特點
識别U盤速度變得極為緩慢,且雙擊U盤盤符時無法打開,當然右鍵菜單選擇“打開”也不行;雙擊U盤盤符時無法打開,但在資源管理器窗口中卻可以打開其盤符,用WinRAR打開U盤,發現了u.vbe文件和類似回收站圖标的文件;右鍵菜單裡多了“自動播放”、“Open”、“Browser”等命令項目,U盤無法正常拔插;所有EXE程序被關聯,且快捷方式圖标全部換成類似.com程序的默認圖标;)U盤裡面的所有文件夾并成*.exe格式文件或快捷方式文件,不能正常打開;選擇“開始”菜單→“運行”命令,輸入cmd進入命令行模式,輸入C:按回車鍵,進入C盤根目錄後,輸入dir/a查看所有文件,會出現現Autorun.inf和RavMon.exe這兩個文件。通過識别這些特征,有助于我們預防U盤病毒。
傳播方式
U盤病毒通過隐藏,複制,傳播三個途徑來實現對計算機及其系統和網絡的攻擊的。
(1)隐藏。U盤病毒的隐藏方式有很多種:①作為系統文件隐藏。一般系統文件是看不見的,所以這樣就達到了隐藏的效果;②僞裝成其他文件。由于一般計算機用戶不會顯示文件的後綴,或者是文件名太長看不到後綴,于是有些病毒程序将自身圖标改為其他文件的圖标,導緻用戶誤打開;③藏于系統文件夾中。這些系統文件夾往往都具有迷惑性;④運用Windows的漏洞。有些病毒所藏的文件夾的名字為runauto...,這個文件夾打不開,系統提示不存在路徑,其實這個文件夾的真正名字是runauto...
(2)複制。U盤病毒具有輪渡技術,即将系統中的某些指定關鍵字的文件複制到優盤中,當優盤插入到具有上網條件的計算機中使用時,優盤病毒會将已經複制的文件傳送到指定的郵箱或者木馬病毒控制端。
(3)傳播。當隐藏或中毒U盤插入到一台沒有任何病毒的電腦上後,使用者雙擊打開優盤文件浏覽時,Windows默認會以autorun.inf文件中的設置去運行優盤中的病毒程序,此時Windows操作系統就被感染了。
在這三個過程中,系統設置的autorun.inf文件運行起着關鍵作用.病毒通過其設置木馬程序。使得其文件格式變為以下幾種:自動運行的程序Open=filename.exe;修改上下文菜單,把默認項改為病毒的啟動項ShellAutocommand=filename.exeShell=Auto;隻要調用ShellExecuteA/W函數試圖打開優盤根目錄,病毒就會自動運行Shellexecute=filename.exeShellExecute=;僞裝成系統文件,迷惑性比較大,較為常見的就是僞裝成垃圾回收站。Shellopen=打開(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=資源管理器(&X)
病毒程序
自然,病毒程序不可能明目張膽的出現,一般都是巧妙存在在U盤中。下面總結了一些方式,僅供參考:
1)作為系統文件隐藏。一般系統文件是看不見的,所以這樣就達到了隐藏的效果。但這也是比較初級的。病毒一般不會采用這種方式。
2)僞裝成其他文件。由于一般人們不會顯示文件的後綴。
3)藏于系統文件夾中。雖然感覺與第一種方式相同,但是不然。這裡的系統文件夾往往都具有迷惑性,如文件夾名是回收站的名字。
4)運用Window的漏洞。有些病毒所藏的文件夾的名字為runauto...,這個文件夾打不開,系統提示不存在路徑。其實這個文件夾的真正名字是runauto...。
5)隐藏文件夾,生成對應的文件夾圖标的病毒文件(文件夾模仿者)或者快捷方式(暴風一号)
6)其他新型u盤病毒:比如2010年由金山毒霸率先發現的假面exe新u盤病毒
<以auto為例rose和host一樣處理。>
<切記這個方法隻适合你發現病毒早中的不深。>
手工清理
1、進安全模式。<開機啟動進畫面時按下F8可以選擇進入>.
2、運行下輸入``regedit``進注冊表後/在ROOT根目錄下
進DRIVE/把SHELL下所有鍵值删除。<技巧:搜索SHELL看到Autorun全删除。>
3、然後就是清理工作。在盤的文件夾設置選項下打開隐藏。再删除Autorun産生的隐藏文件。
如果中毒比較嚴重了。又懶得使用軟件那使用下面方法
新建一個文本文檔,并将下面的代碼複制其中。複制完畢後點擊左上角的“文件-另存為”在下面的文件名那裡将該文檔的名稱“新建文本文檔.txt”改為“killer.bat”,保存完畢後雙擊運行即可。
@echoon
taskkill/imexplorer.exe/f
taskkill/imwscript.exe
delc:autorun.*/f/q/as
del%SYSTEMROOT%system32autorun.*/f/q/as
deld:autorun.*/f/q/as
dele:autorun.*/f/q/as
delf:autorun.*/f/q/as
delg:autorun.*/f/q/as
delh:autorun.*/f/q/as
deli:autorun.*/f/q/as
delj:autorun.*/f/q/as
delk:autorun.*/f/q/as
dell:autorun.*/f/q/as
startexplorer.exe
查殺病毒
可下載金山u盤專殺到D盤根目錄(av終結者2010會删除桌面的專殺,所以建議下載到硬盤的任一分區下。),然後打開,點擊快速掃描即可清除。金山u盤專殺是查殺效果最好,更新最快的u盤病毒專殺。
自動播放
上述的病毒都會運用到系統的自動播放功能,當雙擊打開磁盤時,就會激活并運行病毒。而且上述的Copy病毒主要是利用U盤傳播,而人們普遍都喜歡開着系統的自動播放功能,這樣,在U盤一插入電腦時就會自動打開U盤内的内容,這雖然方便了操作,但卻成了病毒傳播的重要手段!!
