主动防御 U盘病毒
趋势科技网络安全监测实验室CRTL专稿:随着一种名为PE_LUDER.CH的U盘病毒成为10月份全球感染数最多的病毒,“U盘病毒”再度成为用户讨论的热门话题。为此,趋势科技中国区网络安全监测实验室(CRTL)根据U盘病毒的行为特性,提出了针对性的行之有效的解决方案。这是目前为止最全面、也是唯一真正嵌入杀毒产品的立体式U盘病毒解决方案。其中的“启发式检测”功能,可有效发现未知U盘病毒,是业内首次将主动防御功能应用于U盘病毒的防范。
USB移动设备,以其方便、快捷、存储量大等优势,成为目前主流的存储工具之一,而使用USB接口的MP3、数码相机等数码,更是很多年轻人的最爱。在移动运算越来越普及的今天,小小的U盘却成为病毒传播的温床。Windows系统依靠autorun.inf这个文件让U盘插入后自动运行,该文件作为隐藏的系统文件保存在驱动器的根目录下,它保存着一些简单的命令,告诉系统这个新插入的U盘应该自动启动什么程序,其本身是一个常规且合理的文件。但它的“自动”启动特性恰恰为病毒作者加以利用,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序,包括可能的恶意内容。
防病毒厂商目前提供的解决方案通常只是作为杀毒软件的一个插件出现,虽然可以一定程度上起到防范U盘病毒作用,但仍然存在三个方面的问题:第一,由于该类病毒变化多端,防毒软件的查杀能力一直饱受质疑;第二,众多的解决方案在查杀病毒后仍然会残留自启动文件autorun.inf,容易导致无法双击打开相应的磁盘设备;第三,不能真正嵌入到杀毒软件,与主程序进行同步防护。
而趋势科技CRTL本次推出的立体式解决方案,全面整合了三项防范技术:1)免疫;2)查杀;3)启发式检测,同时辅以趋势科技未知病毒提交快速响应能力,形成了有效的应对方案:
第一招:免疫
原理:自动禁用所有移动设备(光盘),使得U盘病毒无法自动激活。
触发条件:
每次重启计算机;
每次执行OfficeScan手动扫描;
每次China DCT更新。
实现方式:集成到China DCT 技术中。
DCT检测名称:RTL.USB.Immunity
第二招:查杀
原理:
1)自动搜索并删除所有磁盘根目录下的autorun.inf文件,解决双击无法打开磁盘的问题;2)根据autorun.inf 文件反向查杀(已知&未知)病毒体文件和进程。
触发条件:
每次重启计算机;
每次执行OfficeScan手动扫描;
每次China DCT更新。
实现方式:集成到China DCT 技术中。
DCT检测名称:RTL.AUTORUN.INF
网友评论