隨身碟流行病毒分析及清除方法

2019-02-21 03:31:09

隨身碟流行病毒分析及清除方法

隨身碟流行病毒的形態為autorun名稱的隱藏檔案,後綴名為inf、exe等十種,通常表現為雙擊無法打開機器盤符,只能右擊再點打開;系統變慢。有的沒有感覺到異樣,不大影響使用,但硬碟根目錄下仍然有各種名為autorun的隱藏檔案,所以很多人以為那是正常的系統檔案而沒有清除它。目前筆者碰到的很多機子上都發現了此病毒。
請大家立刻檢查自己的電腦,檢查最方便的方法是:打開winrar軟體,瀏覽硬碟C、D、E等根目錄即可,如果發現有名為autorun的各種檔案,就應該立即採取措施了。

清除方法:

1、autorun.exe病毒!!

許多人都遇到過u盤打不開的問題,雙擊後提示拒絕訪問,右鍵單擊選單的前幾項是英文,這是u盤中的症狀,許多人不明白這是病毒,對此置之不理,認為就是麻煩一點,用u盤時還要點右鍵。這就是autorun病毒,有的也叫rose 病毒。此病毒作用機理是在各個盤的資源回收筒中複製autorun.exe病毒體,同時創建autorun.inf自運行檔案(均為系統隱藏檔案,需要在資料夾選項中做相應設定才可以見)。autorun.inf的作用是當你雙擊盤符時自動運行只定程式。此次病毒autorun.inf:

[autorun]
Shellexecute=RECYCLER\autorun.exe

就是指定autorun.exe這個病毒程式的運行。
中毒之後症狀:
1、在系統中占用大量cpu資源。
2、在每個分區下建立autorun.exe、autorun.inf2個檔案,雙擊該盤符時顯示自動運行,但無法打開該分區。
3、大部分通過隨身碟、移動硬碟等存儲設備傳播。
4、可能會引起部分作業系統崩潰,表現在開機自檢後直接並反覆重啟,無法進入系統。
5、當插入u盤時自動播放對話框中的第一選項就不再是播放而是運行這個盤中的程式
6、刪除盤中的word文檔等

2、隨身碟病毒和Autorun.inf檔案分析

autorun.inf這個檔案是很早就存在的,在WinXP以前的其他windows系統(如Win98,2000等),需要讓光碟、隨身碟插入到機器自動運行的話,就要靠autorun.inf。這個檔案是保存在驅動器的根目錄下的(是一個隱藏的系統檔案),它保存著一些簡單的命令,告訴系統這個新插入的光碟或硬體應該自動啟動什麼程式,也可以告訴系統讓系統將它的盤符圖示改成某個路徑下的icon。所以,這本身是一個常規且合理的檔案和技術。

病毒作者可以利用autorun.inf的自動功能,讓移動設備在用戶系統完全不知情的情況下,“自動”執行任何命令或應用程式。因此,通過這個autorun.inf檔案,可以放置正常的啟動程式,如我們經常使用的各種教學光碟,一插入電腦就自動安裝或自動演示;也可以通過此種方式,放置任何可能的惡意內容。

目前相關的隨身碟病毒的隱藏方式:

有了啟動方法,病毒作者肯定需要將病毒主體放進光碟或者隨身碟里才能讓其運行的,但是堂而皇之的放在隨身碟里肯定會被用戶發現而刪除(即使不知道其是病毒,不是自己的不知名檔案也會刪除吧),所以,病毒肯定會隱藏起來存放在一般情況下看不到的地方了。一種是假資源回收筒方式:病毒通常在隨身碟中建立一個“RECYCLER”的資料夾,然後把病毒藏在裡面很深的目錄中,一般人以為這就是資源回收筒了,而事實上,資源回收筒的名稱是“Recycled”,而且兩者的圖示是不同的:

另一種是假冒防毒軟體方式:病毒在隨身碟中放置一個程式,改名“RavMonE.exe”,這很容易讓人以為是瑞星的程式,其實是病毒。

也許有人會問,為什麼在你的機器上能看到上面的檔案,我的機器看不到呢?很簡單,通常的系統安裝,默認是會隱藏一些資料夾和檔案的,病毒就會將自己改造成系統資料夾、隱藏檔案等等,一般情況下當然就看不到了。要讓自己能看到隱藏的檔案,怎么辦?個人如操作,按如下步驟:打開“我的電腦”,在選單欄上點“工具”,點“資料夾選項”,出現一個對話框,選擇“查看”標籤,然後對照下圖:

如果隨身碟帶有上述病毒,還會一個現象,當你點擊隨身碟時,會多了一些東西--右鍵選單多了“自動播放”、“Open”、“Browser”等項目。這裡註明一下:凡是帶Autorun.inf的移動媒體,包括光碟,右鍵都會出現“自動播放”的選單,這是正常的功能。

綜上所述:

目前的隨身碟病毒都是通過Autorun.inf來進入的;
Autorun.inf本身是正常的檔案,但可被利用作其他惡意的操作;
不同的人可通過Autorun.inf放置不同的病毒,因此無法簡單說是什麼病毒,可以是一切病毒、木馬、黑客程式等;
一般情況下,隨身碟不應該有Autorun.inf檔案;*
如果發現隨身碟有Autorun.inf,且不是你自己創建生成的,請刪除它,並且儘快查毒;
如果有貌似資源回收筒、瑞星檔案等檔案,而你又能通過對比硬碟上的資源回收筒名稱、正版的瑞星名稱,同時確認該內容不是你創建生成的,請刪除它;
同時,一般建議插入隨身碟時,不要雙擊隨身碟,另外有一個更好的技巧:插入隨身碟前,按住Shift鍵,然後插入隨身碟,建議按鍵的時間長一點。插入後,用右鍵點擊隨身碟,選擇“資源管理器”來打開隨身碟。註:部分隨身碟製造商可能也會利用Autorun.inf進行自己的特色設計,目的是為了讓用戶執行廠商的特色程式。已確認部分廠商確實使用了這種方式,因此建議購買隨身碟是先做識別,或諮詢銷售人員。

3、書寫清除病毒的批處理檔案來快速清除病毒

將下段綠色代碼另外儲存為bat檔案,雙擊即可清除常見隨身碟病毒:

清除隨身碟病毒@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
del m:\autorun.* /f /q /as
del n:\autorun.* /f /q /as
del o:\autorun.* /f /q /as
del p:\autorun.* /f /q /as
del q:\autorun.* /f /q /as
del r:\autorun.* /f /q /as
del s:\autorun.* /f /q /as
del t:\autorun.* /f /q /as
del u:\autorun.* /f /q /as
del v:\autorun.* /f /q /as
del w:\autorun.* /f /q /as
del x:\autorun.* /f /q /as
del y:\autorun.* /f /q /as
del z:\autorun.* /f /q /as
start explorer.exe

相關文章
精选文章