優(yōu)盤作為使用最為廣泛的存儲設(shè)備，如果將其作為病毒的載體，輕則破壞計算機(jī)文件或者系統(tǒng)，重則還可以破壞和癱瘓計算網(wǎng)絡(luò)。優(yōu)盤病毒是指利用優(yōu)盤(移動存儲設(shè)備)作為載體來傳播病毒，其主要特征是在被感染的優(yōu)盤中生成Autorun.inf文件，并附帶有一個可執(zhí)行程序。 

 

1.優(yōu)盤病毒危害 

 

早期的優(yōu)盤病毒僅僅是惡作劇，被感染計算機(jī)往往出現(xiàn)打不開文件，或者顯示一些具有搞笑性質(zhì)的東西。隨著優(yōu)盤容量的不斷擴(kuò)大和廣泛使用，優(yōu)盤成為傳輸文件等數(shù)據(jù)資料的主要存儲介質(zhì)之一，日常使用和交換的文件，包括涉密文件均是通過優(yōu)盤來進(jìn)行傳輸，雖然市面上推出了一些保密優(yōu)盤，但是這些保密優(yōu)盤其主要功能是防止優(yōu)盤丟失后，拾者隨意瀏覽文件，并不能防止優(yōu)盤病毒的傳播，優(yōu)盤病毒在使用者瀏覽優(yōu)盤時就進(jìn)行了感染。優(yōu)盤病毒具有交叉感染的特點(diǎn)，即感染了優(yōu)盤病毒的計算機(jī)，在插入一個未感染的優(yōu)盤到感染計算機(jī)中時，病毒會自動感染優(yōu)盤，當(dāng)將已經(jīng)感染優(yōu)盤病毒的優(yōu)盤插入未感染計算機(jī)中時，未感染病毒的計算機(jī)將感染優(yōu)盤病毒。在對優(yōu)盤病毒分析研究中我們發(fā)現(xiàn)，優(yōu)盤病毒具有輪渡技術(shù)，即將系統(tǒng)中的某些指定關(guān)鍵字的文件復(fù)制到優(yōu)盤中，當(dāng)優(yōu)盤插入到具有上網(wǎng)條件的計算機(jī)中使用時，優(yōu)盤病毒會將已經(jīng)復(fù)制的文件傳送到指定的郵箱或者木馬病毒控制端。 

 

優(yōu)盤病毒作為一種傳染性病毒，其危害如下： 

 

(1)破壞軟件系統(tǒng)，影響工作。對于一般性優(yōu)盤病毒將會破壞系統(tǒng)文件的完整性，導(dǎo)致系統(tǒng)不能正常打開文件，其危害程度較輕。 

 

(2)刪除或者更改文件。這種優(yōu)盤病毒往往帶有惡作劇，例如將系統(tǒng)中所有的word等文件全部刪除，或者將Word文件的默認(rèn)后綴更改為其它名稱導(dǎo)致文件打不開，其危害程度中等。 

 

(3)盜取系統(tǒng)中各種密碼帳號，實施遠(yuǎn)程控制。目前很多個人計算機(jī)大多具備上網(wǎng)條件，一旦連接上網(wǎng)絡(luò)，病毒就會主動連接控制端，將系統(tǒng)中的密碼和帳號發(fā)到指定郵箱，并實施遠(yuǎn)程控制將其作為僵尸網(wǎng)絡(luò)的木馬端。 

 

(4)平時竊取資料，戰(zhàn)時破壞系統(tǒng)。優(yōu)盤病毒平時蟄伏在計算機(jī)中，當(dāng)具備互聯(lián)網(wǎng)條件時將平時復(fù)制的資料通過網(wǎng)絡(luò)傳輸?shù)街付ㄠ]箱，當(dāng)發(fā)生戰(zhàn)爭時可以破壞和癱瘓計算機(jī)系統(tǒng)或者計算機(jī)網(wǎng)絡(luò)，其危害程度最大。 

 

2.優(yōu)盤病毒危害機(jī)理 

 

2.1病毒的傳播原理 

 

