U盘病毒猖獗

上学期期末的时候,我们班每个人“研究性学习”成果要通过U盘拷到电脑里。结果也不知道哪个家伙的U盘中了那个“文件夹伪装者”病毒(Win32.Troj.FakeFolderT.xx),结果后边一排人U盘遭殃……这个风波延续了很长一段时间,冷不防有人插进来的闪盘又带着这种病毒。

今天也碰到了同样的事情。那个教“通用技术”(全是这种囧rz的课。通用技术干啥呀,就是玩,这两天还放那个枪版的阿凡提达)的老师U盘又带毒了,同样是伪装文件夹的,不过这次伪装成快捷方式……(这个学名我就没注意了)没有任何悬念,后面一拨人前仆后继地中毒。更有意思的是,学校电脑装了360,居然都不吭一声,难怪叫娱乐公司呢。

这种病毒的原理,想想其实并不复杂。不用说,autorun.inf一定指向一个具有隐藏根目录全部文件夹功能的可执行文件。病毒在根目录下,为每一个实际文件夹生成了一个名称相同、图标相同,且包含指向真正文件夹的代码的文件。这样,隐藏真实文件夹,显示病毒伪装成的文件夹,用起来除了相应速度稍慢看不出什么异样,不得不说很绝。

纵观病毒的发展史,网络传播规模的扩大固然是一条线,通过U盘传毒又是另一条线(当然还有两条线并行的)。得益于Windows对autorun.inf的“xx”支持,这样的病毒接连几次升级换代,隐蔽性不断增强。这种形势,自然对用户的安全防范意识提出了更高的要求。

那么怎么解决这个问题呢?有个家伙问我USBCleaner行不行。这个嘛,就要看人品了。USBCleaner可以分析autorun.inf,但就算把那个文件删掉又怎么样呢?那么多“文件夹”还在保驾护航,内存有“文件夹”的驻留,删掉还可再生。除非强行结束病毒进程,同时删掉“文件夹”,不过这样又依赖病毒库了,跟普通杀毒软件没有太大差别,都处于一种被动状态,即先有病毒,后有查杀。

下面来说一种主动的查杀方法。我自己去年写了一个批处理代码,代码没有任何难度,应该可以看懂。如下:

@echo off
cls
color 1f
echo.
echo 这个程序将帮助您xxU盘病毒,并对您的U盘进行免疫操作。
echo 本程序的部分功能只有在拷贝到需要处理的驱动器的根目录下时才能发挥作用。请将本程序复制到待处理的移动盘根目录。
echo 1=继续
echo 2=退出程序
echo.
SET Choice=
SET /P Choice=请选择(1/2),然后回车。
ECHO.
IF /I '%Choice%'=='1' GOTO 1
IF /I '%Choice%'=='2' GOTO end

:1
cls
echo 您希望我做什么?
echo A=系统检查
echo B=xxU盘病毒
echo C=执行免疫操作
echo D=还原本目录下所有隐藏文件
echo Q=退出程序
echo.
echo 程序由iHenry编写
echo.
SET Choice=
SET /P Choice=请选择(A/B/C/D/Q),然后回车。
ECHO.
IF /I '%Choice%'=='A' GOTO A
IF /I '%Choice%'=='B' GOTO B
IF /I '%Choice%'=='C' GOTO C
IF /I '%Choice%'=='D' GOTO E
IF /I '%Choice%'=='Q' GOTO end
Goto Start

:A
cls
echo 选择您希望做的事
echo Task=列进程
echo Drvr=列驱动
echo Secu=计算机用户帐户安全性汇总
echo Acco=已开放帐户列表
echo Q=回主菜单
SET /P Choice=请选择(Task/Serv/Secu/Q),然后回车。
ECHO.
IF /I '%Choice%'=='Task' GOTO Task
IF /I '%Choice%'=='Drvr' GOTO Ervr
IF /I '%Choice%'=='Secu' GOTO Secu
IF /I '%Choice%'=='Acco' GOTO Acco
IF /I '%Choice%'=='Q' GOTO 1

:Task
cls
tasklist
echo.
pause
goto A

:Ervr
cls
driverquery
echo.
pause
goto A

:Secu
cls
net accounts
echo.
pause
goto A

:Acco
cls
net user
echo.
pause
goto A

:B
echo 首先,让我们xx自动运行的“罪魁祸首”
pause
del autorun.inf /as /ah /ar
cls
echo 接着,让我们来xx隐藏的exe文件
pause
del *.exe /ah /as /ar
cls
echo 然后,我们来xxreg、pif、scr文件。通常闪盘根目录不会出现它们,然而很多病毒的xx文件就是它们。
pause
del *.pif
del *.pif /ah /as /ar
del *.reg
del *.reg /ah /as /ar
del *.scr
del *.scr /ah /as /ar
cls
echo 有些病毒会采用“exe”伪装来诱骗您执行。我们将xx根目录下所有exe文件。请确保闪盘根目录下没有需要的exe文件,然后按y键继续。否则,n键回主菜单。
SET Choice=
SET /P Choice=请选择(y/n),然后回车。
ECHO.
IF /I '%Choice%'=='y' GOTO y
IF /I '%Choice%'=='n' GOTO 1

:y
del *.exe
echo U盘病毒成功xx。
pause
goto 1

:C
cls
echo 正在免疫...
md autorun.inf\prn\
md autorun.inf\gde8d93920kkf8......\
md autorun.inf\Protect..\
echo 免疫成功
pause
goto 1

:E
attrib -s -h *.* /d /s
echo 完成
pause
goto 1

:end
cls
echo.
ECHO Presented By iHenry
echo.
ECHO.
ECHO 请按任意键退出
pause>nul
exit

这是一种斩草除根的方法。当然,前提是内存中没有驻留,不然还是要挂。

在学校,我一般先到组策略中禁用自动运行,然后注销。插入U盘后,进入命令提示符,删掉autorun.inf和*.exe即可。当然,记得隐藏和只读属性。

当然还有一种最简单的方法。随便找张Linux LiveCD,用Live CD引导系统去删除exe和autorun.inf。这下,Linux识别不了这两者,自然{jd1}不会有事。初中的时候有一个同学托我给他杀毒,为了确保我的电脑里的万无一失,我就这么做的。

p.s. 日啊,万恶的WP老把冒号Drvr中的冒号D识别为笑脸符,只好把所有的冒号D改成冒号E了。比如,:Ervr。不过其他地方也作了相应修改,不影响代码理解和使用,特此说明。

Popularity: 14%

,

1 条评论 于 “U盘病毒猖獗”

发表评论

验证图片

?
郑重声明:资讯 【U盘病毒猖獗】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——