>> 本频道近100000余篇各类电脑技术、网络技术、软件技术、网页及平面设计等方面的电脑教程，我们的原则:不是精华拒不收录!

先飞电脑技术网 → 技术文章 → 网络技术 → 电脑病毒

网络编程 | 网站建设 | 网络技术 | 设计教程 | 软件教学 | 程序开发 | 数据库开发 | 教育认证 | 硬件维护 | 媒体动画 | 机械电子 |

U盘(auto病毒)类病毒分析与解决方案 ［ 作者：佚名    转贴自：网络转载    阅读次数：38    更新时间：2007-9-7 11:56:00   录入：刘光勇 ］   热           U盘病毒简述: 　　U盘(自动运行)类病毒(auto病毒)近来非常常见,并且具有一定程度危害,它的机理是依赖Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件.目前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,目前流行的 U盘病毒文件大家甚至耳熟能详了,比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分析总结.  二、特性分析:  　　所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。 　　　　常见的Autorun.inf文件格式大致如下： 　　　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入 　　　　 icon=C:C.ico　　//指定给C盘一个个性化的盘符图标C.ico 　　　　 open=C:1.exe　　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行； 　　在Windows系统有允许和阻止自动运行的键值的方法： 　　 在注册表中找到如下键： 键路径：[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer] 在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示: 设备名称 第几位 值 设备用如下数值表示 设备名称含义  DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备  DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器  DRIVE_REMOVABLE 2 1 04h 可移动驱动器  DRIVE_FIXED 3 0 08h 固定的驱动器  DRIVE_REMOTE 4 1 10h 网络驱动器  DRIVE_CDROM 5 0 20h 光驱  DRIVE_RAMDISK 6 0 40h RAM磁盘  其中： 保留 7 1 80h 　未指定的驱动器类型 以上值"0"表示设备运行，"1"表示设备不运行。 从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。 　　 U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除，但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。 三、解决方案： 　　　 1、使用超级巡警套装来全面解决U盘病毒问题(推荐!): ①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。 ②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。 2、手动解决办法： ①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。 ②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。 引用内容 Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]  "Text"="@shell32.dll,-30499"  "Type"="group"  "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\  00  "HelpID"="shell.hlp#51131"  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"  "Text"="@shell32.dll,-30501"  "Type"="radio"  "CheckedValue"=dword:00000002  "ValueName"="Hidden"  "DefaultValue"=dword:00000002  "HKeyRoot"=dword:80000001  "HelpID"="shell.hlp#51104"  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"  "Text"="@shell32.dll,-30500"  "Type"="radio"  "CheckedValue"=dword:00000001  "ValueName"="Hidden"  "DefaultValue"=dword:00000002  "HKeyRoot"=dword:80000001  "HelpID"="shell.hlp#51105"

【文章首页】【加入到收藏夹】【告诉好友】【打印此文】【关闭窗口】

版权声明：本站提供的“U盘(auto病毒)类病毒分析与解决方案”版权归文章所有者，转载请注明出处！

·上一篇文章：利用最近热门的Xss漏洞能做什么?      ·下一篇文章：ARP欺骗原理和ARP欺骗解决方案

【相关文章】 ·U盘(auto病毒)类病毒分析与解决方案[38] ·用U盘加载控制器驱动安装Linux操作系统[97] ·Vista无法识别U盘的解决方法[78] ·用软件将U盘变成打开电脑的钥匙[30] ·让你的U盘做到100%预防病毒[104]

【热门文章】 ·谨慎使用邮件附件防止病毒传播[63] ·技术角度看酷狮子盗号木马原理[85] ·ARP欺骗原理和ARP欺骗解决方案[102] ·U盘(auto病毒)类病毒分析与解决方案[38] ·利用最近热门的Xss漏洞能做什么?[96]