優(yōu)盤病毒主要通過優(yōu)盤與計算機(jī)的交互來進(jìn)行傳播。近年來，在“黑色”產(chǎn)業(yè)鏈利益驅(qū)動下，利用優(yōu)盤病毒傳播已經(jīng)成為病毒的一大必備功能;病毒感染主要通過存在安全漏洞的網(wǎng)站“掛馬”來實現(xiàn)，網(wǎng)站“掛馬”主要利用的是IE等安全漏洞，當(dāng)用戶沒有安裝補(bǔ)丁程序而訪問被“掛馬”的網(wǎng)站中的網(wǎng)頁時，系統(tǒng)就會“偷偷”地執(zhí)行網(wǎng)頁中指定的程序，從而達(dá)到控制等目的。此外還有一種就是通過發(fā)送垃圾郵件、捆綁木馬軟件到正常軟件中供并放在網(wǎng)站上供網(wǎng)絡(luò)用戶下載等方式來進(jìn)行優(yōu)盤病毒的傳播。 

 

2.2優(yōu)盤病毒傳播階段 

 

優(yōu)盤對病毒的傳播主要借助的就是autorun.inf文件，主要分為2個階段。 

 

第一階段：感染病毒，當(dāng)用戶將一塊沒有任何病毒的優(yōu)盤插入一臺潛伏了病毒的主機(jī)上，通過一些常用的操作后，可能就會激發(fā)病毒程序。病毒首先會將自身復(fù)制到優(yōu)盤中，同時創(chuàng)建一個名為autorun.inf的文件。此時，這塊優(yōu)盤就被病毒感染了。 

 

第二階段：傳播病毒，當(dāng)這塊優(yōu)盤插入到一臺沒有任何病毒的電腦上后，使用者雙擊打開優(yōu)盤文件瀏覽時，Windows默認(rèn)會以autorun.inf文件中的設(shè)置去運(yùn)行優(yōu)盤中的病毒程序，此時Windows操作系統(tǒng)就被感染了。 

 

2.3 autorun.ini文件運(yùn)行機(jī)理 

 

autorun.inf是設(shè)備自動運(yùn)行的設(shè)置文件，比如當(dāng)插入某些驅(qū)動光盤后，Windows就會自動運(yùn)行驅(qū)動安裝程序，這就是靠autorun.inf文件里面設(shè)置。其中的filename就是木馬程序。其文件格式有以下幾種： 

 

（1）自動運(yùn)行的程序 

 

Open=filename.exe 

 

 

（2）修改上下文菜單，把默認(rèn)項改為病毒的啟動項 

 

ShellAutocommand=filename.exeShell=Auto 

 

 

（3）只要調(diào)用ShellExecuteA/W函數(shù)試圖打開優(yōu)盤根目錄，病毒就會自動運(yùn)行 

 

Shellexecute=filename.exeShellExecute=…… 

（4）偽裝成系統(tǒng)文件，迷惑性比較大，較為常見的就是偽裝成垃圾回收站。 

 

Shellopen=打開（&O）ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=資源管理器（&X） 

 

 

2.4優(yōu)盤病毒程序隱藏方式 

 

(1)作為系統(tǒng)文件隱藏。一般系統(tǒng)文件是看不見的，所以這樣就達(dá)到了隱藏的效果。但這也是比較初級的，現(xiàn)在的病毒一般不會采用這種方式。 

 

(2)偽裝成其他文件。由于一般計算機(jī)用戶不會顯示文件的后綴，或者是文件名太長看不到后綴，于是有些病毒程序?qū)⒆陨韴D標(biāo)改為其他文件的圖標(biāo)，導(dǎo)致用戶誤打開。 

 

(3)藏于系統(tǒng)文件夾中。這些系統(tǒng)文件夾往往都具有迷惑性，如文件夾名是回收站的名字。 

 

(4)運(yùn)用Windows的漏洞。有些病毒所藏的文件夾的名字為 runauto...,這個文件夾打不開，系統(tǒng)提示不存在路徑，其實這個文件夾的真正名字是 runauto...\。

3.優(yōu)盤病毒發(fā)展趨勢 

 

