注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

苗得雨:网事争锋

我们在攻击邪恶和黑暗时要毫不留情,但是也要腾出时间来为善行鼓掌,为光明喝彩!

 
 
 

日志

 
 

遇到U盘病毒怎么办?  

2009-09-27 16:54:23|  分类: 网络安全专栏 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

  U盘对病毒的传播要借助autorun.inf文件的帮助。病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒。我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了。

 

  大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它。我提到的方法就是,在根目录下,删除autorun.inf文件。然后,根目下建立一个文件夹,名字就叫autorun.inf。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,病毒就无能为力,创建不了autorun.inf文件了。以后会不会出新病毒,自动去删文件夹,然后再建立文件还不知道,但至少现阶段,这种方法是非常有效的。

用U盘先用右键打开 看第一项是否为"打开" 假如不是 "打开"而是open,auto,或者自动播放 那么肯定是中标了不过不要急右键打开 更改显示属性 显示所有文件删除autoruninf 然后用以下的方法 :

 

U盘对病毒的传播要借助autorun.inf文件的帮助。病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据 autorun.inf中的设置去运行u盘中的病毒。我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了。

 

大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它。我提到的方法就是,在根目录下,删除autorun.inf文件。然后,根目下建立一个文件夹,名字就叫autorun.inf。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,病毒就无能为力,创建不了autorun.inf文件了。以后会不会出新病毒,自动去删文件夹,然后再建立文件还不知道,但至少现阶段,这种方法是非常有效的。

 

 

如何防止U盘中毒

 

计算机用户养成使用U盘、移动硬盘等移动储存设备的良好习惯,例如当外来U盘接入计算机系统时,切勿双击打开,一定要先经过杀毒处理,或是采用具有U盘病毒免疫功能的杀毒软件查杀后,再接入计算机系统,另外,关闭微软的“自动播放”功能

 

详细一点的方法有:

 

方法一.插入优盘时按住“shift”键,以防止病毒随U盘自动运行(大概5秒),等盘符出现后,单击右键选择打开优盘,调整选项,让隐藏的文件显示,若有autorun.ini文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它。退出U盘!OK了!

 

方法二.利用兔子魔法关闭优盘、光盘的自动运行。手工清除病毒仍按方法一进行。

 

方法三防止优盘感染autorun.ini有关病毒,可以在U盘,C盘,D盘,...新建一个文件夹,文件夹名为autorun.ini。若发现C盘,D盘,...中优autorun.ini文件及相关的几个dll与exe文件,一定感染了木马病毒,不要双击盘符,以防病毒发作。

 

方法四 用专用杀毒工具

 

(1)http://down.hnmaths.com/soft/rjxz/wlsd/1507.html

 

(2)AUTO病毒专杀

 

(3)一个专杀ROSE病毒的工具

 

在windows xp使用过程中,在默认情况下,一旦将可移动磁盘接入电脑(将光盘插入光驱,或者接插上U盘、移动硬盘时)Windows XP的自动播放功能就读取驱动器,完成后同时显示一个对话框,要求你选择是否打开其中的视频、音频、图片文件。这项自动功能可能是你不需要的。如果你想关闭的话,可以使用这样的办法:

 

一、为可移动设备设置属性。

 

关闭单个移动存储设备的“自动播放”功能,可以通过移动存储设备的属性页来直接关闭着项功能。(这要求该移动存储设备已经存在于计算机上。)

 

1、在我的电脑或者资源管理器中右键单击需要关闭自动播放功能的移动存储设备。选择属性。

 

2、在打开的窗口中单击“自动播放”选项卡,在操作框中,选定“选择一个操作来执行”前的单选框,然后选中“不执行操作”。最后“确定”。

 

这样该设备就不会再自动打开文件夹了。

 

二、使用组策略一次性全部关闭windows xp的自动播放功能:

 

如果你想一次全部禁用Windows XP的自动播放功能,可以使用组策略。

 

1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;

 

2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;

 

3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。

 

在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。

 

提醒:“关闭自动播放”设置是只能使系统不再列出光盘和移动存储的目录,并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放,你就只有更改移动设备的属性了。

 

Autorun.inf文件详解及免疫方法-帮你防止U盘中毒

 

