U盘病毒
U盘病毒
U盘病毒顾名思义就是通过U盘传播的病毒。自从发现U盘的autorun.inf漏洞之后,U盘病毒的数量与日俱增。
攻击原理:
病毒首先向U盘写入病毒程序,然后更改autorun.inf文件。autorun.inf文件记录用户选择何种程序来打开U盘。如果autorun.inf文件指向了病毒程序,那么Window就会运行这个程序,引发病毒。一般病毒还会检测插入的U盘,并对其实行上述操作,导致一个新的病毒U盘的诞生。
病毒程序的隐藏方式:
自然,病毒程序不可能明目张胆的出现,一般都是巧妙存在在U盘中。下面总结了一些方式,仅供参考:
1) 作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的。现在的病毒一般不会采用这种方式。
2)伪装成其他文件。由于一般人们不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。
3) 藏于系统文件夹中。虽然感觉与第一种方式相同,但是不然。这里的系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。
4)运用Window的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开,系统提示不存在路径。其实这个文件夹的真正名字是 runauto...。
<以auto为例 rose 和host一样处理。>
<切记 这个方法只适合你发现病毒早 中的不深。>。
手工清理方法总结:
1进安全模式。<开机启动进画面时按下F8 可以选择进入>.
2 运行下输入``regedit`` 进注册表后/ 在ROOT根目录下
进DRIVE /把SHELL下所有键值删除。<技巧:搜索 SHELL 看到Autorun全删除。>
3 然后就是清理工作。在盘的文件夹设置选项下 打开隐藏。再删除Autorun产生的隐藏文件。
如果中毒比较严重了。又懒得使用软件那使用下面方法
新建一个文本文档,并将下面的代码复制其中。复制完毕后点击左上角的“文件-另存为”在下面的文件名那里将该文档的名称“新建 文本文档.txt”改为“killer.bat”,保存完毕后双击运行即可。
=====复制下面的代码,不要复制我======
@ echo off
@echo 本程式专杀copy.exe、host.exe、rose.exe和RavMonE.exe病毒,在杀毒之前请确认wf.reg文件与本程式在同一个目录下。
@ECHO.
@echo 病毒症状:双击盘符不能正常打开,在盘符上单击右键,出现的菜单第一项为“自动播放”。
@ECHO.
@echo 本程式能够查杀所有盘符内的病毒,包括软驱。
@ECHO.
@Pause
@ECHO.
@ECHO.
@ECHO.
@echo -------------正在停止病毒进程...-------------
@taskkill /im temp1.exe /f /t
@taskkill /im temp2.exe /t /f
@echo -------------停止病毒进程成功!-------------
@ECHO.
@echo -------------正在删除关键性病毒文件...-------------
@ del c:windowsxcopy.exe /a /f
@ del c:windowssvchost.exe /a /f
@ del c:windowssystem32emp1.exe /a /f
@ del c:windowssystem32emp2.exe /a /f
@ del d:windowsxcopy.exe /a /f
@ del d:windowssvchost.exe /a /f
@ del d:windowssystem32emp1.exe /a /f
@ del d:windowssystem32emp2.exe /a /f
@ del e:windowsxcopy.exe /a /f
@ del e:windowssvchost.exe /a /f
@ del e:windowssystem32emp1.exe /a /f
@ del e:windowssystem32emp2.exe /a /f
@ del f:windowsxcopy.exe /a /f
@ del f:windowssvchost.exe /a /f
@ del f:windowssystem32emp1.exe /a /f
@ del f:windowssystem32emp2.exe /a /f
@ del g:windowsxcopy.exe /a /f
@ del g:windowssvchost.exe /a /f
@ del g:windowssystem32emp1.exe /a /f
@ del g:windowssystem32emp2.exe /a /f
@echo -------------关键性病毒文件删除成功!-------------
@echo.
