|
最近�,有關U盤病毒的情況非常嚴重���,以湛江年會為例���,在各人遞交的U盤上�����,發(fā)現(xiàn)有病毒的比例可以高達90%�����。
這里記錄一下有關此病毒的一些個人看法:
首先���,目前幾乎所有這類的病毒的最大特征都是利用autorun.inf這個來侵入的,而事實上autorun.inf相當于一個傳染途徑����,經過這個途徑入侵的病毒,理論上是“任何”病毒����。因此大家可以在網上發(fā)現(xiàn)����,當搜索到autorun.inf之后,附帶的病毒往往有不同的名稱����,正是這個道理����。就好像身體上有個創(chuàng)口���,有可能進入的細菌就不止一種�����,在不同環(huán)境下進入的細菌可以不同�,甚至可能是AIDS病毒�。這個autorun.inf就是創(chuàng)口。因此目前無法單純說U盤病毒就是什么病毒��,也因此導致在查殺上會存在混亂�,因為U盤病毒不止一種或幾十種~~詳細的數(shù)字應該沒人去統(tǒng)計吧。
現(xiàn)在先說說autorun.inf這個所謂的創(chuàng)口吧……
首先��,autorun.inf這個文件是很早就存在的�,在WinXP以前的其他windows系統(tǒng)(如Win98,2000等)����,需要讓光盤、U盤插入到機器自動運行的話,就要靠autorun.inf�。這個文件是保存在驅動器的根目錄下的(是一個隱藏的系統(tǒng)文件),它保存著一些簡單的命令�����,告訴系統(tǒng)這個新插入的光盤或硬件應該自動啟動什么程序�����,也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標改成某個路徑下的icon�。所以,這本身是一個常規(guī)且合理的文件和技術��。
但相信你已經注意到�����,上面反復提到“自動”����,這就是關鍵����。病毒作者可以利用這一點,讓移動設備在用戶系統(tǒng)完全不知情的情況下,“自動”執(zhí)行任何命令或應用程序�。因此,通過這個autorun.inf文件����,可以放置正常的啟動程序,如我們經常使用的各種教學光盤�,一插入電腦就自動安裝或自動演示;也可以通過此種方式���,放置任何可能的惡意內容��。
這里再說說計算機病毒:跟生物界的狀況是一樣的����,細菌���、病毒跟人類都是生物體����,甚至在大部分情況下���,這些微生物也并非完全有害�,也會與人體共存。電腦中的病毒跟正常程序一樣�,都是使用基礎原理一致的源代碼編寫、執(zhí)行的��,只是軟件執(zhí)行的是用戶需要的�、正常的功能,病毒執(zhí)行的是用戶不需要的�、不正常的功能,這里有一個辯證的相對性在里面��。簡單的例子����,比如稍微熟悉電腦的朋友都知道Format、del的DOS命令代表格式化硬盤和刪除文件���,假設我autorun.inf中使用了Format或del命令�����,那么表示我可以讓別人的機器被格式化����,或者刪除了一些文件����,而這其實不需要太高深的電腦知識。
說完autorun.inf��,再說說目前相關的U盤病毒的隱藏方式:
有了啟動方法���,病毒作者肯定需要將病毒主體放進光盤或者U盤里才能讓其運行的���,但是堂而皇之的放在U盤里肯定會被用戶發(fā)現(xiàn)而刪除(即使不知道其是病毒,不是自己的不知名文件也會刪除吧)��,所以��,病毒肯定會隱藏起來存放在一般情況下看不到的地方了�。
一種是假回收站方式:病毒通常在U盤中建立一個“RECYCLER”的文件夾,然后把病毒藏在里面很深的目錄中�����,一般人以為這就是回收站了�����,而事實上�,回收站的名稱是“Recycled”���,而且兩者的圖標是不同的:
另一種是假冒殺毒軟件方式:病毒在U盤中放置一個程序,改名“RavMonE.exe”��,這很容易讓人以為是瑞星的程序�,其實是病毒。
也許有人會問���,為什么在你的機器上能看到上面的文件����,我的機器看不到呢���?很簡單�����,通常的系統(tǒng)安裝�����,默認是會隱藏一些文件夾和文件的����,病毒就會將自己改造成系統(tǒng)文件夾、隱藏文件等等��,一般情況下當然就看不到了�。
要讓自己能看到隱藏的文件���,怎么辦�?
個人如操作����,按如下步驟:打開“我的電腦”,在菜單欄上點“工具”�����,點“文件夾選項”���,出現(xiàn)一個對話框���,選擇“查看”標簽,然后對照下圖:
出處:異次元の世界
責任編輯:moby
上一頁 下一頁 U盤病毒和Autorun.inf文件分析 [2]
◎進入論壇計算機技術版塊參加討論
|
第 1 頁 U盤病毒和Autorun.inf文件分析 [1]
第 2 頁 
