常见的U盘病毒问题及解决办法
开篇:润墨网以专业的文秘视角,为您筛选了一篇常见的U盘病毒问题及解决办法范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着多媒体教室的大量建设和投入使用,大学课堂教学的模式发生了很大的变化,电化或网络的多媒体教学成为教学的主要方式。尤其是U盘被广泛使用于教学和数据交流当中,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,给教学工作带来了一定困难和影响。
关键词:U盘;病毒;解决方法
中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)15-20000-00
The Common Problems and Solutions About Computer Virus in Teaching Work
BAO Xia-lin
(The Center of Educational Technology, Anhui Agricultural University, Hefei 230036, China)
Abstract: With the large number of multimedia classroomes building and put into use, great changes about the mode of the University Teaching have taken place, electricity or network multimedia teaching become the main form of teaching. Especially, widely used in teaching and data exchange, USB drives enjoy us but the virus is quietly spread with USB drives system using automatic functionality to the education. It brought a certain degree of difficulty and impact in teaching work.
Key words: USB drives;Virus; Solution
在从事电脑维护的工作实践中,针对遇到的各种各样的电脑病毒的问题,尝试和采用了不同的分析和解决方法,下面谨对最近比较流行的有鲜明特点的U盘病毒的特征和解决办法进行简单的分析总结。
1 AutoRun.inf
1.1 病毒特性
自动运行功能是Windows系统一种非常方便的特性,使得当光盘、U盘插入到机器即自动运行,而这种特性的实现就是通过运行磁盘根目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。常见的Autorun.inf文件格式大致如下:
[AutoRun]//表示AutoRun部分开始,必须输入
icon=C:C.ico //指定给C盘一个个性化的盘符图标C.ico
open=C:1.exe//指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行。
电脑中毒后,当用右键点击移动盘盘符时,会发现菜单的第一项不是常规的“打开”,而变成了“auto”、“OPEN”或“自动播放”等。同时,病毒会将“显示所有文件的选项”设置为“禁止”。U盘病毒就是这样借助autorun.inf文件的帮助进行入侵和传播。病毒首先把自身复制到U盘,然后创建一个autorun.inf,在你双击U盘时,会根据autorun.inf中的设置去运行U盘中的病毒。病毒甚至修改磁盘关联,杀毒软件一般只能把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法将病毒清除干净,清除病毒后双击无法打开磁盘或者U盘无法拔出的原因。
1.2 解决方法
(1)删除autorun.inf文件
目前还没有发现哪种杀毒软件可以彻底解决这个问题。在常规的情况下,是无法删除autorun.inf文件的。可以先将该文件的属性进行一些改变,再用DOS命令删除。在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\autorun.inf (去除autorun.inf的系统文件和隐藏文件的属性)
del H:\autorun.inf (删除autorun.inf)
(2)阻止病毒再生成autorun.inf文件
我们可以利用在同一目录下,同名的文件和文件夹不能共存的原理,在U盘的根目录下建立一个文件夹,名字就叫“autorun.inf”。这样,除非先删除该文件夹,不然是无法再创建autorun.inf文件了。目前出现的U盘病毒尚未发现有此功能。因此,这种方法是非常有效的。
2 AdobeR.exe病毒 realplayer.exe(进程)病毒
这两种病毒都是木马病毒,最大的特点是隐藏性极高,与两种教学中常用的软件adobe acrobat reader和realplayer非常相似。
2.1 病毒特征
(1)AdobeR.exe病毒:中毒后,双击 u盘/移动硬盘,没反映。等一会后弹出对话框:“Adober.exe error,请察看AdobeR.exe.log”。 右键点击可移动磁盘盘符,在菜单最上面是“Auto”这一选项,查看U盘,会发现病毒生成了AdobeR.exe,AdobeR.exe.log,autorun.inf,msvcr71.dll文件。并且在进程中出现 adober进程 ,十分类似adobe进程。电脑速度缓慢,并且会使有的杀毒软件失效。