據(jù)軟件監(jiān)測結(jié)果表明，目前至少存在288種優(yōu)盤病毒;優(yōu)盤病毒由過去功能單一，逐漸演變?yōu)楣δ鼙姸啵壹夹g(shù)水平越來越高。目前的優(yōu)盤病毒在感染計算機(jī)上還會關(guān)閉防火墻、殺毒軟件、系統(tǒng)自動更新以及Windows安全中心，高級一點(diǎn)的會修改防火墻和病毒設(shè)置，使其安全穿透個人防火墻，還有一些未公布的優(yōu)盤病毒，已經(jīng)做到感染PE文件，計算機(jī)一旦被感染這種病毒很難根除。目前世界上大多數(shù)病毒都具備優(yōu)盤病毒感染功能，使其成為內(nèi)網(wǎng)和外網(wǎng)溝通的橋梁，優(yōu)盤病毒已經(jīng)成為一種頑疾。由于優(yōu)盤病毒的巨大危害性，很多殺毒軟件都會查殺以Autorun.inf文件為主要特征的優(yōu)盤病毒，因此新型的優(yōu)盤病毒將向硬件以及驅(qū)動程序發(fā)展。可以將優(yōu)盤病毒直接嵌入到一些硬件設(shè)備，例如手機(jī)、mp3等，需要激活時只需要通過網(wǎng)絡(luò)發(fā)送一個密碼指令即可。另外一種趨勢就是將優(yōu)盤病毒做成驅(qū)動級，任何系統(tǒng)都離不開驅(qū)動程序，通過驅(qū)動程序來進(jìn)行病毒的傳播和控制。 

 

4.優(yōu)盤病毒防范措施 

 

安全只是相對的安全，沒有絕對的安全，對于移動存儲設(shè)備主要通過兩個層面來進(jìn)行防范，一個是技術(shù)層面，另外一個是非技術(shù)層面。技術(shù)層面主要從數(shù)據(jù)的完整性、準(zhǔn)確性及排他性等方面進(jìn)行考慮;非技術(shù)層面針對培訓(xùn)、思想意識以及組織管理方面進(jìn)行考慮。 

 

4.1技術(shù)防范 

 

(1)及時更新安全漏洞補(bǔ)丁和病毒庫 

 

對于個人和公司來說，每人都是安全專家肯定不現(xiàn)實，殺毒軟件是安全領(lǐng)域的衛(wèi)士，能夠查殺市面大多數(shù)病毒，因此及時更新安全漏洞補(bǔ)丁、應(yīng)用程序漏洞補(bǔ)丁及其病毒庫可以有效的降低安全風(fēng)險。目前市面上銷售的正版殺毒軟件都帶有漏洞掃描功能，通過漏洞掃描生成的報告，可選擇自動修復(fù)功能修復(fù)系統(tǒng)所存在的漏洞。 

 

(2)禁止移動設(shè)備自動播放 

 

很多木馬病毒都是通過自動運(yùn)行來執(zhí)行的，因此在打開移動存儲設(shè)備時，盡量不使用自動運(yùn)行，而通過瀏覽器或者資源管理器來打開;如果設(shè)備具有可讀寫保護(hù)功能，則在從設(shè)備復(fù)制資料到計算機(jī)時，可使用可讀保護(hù)開關(guān)，杜絕感染系統(tǒng)通過優(yōu)盤進(jìn)行病毒傳播。對Windows Xp操作系統(tǒng)，單擊“開始”-“運(yùn)行”，在運(yùn)行中輸入gpedit.msc進(jìn)入組策略編輯器，依次選擇“用戶配置”-“管理模板”-“系統(tǒng)”-“關(guān)閉自動播放”，在“關(guān)閉自動播放”屬性窗口選擇“已啟用”，關(guān)閉自動播放中選擇“所有驅(qū)動器”，單擊“應(yīng)用”按鈕禁用系統(tǒng)中所有驅(qū)動器的自動播放功能。 

 

(3)實時監(jiān)控，殺毒先行 

 

對殺毒軟件和個人防火墻要實時監(jiān)控，確保殺毒軟件及其個人防火墻都在正常運(yùn)行。在使用移動存儲設(shè)備時，首先查殺移動存儲設(shè)備中的文件，在確定無病毒的情況下，再進(jìn)行其他操作。Windows操作系統(tǒng)默認(rèn)不顯示隱藏文件和系統(tǒng)保護(hù)文件，病毒往往利用這一點(diǎn)進(jìn)行病毒隱藏和傳播，因此需要通過“文件夾”-“查看”選項，選擇“顯示所有文件和文件夾”和去掉“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”復(fù)選框，方便查看優(yōu)盤以及系統(tǒng)其它盤中是否隱藏病毒文件。 

 

(4)在所有磁盤中創(chuàng)建Autorun.inf文件夾 

 

