U盘防毒-网络与信息化中心.pdfVIP

U盘防毒 高山gshan at 2011年4 月 优盘的威胁  随着U盘等移动存储介质使用的越来越广泛，它已经成为木马、病毒 等传播的主要途径之一。现在我们就来介绍一下U盘病毒是如何传播 的以及如何对它进行防范的。这里我们所说的U盘病毒，并不是单指 某一种病毒，也不是说只是通过U盘传播的病毒，而是泛指所有通过 移动存储介质进行传播的病毒（事实上它可以通过系统上所有的分区 进行传播, 只是因为很多时候它们都表现在U盘上，所以我们才统称这 些病毒为U盘病毒).  国家计算机病毒应急处理中心通过对互联网的监测发现，优盘已成为 病毒和恶意木马程序传播的主要途径之一。  优盘病毒已经成为2007年上半年毒王，如“ 熊猫烧香”病毒、“优盘 破坏者”病毒等 优盘的威胁  Arp 类病毒通过U盘方式传播  价格便宜，使用方便，几乎是人手数个。当我们享受优盘所带来的便 利时，优盘病毒也在悄悄利用系统的自动运行功能肆意传播  变种繁多，如auto.exe 几乎每天都会有变种  WORM_DELF 病毒家族通过优盘传播 U盘病毒传播的方式  1、通过autorun.inf 文件进行传播的( 目前U 盘病毒最普遍的传播方式）  2、伪装成其他文件，病毒把U盘下所有文 件夹隐藏，并把自己复制成与原文件夹名 称相同的具有文件夹图标的文件，当你点 击时病毒会执行自身并且打开隐藏的该名 称的文件夹。  3、通过可执行文件感染传播，很古老的一 种传播手段，但是依然有效。 Classification 技术双刃剑  依赖微软操作系统Windows 的自动运行功能。  使当光盘、优盘插入到机器自动运行  通过磁盘根目录下的Autorun.inf 文件执行(一般会 是一个隐藏属性的系统文件)  保存一些简单的命令，告知系统新插入的光盘或优 盘应该自动启动什么程序等。  病毒释放Autorun.inf 文件，指向病毒体。用户 在双击打开优盘或其他磁盘时就自动执行病毒。  Windows 强大的功能、贴心的设计，反而成了 病毒滋生的温床。 Autorun病毒特点  通过移动设备、网络映射设备传播。Autorun.inf 不 光能让光盘自动运行程序，也能让硬盘自动运行程 序，还能够使共享驱动器自动执行  在磁盘根目录释放Autorun.inf 和病毒本体  不通过注册表实现自启动  制作简单，是非常方便的传播手段  与其他病毒技术相结合，威力惊人  强制文件隐藏  IFEO(镜像劫持)  Rootkit 守护  易于传播  符合普通用户的使用习惯  可能带有图标，诱惑力强 Autorun病毒疑似症状  优盘打不开，双击后提示选择打开方式  中文系统右键单击菜单的前几项是英文  在英文系统中右键菜单里多出了乱码或者 中文  在每个分区下有Autorun.inf 文件 Autorun病毒实例：TROJ_NSPM.IJ  感染渠道  通过USB驱动器传播  进程  将kavo0.dll 注入到Explorer.exe  执行一个Rootkit 以隐藏进程，修改注册表，释放文件。Rootkit组件为 random.sys和wincab.sys  释放文件  在每一个根目录（C:, D:, E:…）  Autorun.inf (在每次打开驱动器时自动执行)  N (病毒释放体)  在Windows 系统文件夹  Kavo.exe (病毒释放体)  Kavo0.dll (用于注入的DLL文件)  Wincab.sys (rootkit 驱动文件)  random.sys (rootkit 驱动文件)  其他改动  在注册表中创建键值以便在系统启动时自动执行