U盘病毒的防范方法.docVIP

U盘病毒的防范方法 时间：2008-7-1 21:44:48 ? 阅读： 3872 ? 标签： U盘 随着U盘等移动存储介质使用的越来越广泛，它已经成为木马、病毒等传播的主要途径之一。现在 我们就来介绍一下U盘病毒是如何传播的以及如何对它进行防范的。 这里我们所说的U盘病毒，并不是单指某一种病毒，也不是说只是通过U盘传播的病毒，而是泛指所 有通过移动存储介质进行传播的病毒（事实上它可以通过系统上所有的分区进行传播,只是因为很多 时候它们都表现在U盘上，所以我们才统称这些病毒为U盘病毒 . 目前U盘病毒传播的方式主要有以下几种： 1、通过autorun.inf文件进行传播的 目前U盘病毒最普遍的传播方式） 2、伪装成其他文件，病毒把U盘下所有文件夹隐藏，并把自己复制成与原文件夹名称相同的具有文 件夹图标的文件，当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹。 3、通过可执行文件感染传播，很古老的一种传播手段，但是依然有效。 我们今天主要来介绍第一种传播方式的原理与防范方法。 原理： 这种传播方式的关键就是autorun.inf，这个文件本身并不是病毒，它是系统自动运行的一个配置 文件。它很早就存在于windows系统中，在WinXP以前的其他windows系统（如Win98，2000等） 中需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件通常被保存在 驱动器的根目录下的（是一个隐藏的系统文件），文件的内容包含着一些简单的命令，告诉系统这 个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径 下的icon，它的格式通常是下面这样： [AutoRun] open sss.exe（要执行的程序） shellexecute sss.exe （要执行的程序） shell\Auto\command sss.exe （要执行的程序） 由于windows系统中的自动播放功能默认情况下是处于未配置的状态。这就使得只要在机器上接入移 动的存储介质，就会自动的播放。这个原因也是导致U盘病毒传播的一个最主要的因素。我们只要在 U盘的根目录下建立autorun.inf文件和某些特定的执行程序，并把执行程序的路径和名字写到 autorun.inf文件中，就可以在U盘插入系统后自动运行该执行文件，而这些执行程序可以是任何我们想 要它运行程序（病毒、木马、灰色软件等等）。 解决办法： 了解U盘病毒传播的原理后，我们就可以知道防范它的一个关键就是不让它自动运行，目前的方法有 以下几种： 1、关闭“Shell Hardware Detection”服务，关闭这个服务后再放入光盘或U盘时系统将不再扫描 这些移动介质的内容，也就不会运行Autorun.inf中所配置的文件了。关闭服务的方法如下： 单击开始菜单的运行，输入“services.msc”（也可以通过点击开始- 设置- 控制面板- 管理工具 - 服务）来打开服务窗口，在窗口右侧显示的内容中找到“名称”列，在“名称”列里找到 “Shell Hardware Detection”（可以随便单击一下“名称”列里的内容，再按键盘上的S键，快速 地定位），单击右键，再单击属性弹出属性对话框，先选择停止，然后在常规选项卡里的“启动 类型 E ”右边的下拉菜单中选择“已禁用”，最后确定退出，重启计算机即可。 2、关闭windows的自动播放功能，方法如下： 在开始、运行中输入gpedit.msc后回车。会出现组策略的控制窗口，在该窗口中选择 计算机设置- 管理模板- 系统- 关闭自动播放，双击关闭自动播放，然后选择已启用，选择关闭所 有驱动器。 3、修改注册表来禁止自动播放，方法如下： 在开始运行中输入regedit.exe后回车，调出注册表编辑器，定位到 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer] 进行修改。 NoDriveTypeAutoRun 指定按设备类型禁止自动播放。 1：未知类型，4：可移动磁盘，8：硬盘，10：网络驱动器，20：光驱，40：RAM驱动器，80： 未知类型，FF：所有类型。若要禁止某一类型自动播放，直接使用对应的值，若要禁止几种类型， 则使用它们数值相加的值，如95 1+4+10+80，91 1+10+80， b5 1+4+10+20+80。 NoDriveAutoRun指定按盘符禁止自动播放。相关设置可以参考NoDrives值，最大值为 hex:ff,ff,ff,03，禁止所有盘自动播放。 小窍门： 1、当你在你U盘的盘符上点击鼠标右键发现弹出的选项中有自动播放时，就说明你的U盘上有 autorun.i