U盘也称优盘、闪盘,随着闪存芯片价格的急剧下滑,U盘以其体积小巧、便于携带、存储容量大、抗震性能强、即插即用等独特的优点而得以广泛普及,已经逐步取代软盘成为日常工作中计算机用户最为常用的文件交换工具。然而,U盘在为人们带来极大便利的同时,也为病毒寄生和繁衍提供了天然的温床。我们常说的U盘病毒,并不是单指某一个具体的病毒,也不是指只通过U盘才能传播的病毒,而是泛指所有可以通过移动存储介质进行传播的一类病毒,但由于U盘最常用,通过U盘传播的概率最大,所以称之为U盘病毒。当前,U盘病毒泛滥,U盘使用的便捷性和安全性往往难以两全。只要用户在工作中无法做到完全放弃使用U盘,就必须了解U盘病毒的原理及症状,掌握U盘病毒的基本防治措施,采取正确的操作使用方法,形成良好的使用习惯,才能有效避免U盘病毒的威胁。
U盘病毒疫情概况
2003年,国内首例通过U盘传播的“不公平”(Worm.Unfair)蠕虫病毒诞生了,但当时并没有引起人们足够的重视。在接下来短短的几年时间内,可通过U盘传播的病毒数量快速增长,有关U盘病毒的案例也呈明显上升趋势。2007年2月份,国家计算机病毒应急处理中心专门发出了“当心U盘传播病毒”的重大病毒预警,警告计算机用户U盘已成为病毒和木马传播的最主要途径之一。此后,“U盘寄生虫”持续蝉联各大安全厂商发布的病毒排行榜榜首位置,“熊猫烧香”“U盘破坏者”等U盘病毒开始频频作恶,U盘病毒终成气候。当前,很多造成大面积传播的病毒和木马都以U盘作为首选传播媒介,U盘使用比较广泛的公共场所,如网吧、公共机房、文印店等,U盘病毒成了随意流窜的“流动杀手”,令人防不胜防。在办公室,U盘病毒频繁光顾袭扰,瘫痪系统,破坏数据,窃取文件,使得计算机用户头痛不已。
U盘病毒原理及症状
U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放功能是Windows系统为客户提供方便的一种特性,当这种功能启用时,U盘或光盘插入到计算机上时无须用户干预,就会自动运行介质中的指定程序,从而实现软件自动安装、媒体自动演示等功能。这一功能是通过U盘或光盘中的系统隐藏文件Autorun.inf来实现的,它是一个存放在驱动器根目录下的一个纯文本脚本文件,保存着一些简单的命令,指定系统自动运行的程序名称和路径。U盘病毒感染U盘后,一般会在U盘根目录下自动生成Autorun.inf。当用户双击U盘盘符时,便电脑自动调用该文件,在用户完全不知情的情况下,“自动”运行该文件指定的U盘中的病毒程序,向各硬盘分区的根目录拷贝病毒体和Autorun.inf。病毒在Windows系统中潜伏下来后,当用户插入干净的U盘时,病毒又如法炮制,将无毒U盘变为带毒U盘,从而实现了病毒的传播。从这一原理我们可以看出,经常交叉使用U盘的计算机最容易感染U盘病毒,并成为传播病毒的“毒巢”。
U盘病毒除利用Windows系统的自动播放功能外,通常还会采用中断进程、“映像劫持”、线程插入与进程守护等先进技术,进行关闭杀毒软件进程、禁止安全工具服务、远程下载木马等一系列恶劣的行径,给用户上网安全带来极大的威胁。当前,病毒趋利性倾向日益明显,有些木马性质的U盘病毒驻留系统后,会秘密窃取计算机中的敏感文件,将其写入U盘中,并通过网络伺机发送到黑客手中,这一类U盘病毒对涉密单位的危害尤其严重。
感染U盘病毒后,计算机除了具有感染普通病毒所具有的症状外,还经常出现如下特殊症状:双击U盘或硬盘盘符后无法打开;U盘盘符图标被更改成特殊图标;右键点击U盘盘符之后,弹出菜单中的第一个选项不是通常的“打开”,而是“自动播放”“Open”“Browser”等选项;U盘和硬盘根目录中出现Autorun.inf文件;U盘根目录下出现Recycler和System Volume Information等隐藏文件夹或其他非正常文件,等等。