下面就來關掉系統的自動播放功能
1、開始->運行,輸入下面的命令gpedit.msc
2、用戶配置->管理模闆->系統->關閉自動播放->啟用。
專殺軟件
USBCleaner6.0
U盤病毒又稱Autorun病毒,是通過AutoRun.inf文件使對方所有的硬盤完全共享或中木馬的病毒,随着U盤,移動硬盤,存儲卡等移動存儲設備的普及,U盤病毒也随之泛濫起來。國家計算機病毒處理中心發布公告稱U盤已成為病毒和惡意木馬程序傳播的主要途徑。面對這一需要,U盤病毒專殺工具USBCleaner應運而生了.USBCleaner是一種純綠色的輔助殺毒工具,具有檢測查殺70餘種U盤病毒,U盤病毒廣譜掃描,U盤病毒免疫,修複顯示隐藏文件及系統文件,安全卸載移動盤盤符等功能,全方位一體化修複殺除U盤病毒.同時USBCleaner能迅速對新出現的U盤病毒進行處理。
USBKiller
【軟件功能】
除了可以30秒閃電查殺RavMone、Rose、rising、Fun.xls等幾十種通過U盤傳播的病毒,還可以對系統實行主動防禦,自動檢測清除插入U盤内的病毒,從根本上杜絕病毒通過U盤感染電腦,解決你的後顧之憂。免疫功能讓病毒永遠也無法進入你的U盤;解鎖功能解除U盤鎖定狀态,解決無法安全删除設備問題;修複功能修複無法顯示隐藏文件、雙擊無法打開硬盤、清除右鍵Auto字樣、修複無法打開殺毒軟件。
【軟件特點】
1.獨創SuperClean高效強力殺毒引擎,查殺auto.exe、AV終結者、rising等上百種頑固U盤病毒,保證95%以上查殺率
2.國内首創對電腦實行主動防禦,自動檢測清除插入U盤内的病毒,杜絕病毒通過U盤感染電腦
3.免疫功能可以讓你制作自己的防毒U盤
4.防止他人使用U盤、移動硬盤盜取電腦重要資料
5.解除U盤鎖定狀态,解決拔出時無法停止設備的問題
6.進程管理讓你迅速辨别并終止系統中的可疑程序
7.完美解決雙擊無法打開磁盤的問題
8.兼容其它殺毒軟件,可配合使用
超級巡警之U盤病毒免疫器
本工具可對選定磁盤進行特别的免疫處理,使得它的自動運行特性完失效,從而避免帶毒的移動磁盤插入本機後病毒立即自動執行。本工具還具備修複系統磁盤關聯和取消系統自動運行特性,徹底解決某些殺毒軟件在殺除病毒後無法打開磁盤的症狀。
注:如果不選擇任何磁盤,将執行附加功能,即修複磁盤關聯和取消系統自動運行特性。
使用說明:
1.首先選擇免疫的目标,可以選擇所有本地驅動器,也可以選擇指定的盤,比如U盤。
2.然後執行免疫即可。這将在磁盤上建立免疫的目錄,此後這個U盤拿到别的機子,即使把自動運行的病毒拷入,也無法激活運行。如果想删除免疫的目錄,該目錄無法簡單删除,請在工具中選擇取消免疫!
3.修複磁盤打開關聯是指,在感染了某些AUTORUN.INF病毒,用戶自行手動删除後使得雙擊該磁盤無法打開,選中該項目将進行修複。
4.禁止自動運行功能,将屏蔽系統的自動運行功能。
金山U盤專殺
簡要介紹:金山系統急救箱團隊開發的一款U盤專殺工具,采用兩套特征庫匹配,兩種U盤病毒高啟發算法。可以清除已知樣本1000多個,并可以啟發清除未知U盤病毒。
U盤病毒專殺工具2010年01月17日更新處理Conficker變種。
可以解決以下情況:
1.U盤原來存在的文件夾全部被隐藏
2.插入U盤後每個有文件的文件夾裡面都會出現一個和該文件夾同名的,文件夾圖标的EXE文件
3.U盤出現裡的文件夾後綴名為exe,scr的文件
4.所有U盤原文件夾别隐藏,出現1.2MB同名exe或者1.4M
5.U盤中毒後文件夾看不見了,如果恢複呢?