一、什么是U盤病毒：
    U盤(自動(dòng)運(yùn)行)類病毒(auto病毒)近來非常常見，并且具有一定程度危害，它的機(jī)理是依賴Windows的自動(dòng)運(yùn)行功能，使得我們?cè)邳c(diǎn)擊打開磁盤的時(shí)候，自動(dòng)執(zhí)行相關(guān)的文件。目前我們使用U盤都十分頻繁，當(dāng)我們享受U盤所帶來的方便時(shí)，U盤病毒也在悄悄利用系統(tǒng)的自動(dòng)運(yùn)行功能肆意傳播，目前流行的U盤病毒文件大家甚至耳熟能詳了，比如經(jīng)常有網(wǎng)友問的SSS.EXE SXS.EXE如何查殺這類的，下面我們將對(duì)U盤病毒極其特性和防范辦法進(jìn)行分析總結(jié)。
    二、U盤病毒有什么特性嗎：
    所謂的自動(dòng)運(yùn)行功能是指Windows系統(tǒng)一種方便特性，使當(dāng)光盤、U盤插入到機(jī)器自動(dòng)運(yùn)行，而這種特性的實(shí)現(xiàn)就是通過磁盤跟目錄下的 autorun.inf文件進(jìn)行。這個(gè)文件保存在驅(qū)動(dòng)器的根目錄下(一般會(huì)是一個(gè)隱藏屬性的系統(tǒng)文件)，它保存著一些簡(jiǎn)單的命令，告知系統(tǒng)新插入的光盤或 U盤應(yīng)該自動(dòng)啟動(dòng)什么程序等。
    常見的Autorun.inf文件格式大致如下：
    [AutoRun]//表示AutoRun部分開始，必須輸入
    icon=C:\C.ico//指定給C盤一個(gè)個(gè)性化的盤符圖標(biāo)C.ico
    open=C:\1.exe//指定要運(yùn)行程序的路徑和名稱，只要在此放入病毒程序就可自動(dòng)運(yùn)行；
    在Windows系統(tǒng)有允許和阻止自動(dòng)運(yùn)行的鍵值的方法：
    在注冊(cè)表中找到如下鍵：
    鍵路徑
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]
    在右側(cè)窗格中有“NoDriveTypeAutoRun”這個(gè)鍵決定了是否執(zhí)行Autorun功能.其中每一位代表一個(gè)設(shè)備，不同設(shè)備用以下數(shù)值表示：
    設(shè)備名稱 第幾位 值 設(shè)備用如下數(shù)值表示 設(shè)備名稱含義
    DRIVE_UNKNOWN 0 1 01h 不能識(shí)別的類型設(shè)備
    DRIVE_NO_ROOT_DIR 1 0 02h 沒有根目錄的驅(qū)動(dòng)器
    DRIVE_REMOVABLE 2 1 04h 可移動(dòng)驅(qū)動(dòng)器
    DRIVE_FIXED 3 0 08h 固定的驅(qū)動(dòng)器
    DRIVE_REMOTE 4 1 10h 網(wǎng)絡(luò)驅(qū)動(dòng)器
    DRIVE_CDROM 5 0 20h 光驅(qū)
    DRIVE_RAMDISK 6 0 40h RAM磁盤
    其中： 保留 7 1 80h 　未指定的驅(qū)動(dòng)器類型
    以上值“0”表示設(shè)備運(yùn)行，“1”表示設(shè)備不運(yùn)行。
    從上面可以看出，對(duì)應(yīng)的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自動(dòng)運(yùn)行的。所以要禁止硬盤自動(dòng)運(yùn)行AutoRun.inf文件，就必須將DRIVE_FIXED這些鍵的值設(shè)為1，由于DRIVE_FIXED代表固定的驅(qū)動(dòng) 器(即硬盤)。如果僅想禁止軟件光盤的AutoRun功能，但又保留對(duì)CD音頻碟的自動(dòng)播放能力，這時(shí)只需將“NoDriveTypeAutoRun”的鍵值改為：BD,00,00,00即可。
    U盤病毒就是利用這種系統(tǒng)特性，一般在感染后會(huì)修改系統(tǒng)的注冊(cè)表，將顯示所有文件的選項(xiàng)設(shè)置為禁止。甚至修改磁盤關(guān)聯(lián)，殺毒軟件一般會(huì)只把病毒文件清除，但對(duì)殘余的文件不會(huì)處理。這也是常見的殺毒軟件為什么常常無法清除干凈，或者清除后雙擊無法打開磁盤的原因。
    三U盤病毒的手動(dòng)解決辦法：
    ①根據(jù)上面的原理，自己修改注冊(cè)表禁止磁盤的自動(dòng)運(yùn)行特性。
   ②把文件夾選項(xiàng)中隱藏受保護(hù)的操作系統(tǒng)文件鉤掉，選中顯示所有文件和文件夾，點(diǎn)擊確定。這樣可以在感染病毒的移動(dòng)存儲(chǔ)設(shè)備中會(huì)看到幾個(gè)文件(包括autorun.inf和病毒文件)，刪除后，病毒就清除了。