最近利用autorun.inf这个文件的病毒实在是太多了,最著名的莫过于“熊猫烧香“了。于是便有人呼吁大家打开硬盘的时候不要双击打开,而是要右键选择“打开”来打开硬盘。可是,这样就真的不会被autorun.inf文件影响了吗?我们先来看一下下面这段代码:

 

[AutoRun]

 

open=eager.exe

 

shell\open=打开(&O)

 

shell\open\Command=eager.exe

 

shell\open\Default=1

 

shell\explore=资源管理器(&X)

 

shell\explore\Command=eager.exe

 

 

 

这个便是从某个autorun.inf文件里面复制出来的。你可以试试,把以上代码复制到记事本中,然后另存为“autorun.inf",保存到D盘去,再修改一下D盘的卷标(这样做的目的是为了使右键菜单马上更新)。现在你在D盘上点右键看一下,嗯,右键菜单还是和原来一样的。那么你再点右键选择“打开”或“资源管理器”。怎么样?是不是打不开D盘。那你会问,那如果我电脑中这种病毒了,不管怎么操作,就算我重装了系统,只要我打开硬盘就又会中病毒了吗?不用担心,还是有解决方法的。你可以通过在地址栏里面的下拉列表里面选择“本地磁盘(D:)”来打开,或者直接在地址栏输入“D:”也可以打开磁盘而不会中毒。当然还有其他方法,大家可以举一反三。

 

下面我再来介绍一下autorun.inf这个文件的格式。

 

一、[AutoRun] Keys

 

1.action

 

为open和shellexecute运行的程序指定名称.

 

2.icon

 

指定驱动器图标

 

3.label

 

指定驱动器卷标

 

4.open

 

自动运行并打开指定文件

 

5.shellexecute

 

自动运行并打开指定文件(与open不同的是可以使用文件关联信息打开文件)

 

6.UseAutoPlay

 

值只能等于1.用来使用autoplay的V2特性,只支持Xp的sp2以上版本

 

7.shell

 

指定默认右键菜单名称

 

8.shell\verb

 

添加自定义右键菜单

 

二、[DeviceInstall] Keys

 

用来指定搜索驱动的目录

 

DriverPath=directorypath

 

很简单的,大家一看就明白,也就不多说了。

 

再来简单介绍一种autorun.inf病毒的免疫方法。

 

原理如下:

 

在驱动器根目录建立一个不可删除的文件夹,叫做"autorun.inf",利用windows同目录文件不允许重名这个特点,使病毒无法写入autorun.inf ,破坏病毒的启动。就这么简单。

 

举个例子,现在我们免疫d:盘,如下操作:

 

1: 打开cmd窗口

 

2: d:

 

3: md autorun.inf (建立"autorun.inf"文件夹)

 

4: cd autorun.inf (进入"autorun.inf"文件夹)

 

5: md eager..\ (创建不可删除的文件夹)

 

这样子,d:盘里面会出现一个名为autorun.inf的文件夹,内有一个名为"eager."的子文件夹,无法删除的。成功。

 

对于每一个驱动器,建议都免疫一下。

 

另外,关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下,在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。

 

  双击“NoDriveTypeAutoRun”,在默认状态下(即你没有禁止过AutoRun功能),在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00,其中第一个值“95”是十六进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101,其中每位代表一个设备,Windows中不同设备会用如下数值表示:

 

  设备名称     第几位 值 设备用如下数值表示 设备名称含义

 

  DKIVE_UNKNOWN   0  1  01h       不能识别的设备类型

 

  DRIVE_NO_ROOT_DIR 1  0  02h       没有根目录的驱动器(Drive without root directory)

 

  DRIVE_REMOVABLE   2  1  04h       可移动驱动器(Removable drive)

 

  DRIVE_FIXED     3  0  08h       固定的驱动器(Fixed drive)

 

  DRIVE_REMOTE   4  1  10h       网络驱动器(Network drive)

 

  DRIVE_CDROM     5  0  20h       光驱(CD-ROM)  

 

  DRIVE_RAMDISK   6  0  40h       RAM磁盘(RAM Disk)

 

  保留        7  1  80h       未指定的驱动器类型(Not yet specified drive disk)