@echo -------------正在删除病毒文件...-------------
@ del a:autorun.inf /a /f
@ del a:copy.exe /a /f
@ del a:host.exe /a /f
@ del a:
ose.exe /a /f
@ del b:autorun.inf /a /f
@ del b:copy.exe /a /f
@ del b:host.exe /a /f
@ del b:
ose.exe /a /f
@ del c:autorun.inf /a /f
@ del c:copy.exe /a /f
@ del c:host.exe /a /f
@ del c:
ose.exe /a /f
@ del d:autorun.inf /a /f
@ del d:copy.exe /a /f
@ del d:host.exe /a /f
@ del d:
ose.exe /a /f
@ del e:autorun.inf /a /f
@ del e:copy.exe /a /f
@ del e:host.exe /a /f
@ del e:
ose.exe /a /f
@ del f:autorun.inf /a /f
@ del f:copy.exe /a /f
@ del f:host.exe /a /f
@ del f:
ose.exe /a /f
@ del g:autorun.inf /a /f
@ del g:copy.exe /a /f
@ del g:host.exe /a /f
@ del g:
ose.exe /a /f
@ del h:autorun.inf /a /f
@ del h:copy.exe /a /f
@ del h:host.exe /a /f
@ del h:
ose.exe /a /f
@ del i:autorun.inf /a /f
@ del i:copy.exe /a /f
@ del i:host.exe /a /f
@ del i:
ose.exe /a /f
@ del j:autorun.inf /a /f
@ del j:copy.exe /a /f
@ del j:host.exe /a /f
@ del j:
ose.exe /a /f
@ del k:autorun.inf /a /f
@ del k:copy.exe /a /f
@ del k:host.exe /a /f
@ del k:
ose.exe /a /f
@ del l:autorun.inf /a /f
@ del l:copy.exe /a /f
@ del l:host.exe /a /f
@ del l:
ose.exe /a /f
@ del m:autorun.inf /a /f
@ del m:copy.exe /a /f
@ del m:host.exe /a /f
@ del m:
ose.exe /a /f
@ del n:autorun.inf /a /f
@ del n:copy.exe /a /f
@ del n:host.exe /a /f
@ del n:
ose.exe /a /f
@ del autorun.inf /a /f
@ del copy.exe /a /f
@ del host.exe /a /f
@ del
ose.exe /a /f
@ del p:autorun.inf /a /f
@ del p:copy.exe /a /f
@ del p:host.exe /a /f
@ del p:
ose.exe /a /f
@ del q:autorun.inf /a /f
@ del q:copy.exe /a /f
@ del q:host.exe /a /f
@ del q:
ose.exe /a /f
@ del r:autorun.inf /a /f
@ del r:copy.exe /a /f
@ del r:host.exe /a /f
@ del r:
ose.exe /a /f
@ del s:autorun.inf /a /f
@ del s:copy.exe /a /f
@ del s:host.exe /a /f
@ del s:
ose.exe /a /f
@ del t:autorun.inf /a /f
@ del t:copy.exe /a /f
@ del t:host.exe /a /f
@ del t:
ose.exe /a /f
@ del u:autorun.inf /a /f
@ del u:copy.exe /a /f
@ del u:host.exe /a /f
@ del u:
ose.exe /a /f
@ del v:autorun.inf /a /f
@ del v:copy.exe /a /f
@ del v:host.exe /a /f
@ del v:
ose.exe /a /f
@ del w:autorun.inf /a /f
@ del w:copy.exe /a /f
@ del w:host.exe /a /f
@ del w:
ose.exe /a /f
@ del x:autorun.inf /a /f
@ del x:copy.exe /a /f
@ del x:host.exe /a /f
@ del x:
ose.exe /a /f
@ del y:autorun.inf /a /f
@ del y:copy.exe /a /f
@ del y:host.exe /a /f
@ del y:
ose.exe /a /f
@ del z:autorun.inf /a /f
@ del z:copy.exe /a /f
@ del z:host.exe /a /f
@ del z:
ose.exe /a /f
@echo -------------病毒文件删除成功!-------------
@ECHO.
@echo -------------正在修复注册表...-------------
@regedit /s wf.reg
@echo -------------注册表修复成功!-------------
@ECHO.
@echo =============病毒清除成功=============
@ECHO.
SET /p c=重新启动计算机后才会生效,是否重新启动?[y,n]
if "%c%"=="y" shutdown /r /t 0
if "%c%"=="Y" shutdown /r /t 0
=====复制上面的代码,不要复制我======
2
新建一个文本文档,并将下面的代码复制其中。复制完毕后点击左上角的“文件-另存为”在下面的文件名那里将该文档的名称“新建 文本文档.txt”改为“wf.reg”
=====复制下面的代码,不要复制我======
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"=""
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"RavAV"=-
=====复制上面的代码,不要复制我======
上述的病毒都会运用到系统的自动播放功能,当双击打开磁盘时,就会激活并运行病毒。而且上述的Copy病毒主要是利用U盘传播,而人们普遍都喜欢开着系统的自动播放功能,这样,在U盘一插入电脑时就会自动打开U盘内的内容,这虽然方便了操作,但却成了病毒传播的重要手段!!
下面就来关掉系统的自动播放功能
1
开始->运行,输入下面的命令 gpedit.msc
2
用户配置->管理模板->系统->关闭自动播放->启用。
U盘专杀工具推荐:
USBCleaner6.0
USBKiller2.3
以上两工具免费使用而且相当实用,可到一些软件下载站点下载。
如:http://www.xdowns.com