U盘病毒防治措施
在了解U盘的基本原理后,我们可以通过关闭系统默认的自动播放功能,来防止插入带毒U盘系统就会自动感染病毒的情况发生。关闭自 动播放功能的办法有多种,如插入U盘时按住“Shift”键,修改注册表有关键值,禁止Shell Hardware Detection服务等。但简单易行的做法是使用组策略,一次性全部禁用Windows的自动播放功能。以WindowsXP为例,其步骤是:点击“开始/运行”,在文本框中键入“gpedit.msc”并运行,打开“组策略”窗口;在左侧栏的“本地计算机策略”下,打开“计算电脑机配置/管理模板/系统”对象,然后在右侧栏的“设置”标题下,双击“关闭自动播放”;选择“设置”选项卡,勾取“已启用”选项,然后在“关闭自动播放”下拉框中选择“所有驱动器”,单击“确定”退出。这种方法只是不让病毒自动运行,要想安全打开U盘,还应仔细操作,否则一不小心就会运行病毒。
还有一种预防措施,对很多U盘病毒非常有效。其方法是:在U盘根目录下建立一个文件夹,将其命名为Autorun.inf。由于Windows系统规定在同一目录中,同名的文件和文件夹不能共存,这样病毒就不能创建Autorun.inf文件,无法感染这个U盘。目前很多杀毒软件和安全工具,就采取这一措施,使得U盘具有一定的免疫功能。
如果系统不幸感染U盘病毒,通常应升级杀毒软件的病毒库,重新启动后进入安全模式下全面杀毒。杀毒前切记不要双击驱动器盘符,避免病毒的再次运行。如果此时想打开硬盘,可以通过资源管理器左侧栏点击进入。如果杀毒失败需要重装系统,则应注意重装后只有C盘中的病毒被清除掉了,其他盘中的病毒依然存在,双击其他盘符时病毒会重复感染系统。
U盘使用注意事项
防范U盘病毒,防止通过U盘发生失泄密事件,光有预防措施是远远不够的。在U盘的日常使用过程中,除要采取及时升级杀毒软件、安装系统补丁等防范病毒的一般方法外,还必须特别注意以下几个方面,养成良好的U盘使用习惯。
一是要尽量专盘专用。存储重要或涉密文件的U盘与一般用途的U盘要严格区分,前者要由专人保管,严格限制其使用范围,在日常工作中不得用于与其他计算机频繁交换文件,尤其要避免在网吧、机房、文印店等公共场所使用。
二是要在打开U盘前先进行杀毒处理。有的病毒文件利用人们的好奇心,取一个有诱惑性的名字,引诱用户打开,从而感染系统,因此不要随便打开U盘中的不明文件。在打开U盘特别是外来U盘前必须进行杀毒处理。
三是要采用安全的U盘打开方式。不要用双击方式打开U盘,而应使用右键点击U盘盘符,选择“资源管理器”选项打开U盘。U盘使用完毕后,最好立即从计算机中拨出,不要长时间插在计算机上,以减少中毒的机率。
四是要尽量打开U盘写保护功能。部分U盘具有硬件写保护开关,由于任何病毒都不可能启动硬件电路开关,因此在操作使用过程中,如果只需要读取U盘文件,请打开硬件写保护,防止病毒趁机写入。在内网或涉密计算机中使用U盘,尤其应该如此。
五是要尽量用光盘传送文件。当出于工作需要必须由内网向外网或由涉密计算机向普通计算机传送文件时,可将待传送文件刻录在光盘中进行传递。因为通过刻录软件写入光盘的文件需要用户明确指定,病毒很难秘密地将非授权的敏感文件写入光盘。
六是要注意其他移动存储设备。U盘病毒并非仅通过U盘传播,所有的移动存储设备都是其传播媒介,如移动硬盘、MP3和MP4播放器、数码相机和智能手机的扩展存储卡等。因此在使用这些设备时,以上几条规则也同样适应,千万不可忽视。
综合采取以上措施和方法,能有效防止U盘病毒的侵扰,但不能保证U盘的绝对安全,因为病毒也在不停地进化和升级,上述措施和方法有可能失效,绝非一劳永逸。因此,广大计算机用户要密切关注U盘病毒的最新动态,根据安全厂商和有关部门的建议,及时采取针对性措施,才能最大限度地提高U盘的安全性。
电脑