 

  在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。

 

由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬盘。这样一来,原来的10010101(在表中“值”列中由下向上看)就变成了二进制的10011101,转为十六进制为9D。现在,将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器,重启电脑后就会关闭硬盘的AutoRun功能。

 

  如果你看明白了,那你肯定知道该怎样禁止光盘AutoRun功能了,对!就是将DRIVE_CDROM设为1,这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101,也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。

 

  如果想要恢复硬盘或光驱的AutoRun功能,进行反方向操作即可。

 

  事实上,大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序,因此我们完全可以将硬盘的AutoRun功能关闭,这样即使在硬盘根目录下有AutoRun.inf这个文件,Windows也不会去运行其中指定的程序,从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。

 

这个是在日常生活中自己总结的小方法。 U盘对病毒的传播要借助autorun.inf文件的帮助。病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒。我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了。

 

大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它。我提到的方法就是,在根目录下,删除autorun.inf文件。然后,根目下建立一个文件夹,名字就叫autorun.inf。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,病毒就无能为力,创建不了autorun.inf文件了。以后会不会出新病毒,自动去删文件夹,然后再建立文件还不知道,但至少现阶段,这种方法是非常有效的。

 

如果你做了个性化设置,请不要这么做!呵呵!

 

shift键!十一大密招大公开

 

一 当你用QQ和别人聊天时,是不是有时信息发送的特别慢呀,不要紧,只要你发信息时按shift 键信息就会很快的发送出去的!

 

二 当你面对一大堆窗口,却要一个一个把它们关掉时。是不是很烦啊。只要你按shift 键在单击关闭按扭,所有的与之相关的父窗口就都会被关掉

 

三 在输入大小写字母时,按shift 键,就可以改变其大小写!

 

四 当安装了某个新软件,有时要从新启动计算机才有用,只要先按shift 键,就可以跳过计算机的自检节省了大量的时间!﹙這個只適用於windows 95及98﹚

 

五 选择文件时,先按shift 键,在选最后一个文件,可以选中一大批。

 

六 删除文件时,按shift 键可以直接删除。不经过回收站。

 

七 放光碟时,连按数下shift 键,可以跳过自动播放!

 

八 按shift 键+F10可以代替鼠标右键。

 

九 打开文件时,如果你不想用默认方式打开,按shift 键,在单击右键,在右边的菜单上就多出了打开方式下面的你就自己去做吧!

 

十 按shift 键,点击超级连接,可以打开新窗口。

 

十一 开机后按住shift可以阻止启动菜单中的程序运行

 

U盘对病毒的传播要借助autorun.inf文件的帮助。病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒。我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了。

 

  大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它。我提到的方法就是,在根目录下,删除autorun.inf文件。然后,根目下建立一个文件夹,名字就叫autorun.inf。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,病毒就无能为力,创建不了autorun.inf文件了。以后会不会出新病毒,自动去删文件夹,然后再建立文件还不知道,但至少现阶段,这种方法是非常有效的。

 

学院的网站近期发的帖子还比较有水平,希望以后能这样保持!

 

针对本文我补充一下:

 

这是一个很不错的方法,现在好多U盘防护工具都采用了这种方法。但是,不能保证今后黑客很有可能设计出可以修改autorun文件夹的病毒来,所以要想防止U盘病毒的自动运行,最有效的方法就是设置autorun文件夹为驱动级的,这样将很难对其文件夹进行修改、删除等操作,进一步保证了U盘的安全!

 

怎样设置驱动目录呢?

 

打开CMD,进入U盘盘符,新建文件夹Autorun.inf,然后在该目录下用DOS命令输入“md autorun..”(这里的".."是关键,一般文件夹命名是不容许出现该字符的),这样文件夹就不能正常删除了,病毒的自动运行算是限制住了。当然你也可以写个批处理,或用WinHex修改文件夹属性,里面在设置一些安全性高的限制,或弄一些个性化的提示,该文件夹建议隐藏起来!

 

呵呵,可能有朋友不知道该怎么弄了,这里我推荐大家使用“超级巡警的U盘病毒免疫器 ”,该小工具和我说的原理差不多,很方便,当然也可以免疫本地硬盘,禁止Autorun自动运行。该工具请自己去网上搜索下载!

