☆ 赵世伟
(武威市体校,甘肃武威 733000)
Autorun.inf类U盘病毒的攻防策略
☆ 赵世伟
(武威市体校,甘肃武威 733000)
说起Autorun.inf文件,相信大家一定不陌生,它被广泛地应用到光盘制作中。它的主要作用就是能够实现光盘自动播放,但是这一项应用却被一些居心叵测的病毒所利用,导致我们的硬盘尤其是U盘深受其害。
U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到U盘,然后创建一个autorun.inf文件,在你双击U盘时,会根据autorun.inf中的设置去运行U盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能望尘莫及。大家可能也想到这个,但在通常情况下不管给autorun.inf设置了什么属性,病毒都会更改它,我想到的方法就是,在根目录下删除autorun.inf文件,然后,在根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
事实表明,目前已经有新的病毒能够有意识地检测autorun.inf的存在,对于能直接删除的则删之,对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如:一封情书.exe)。对于以上这两种传播方式的病毒,仅仅建立autorun.inf文件夹是抵御不了的。
(1)在插入U盘时按住键盘 shift键直到系统提示“设备可以使用”,然后打开U盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(打开我的电脑,按下上面的“文件夹”按钮,或者开始-所有程序-附件-windows资源管理器)将其打开,或者使用快捷键winkey+E打开资源管理器后,一定通过左侧栏的树形目录打开可移动设备(要养成这样的良好习惯)。
(2)如果盘内有来路不明的文件,尤其是文件名比较诱惑人的文件,必须多加小心;需要特别提示的是,不要看到图标是文件夹就理所当然是文件夹,不要看到图标是记事本就理所当然是记事本,伪装图标是病毒惯用的伎俩。
(3)要有显示文件扩展名的习惯。方法:打开“我的电脑”,工具——文件夹选项——查看,去掉“隐藏已知文件类型的扩展名”的勾,建议选择显示扩展名同时选上“显示隐藏文件”,去掉“不显示系统文件”的勾,这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件,显示文件扩展名之后,通过文件名后的 “.exe”即可判断出一个文件可执行文件,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。
(4)最后不管你用什么办法,或者用什么软件,插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。
下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理,然后按提示操作。注,批处理使用方法:打开开始菜单-附件-记事本,复制批处理内容进去,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到你保存的位置,会出现一个批处理文件,双击运行即可。
1.推荐一种彻底拒绝Autorun.inf类型病毒的方法
运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效):
2.对于伪装型病毒,可以通过它的可执行属性判断出来
除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征——“.exe”扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个“.exe”。
以管理员身份运行下面的批处理:
电脑硬盘个个分区下都出现了“autorun.inf”文件,也不知道是什么时候染上的病毒“遗孀”,用粉碎文件都不行,怎么删也删不掉。
这时我们可以用以下dos命令进行清除,方法如下:假设autorun.inf文件夹是在D盘,操作如下:打开“开始”,选择“运行”,输入“CMD”,打开命令行窗口,在命令行窗口中输入一下命令:
第一步,输入D:然后回车。
第二步,输入rmdir/s autorun.inf然后回车。
第三步,当出现提示时,按“Y”,并回车。
其他盘照此方法执行即可!
总之,我们在使用U盘的时候要多加注意,自觉养成先检查再使用的习惯,这样就会做到远离病毒,防患于未然的效果。
于翼楠]