(2)realplayer.exe(进程)病毒:注意,我们通常所用的realplayer播放器的进程是realplay.exe而不是realplayer.exe。realplayer.exe进程是Trojan-PSW.Win32.Agent.al木马相关程序加载的进程,一般有两个进程。病毒会释放两个文件,分别是:
SYSTEM\Realplayer.exe (UPX加壳,其MD5为629d485605c05b8e7f97c 941c98fb2b9)和SYSTEM\brlmon.dll (UPX加壳,其MD5为9b5cfff6b750e9b6bd21f25254 8e810e59)。
如果系统中没有安装QQ或者QQ没安装在Program Files\Tencent\QQ,那么病毒会自己建立Program Files\Tencent\QQ目录。临时文件夹中TEMP会有病毒生成的文件v20060825.rar,实际上这个就是那个Realplayer.exe,扩展名不同罢了。中毒后会使电脑运行变得非常缓慢。
2.2 解决办法
这两个病毒,手工清除比较繁琐,且效果不好。用卡巴斯基升级后即可杀除,效果较好。
3 MMS病毒
3.1 病毒特征
mms.exe是当前流行最广的病毒,在很多常连接U盘的电脑中都有所发现,且还原卡对其没有阻挡作用。病毒程序名为Troj_ADWARE.MMS,进程名为mms.exe或mms是一种恶意广告木马病毒。该病毒修改注册表创建系统服务mms-up实现自启动,属于弹出广告类木马病毒,一般是下载、安装软件时捆绑感染。是一种“尼姆达”病毒,“尼姆达”病毒是一种通过e-mail电子邮件进行传播的恶意蠕虫,随U盘到处传播。当用户邮件的正文为空时,似乎没有附件,实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收取邮件,在预览邮件时,病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下,再运行在临时目录中的副本。该病毒危害性极大,中毒后,其启动优先级被排在系统之前,扫描内存时就开始运行,所占CPU资源在50%到97%左右,电脑运行非常缓慢,且无法上网。
3.2 解决方法
(1)卡巴斯基2006年以后的版本都可以杀除。瑞星等也可以使用。
(2)手动杀除:在任务管理器中结束该进程,进入注册表找到系统服务mms-up项,删除掉,在临时文件夹中删除mms.exe即可。
4 VBS脚本病毒
4.1 病毒特性
VBS脚本病毒是用VB Script编写而成,当前一段时间在许多教师的U盘中都出现了这类病毒,致使U盘无法打开,并报错“VBS脚本无法运行”。该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制。
VBS脚本病毒编写简单,感染力却极强,可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易,变种很多,稍微改变一下病毒的结构,或者修改一下特征值,很多杀毒软件可能就无能为力。这类病毒主要通过感染广大网民时时接触的htm、asp、jsp、php文档,Email附件、IRC聊天通道或其它方式进行快捷的传播。并且其欺骗性很强,脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.jpg.vbs,由于系统默认不显示后缀,这样,用户看到这个文件的时候,就会认为它是一个jpg图片文件。
这类病毒文件感染正常文件的方式:首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。VBS脚本病毒修改windows启动自动加载注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run各键值指向病毒程序、映射dll、exe文件执行方式、隐藏.vbs后缀名欺骗用户点击、desktop.ini和folder.htt互相配合触发等非常有效多变的方式获取控制权。
4.2 解决办法
VBS脚本病毒可以随机选取密钥自加密、通过修改杀毒软件检查脚本的声明代码为字符串并通过Execute(String)函数执行或直接关闭反病毒软件等方式来躲避和反抗杀毒软件,从而给杀毒带来很多困难。
除了及时升级杀毒软件之外,以下总结了一些有针对性防范措施:
(1)禁用文件系统对象FileSystemObject。用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象,其中regsvr32是Windows\System下的可执行文件。也可以直接查找scrrun.dll文件删除或者改名或者在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键的项,删除即可;
(2)删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。 点击[我的电脑][查看][文件夹选项][文件类型],然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射;
(3)在Windows目录中,找到WScript.exe,更改名称或者删除;
(4)要彻底防治VBS网络蠕虫病毒, 要在“Internet 选项”安全选项卡里的[自定义级别]里把“ActiveX控件及插件”的一切设为禁用;
(5)禁止OE的自动收发邮件功能。
参考文献:
[1]赵亮.防治电脑病毒[M].人民邮电出版社.2005.
[2]韩筱卿,王建锋.计算机病毒分析与防范大全[M].北京:电子工业出版社,2006.
收稿时间:2008-03-20