 

补充一点:

 

 

也可以禁用系统的Shell Hardware Detection服务。这样即使病毒通过各种手段建立了Autorun文件也无妨,没有启动Shell Hardware Detection服务,任它再强也没用。

 

操作:

 

1.打开“控制面板”——“管理工具”——“服务”

 

2.找到“Shell Hardware Detection”服务,右键单击改服务,选择“属性”,再属性对话框禁用改服务即可。

 

优点:

 

可以完全禁止移动设备、光盘自助运行,再强悍的Autorun病毒也不列外。如果U盘中镖无法打开,可先移除U盘,对系统杀毒,然后插入U盘再杀毒。

 

缺点:

 

1.此方法只是禁止了自动运行,但如果双击打开U盘,还是会触发病毒。建议用右键打开U盘。

 

2.如果电脑还接有摄像头和扫描仪,可能导致这些设备不能正常使用。因为Windows Image Acquisition (WIA)(为扫描仪和照相机提供图像捕获服务。)服务依赖此服务。

 

提示:虽然应对办法很多,但没有万无一失的办法,(毕竟中国的造毒牛人还是很多的。。。)所以还是要提高自身警觉,注意自我保护啊!

 

本人心得:禁用Shell Hardware Detection+右键打开。至今尚未中镖。(当然其他人用我电脑的情况除外

 

 

类别:窍门 | 添加到搜藏 | 浏览(886) | 评论 (1) u盘感染是现在病毒木马利用的一种很常见的传播途径。由于病毒木马的更新变种非常快,所以无法彻底杜绝病毒的传播,但只要加强防范,还是可以最大限度的抵御病毒木马的入侵和将损失减少到最小。

1 提高防范意识,在使用u盘时有防御的主动意识,不论感染与否,扫描一次先~

2 显示隐藏文件和显示已知扩展名。

3 安装带u盘监控的安全软件.

4 关闭移动设备的自动运行功能。

5 免疫并储备一些臭名昭著、杀伤力非常强的u盘感染病毒专杀工具。

6 完善你的系统安全补丁,更新你的杀毒软件病毒库。

周五,上海柏安咨询给我们培训安全方面的课程,其间他们讲了一个防止U盘中病毒的小技巧,挺有意思的。

 

  首先在“运行”里面输入cmd,打开一个命令行窗口,转到U盘的盘符,然后执行如下命令:

 

mkdir autorun.inf

cd autorun.inf

mkdir a...\\

 

  这样就可以起到U盘病毒免疫的功能了。

 

  其原理也很简单,通过建立这样一个非常规,且无法删除的autorun.inf目录,使得病毒自己无法创建这样的文件来引发U盘病毒,从而起到防止U盘病毒或者蠕虫病毒自动运行的功能,这个方法本身并没有杀毒功能。

 

  更新:后来发现这个方法也不保险,新建的非常规目录可以使用rd /s /q autorun.inf命令删除。

相信很多经常用到U盘的朋友,为U盘总是染上病毒而头疼,近来对U盘的病毒想了很多对策,使你的U盘不再感染流行的大部分病毒,原理就是在同一个目录里相同的文件名文件不能共存,我以目前流行的病毒名对文件夹命名,然后设置为只读,这样同样名称的病毒就不会感染到U盘里了,属性一定要设置成只读,否则有些病毒还是会感染到U盘里的,即使已经有了同一名称的文件夹。提供一个附件,里面有目前流行的感染U盘的病毒名称命名的文件夹,大家把它复制到你的U盘里,最好是先把U盘格式化一下,然后把这些文件夹复制过去,注意要把压缩包里的文件夹复制到U盘里,而不是只把这个压缩包复制过去,属性推荐设置为隐藏,这样你使用U盘也方便一些,不用看到那么多以病毒名命名的文件夹。用这种方法可以保护你的U盘不受这些感染U盘病毒的影响。如果你遇到一些新的感染U盘的流行病毒,也可以用这个方法建一个以病毒命命名的文件夹,切记要加上扩展名,比如autorun.exe,这样就可以免疫了。

  评论这张
 
阅读(753)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017