设备插入时启用了自动播放而感染的。所以，要防止U盘病毒的再感染，有必要限制移动存储设备的自动播放功能。 使用组策略一次性全部关闭自动播放功能： 1、点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口； 2、在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”； 3、选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。 在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开,一般就会出现一些隐藏的文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它,退出U盘。 使用U盘注意事项： 1、当别人将U盘插入自己的电脑，默认自动运行打开，当出现操作提示框时，不要选择任何操作，直接关掉； 2、进入我的电脑，从地址下拉列表中选择U盘并进入，或者右键单击可移动磁盘，在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去，否则可能会立刻激活病毒； 3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，以便U盘被感染后能及时发现病毒。； 4、对于有些u盘病毒，格式化也不能清除，所以，日常使用时,尤其是去公共场合使用回来后，应及时执行检测和杀毒工作。 1.2同名文件夹EXE病毒 木马名称：Worm.Win32.AutoRun.soq 文件夹exe病毒，它是以文件名.exe的形式出现的，而这种病毒的传播方式主要表现为：打开盘符后，病毒不断同名复制原文件夹，并以.exe结尾，把原文件隐藏，欺骗用户去点击，从而导致用户重招，并不断复制传播，感染其他文件夹。 1.2.1病毒原理及相关分析 病毒运行后会在系统的C:\WINDOWS\SYSTEM32\文件夹里创建一个随机名文件夹，再在此随机名文件夹内注入一个随机名的******.exe文件。然后在“C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\”文件夹内创建一个“.lnk”快捷方式，指向那个系统目录里注入的******.exe文件。借系统的启动文件夹来开机自启动。 此快捷方式文件名是空格的。同时此毒运行后，监控U盘等移动存储设备，向移动存储设备的根目录写入（并不