優(yōu)盤病毒一般都是利用Autorun.inf文件來進(jìn)行傳播，根據(jù)Windows操作系統(tǒng)文件以及文件夾名稱唯一性原則，系統(tǒng)僅存在唯一名稱文件，因此可以在系統(tǒng)所有磁盤中建立一個名稱為“Autorun.inf”的文件夾，使優(yōu)盤病毒不能創(chuàng)建Autorun.inf文件而達(dá)到防范優(yōu)盤病毒的目的。 

 

(5)謹(jǐn)慎下載，安全運(yùn)行 

 

在需要軟件時，盡量到正規(guī)大型網(wǎng)站進(jìn)行下載，下載后對軟件進(jìn)行查殺毒處理，防止軟件被捆綁木馬程序。如果需要運(yùn)行在重要計算機(jī)上面，必須進(jìn)行安全性測試，確保該軟件對系統(tǒng)不會造成危害。 

 

(6)做好系統(tǒng)和數(shù)據(jù)備份 

 

近年來，計算機(jī)木馬病毒往往帶有較強(qiáng)的商業(yè)利益目的，尤其是以優(yōu)盤為傳播介質(zhì)的病毒;例如最近出現(xiàn)的熊貓病毒、AV病毒，會對所有可執(zhí)行文件進(jìn)行感染，如果處理不好，將會帶來巨大的經(jīng)濟(jì)損失。因此平時對重要數(shù)據(jù)和系統(tǒng)一定要做好備份，做到隨時可以恢復(fù)系統(tǒng)，并正常運(yùn)行。 

 

(7)使用一些移動存儲專用管理軟件 

 

根據(jù)數(shù)據(jù)資料的價值，安裝移動存儲專用管理軟件來進(jìn)行優(yōu)盤資料的保護(hù)，這些軟件往往具有文件加密等功能，優(yōu)盤資料只能在指定計算機(jī)和指定網(wǎng)絡(luò)中使用，到其它計算機(jī)上無法讀取，即使讀取也是亂碼，從而保證數(shù)據(jù)的安全。 

 

(8)對移動存儲設(shè)備的一切權(quán)限變更和一切文件操作，全部都有日志記錄和審計。 

 

(9)非法優(yōu)盤，進(jìn)不來。所有能在內(nèi)部使用的優(yōu)盤、移動硬盤必需通過授權(quán)認(rèn)證，沒有經(jīng)過授權(quán)的優(yōu)盤和移動硬盤無法使用。 

 

(10)授權(quán)優(yōu)盤，拿不走。即使是經(jīng)過認(rèn)證的移動存儲設(shè)備，其保存的機(jī)密文件都進(jìn)行了高強(qiáng)度加密存儲，并完全隱藏;授權(quán)優(yōu)盤、移動硬盤在內(nèi)部如常使用，但在外部計算機(jī)看不見任何信息。 

 

4.2非技術(shù)防范、 

 

(1)從制度上加強(qiáng)管理。對于部分有必要的計算機(jī)，才允許使用優(yōu)盤、移動硬盤;其他計算機(jī)禁止使用優(yōu)盤、移動硬盤等移動存儲設(shè)備，凡涉密優(yōu)盤禁止接觸上網(wǎng)計算機(jī)，凡涉密優(yōu)盤，在數(shù)據(jù)處理完畢后，要采取安全刪除文件或者低級格式優(yōu)盤等安全技術(shù)措施，嚴(yán)防從優(yōu)盤中泄漏涉密文件，從源頭上保證安全。 

 

(2)專盤專用。交流使用模式優(yōu)盤僅對外使用，每次使用完畢后進(jìn)行安全處理，做到外盤專用專處理。 

 

(3)加強(qiáng)優(yōu)盤安全意識培訓(xùn)，定期進(jìn)行安全檢查。安全重在安全意識和安全措施的執(zhí)行力度，定期對安全措施的落實情況進(jìn)行安全檢查，結(jié)合安全違規(guī)取證系統(tǒng)對計算機(jī)進(jìn)行涉密文件的安全檢查并進(jìn)行相應(yīng)的安全處理，降低和減少安全隱患。 

 

5.結(jié)束語 

 

優(yōu)盤病毒看似普通，如果管理監(jiān)控不好，將會給個人、企業(yè)乃至國家造成重大損失，本文通過對優(yōu)盤病毒的特點(diǎn)、傳播原理等進(jìn)行了分析，最后從技術(shù)和非技術(shù)的角度給出了優(yōu)盤病毒的防范措施，對于U盤安全管理和病毒防范有一定的借鑒和參考價值。