优盘病毒发展趋势
2.3 autorun.ini文件运行机理
autorun.inf是设备自动运行的设置文件,比如当插入某些驱动光盘后,Windows就会自动运行驱动安装程序,这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种:
(1)自动运行的程序
Open=filename.exe
(2)修改上下文菜单,把默认项改为病毒的启动项
ShellAutocommand=filename.exeShell=Auto
(3)只要调用ShellExecuteA/W函数试图打开优盘根目录,病毒就会自动运行
Shellexecute=filename.exeShellExecute=……
(4)伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。
Shellopen=打开(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器(&X)
2.4优盘病毒程序隐藏方式
(1)作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的,现在的病毒一般不会采用这种方式。
(2)伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。
(3)藏于系统文件夹中。这些系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。
(4)运用Windows的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是 runauto...。
3.优盘病毒发展趋势
据软件监测结果表明,目前至少存在288种优盘病毒;优盘病毒由过去功能单一,逐渐演变为功能众多,且技术水平越来越高。目前的优盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及Windows安全中心,高级一点的会修改防火墙和病毒设置,使其安全穿透个人防火墙,还有一些未公布的优盘病毒,已经做到感染PE文件,计算机一旦被感染这种病毒很难根除。目前世界上大多数病毒都具备优盘病毒感染功能,使其成为内网和外网沟通的桥梁,优盘病毒已经成为一种顽疾。由于优盘病毒的巨大危害性,很多杀毒软件都会查杀以Autorun.inf文件为主要特征的优盘病毒,因此新型的优盘病毒将向硬件以及驱动程序发展。可以将优盘病毒直接嵌入到一些硬件设备,例如手机、mp3等,需要激活时只需要通过网络发送一个密码指令即可。另外一种趋势就是将优盘病毒做成驱动级,任何系统都离不开驱动程序,通过驱动程序来进行病毒的传播和控制。
4.优盘病毒防范措施
安全只是相对的安全,没有绝对的安全,对于移动存储设备主要通过两个层面来进行防范,一个是技术层面,另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。
4.1技术防范
(1)及时更新安全漏洞补丁和病毒库
对于个人和公司来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生成的报告,可选择自动修复功能修复系统所存在的漏洞。
(2)禁止移动设备自动播放
很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开;如果设备具有可读写保护功能,则在从设备复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过优盘进行病毒传播。对Windows Xp操作系统,单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。
网友评论