U盘病毒传播的研究论文

U盘病毒的研究与防范〔内容提要〕U盘病毒安全防范现如今，U盘已经成为军队日常工作中计算机用户最为常用的文件交换工具。然而，U盘在带来极大便利的同时，也为病毒寄生和繁衍提供了天然的温床。本论文由此出发，阐述了U盘病毒的危害，深入分析了U盘病毒的危害机理，并从技术和非技术两个方面介绍了U盘病毒的防范措施，为军队U盘的日常使用提供了一定的借鉴，具有较高的参考价值。〔关键词〕U盘病毒安全防范U盘也称优盘、闪盘,随着闪存芯片价格的急剧下滑,U盘以其体积小巧、便于携带、存储容量大、抗震性能强、即插即用等独特的优点而得以广泛普及,已经逐步取代软盘成为日常工作中计算机用户最为常用的文件交换工具然而，U盘在为人们带来极大便利的同时,也为病毒寄生和繁衍提供了天然的温床。我们常说的U盘病毒,并不是单指某一个具体的病毒,也不是指只通过U盘才能传播的病毒,而是泛指所有可以通过移动存储介质进行传播的一类病毒,但由于U盘最常用,通过U盘传播的概率最大,所以称之为U盘病毒。当前，U盘病毒泛滥,U盘使用的便捷性和安全性往往难以两全。只要用户在工作中无法做到完全放弃使用U盘,就必须了解U盘病毒的原理及症状,掌握U盘病毒的基本防治措施,采取正确的操作使用方法,形成良好的使用习惯,才能有效避免U盘病毒的威胁U盘作为使用最为广泛的存储设备，如果将其作为病毒的载体，轻则破坏计算机文件或者系统，重则还可以破坏和瘫痪计算网络。U盘病毒是指利用U盘(移动存储设备)作为载体来传播病毒，其主要特征是在被感染的U盘中生成Autorun.inf文件，并附带有一个可执行程序。一、U盘病毒危害早期的U盘病毒仅仅是恶作剧，被感染计算机往往出现打不开文件，或者显示一些具有搞笑性质的东西。随着U盘容量的不断扩大和广泛使用，U盘成为传输文件等数据资料的主要存储介质之一，日常使用和交换的文件，包括涉密文件均是通过U盘来进行传输的。U盘病毒具有交叉感染的特点，即感染了U盘病毒的计算机，在插入一个未感染的U盘到感染计算机中时，病毒会自动感染U盘，当将已经感染U盘病毒的U盘插入未感染计算机中时，未感染病毒的计算机将感染U盘病毒。在对U盘病毒分析研究中我们发现，U盘病毒具有轮渡技术，即将系统中的某些指定关键字的文件复制到U盘中，当U盘插入到具有上网条件的计算机中使用时，U盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。U盘病毒作为一种传染性病毒，其危害如下：（1）在系统中占用大量cpu资源。(2)破坏软件系统，影响工作。对于一般性U盘病毒将会破坏系统文件的完整性，导致系统不能正常打开文件，其危害程度较轻。(3)删除或者更改文件。这种U盘病毒往往带有恶作剧，例如将系统中所有的word等文件全部删除，或者将Word文件的默认后缀更改为其它名称导致文件打不开，其危害程度中等。(4)盗取系统中各种密码帐号，实施远程控制。目前很多个人计算机大多具备上网条件，一旦连接上网络，病毒就会主动连接控制端，将系统中的密码和帐号发到指定邮箱，并实施远程控制将其作为僵尸网络的木马端。(5)平时窃取资料，战时破坏系统。U盘病毒平时蛰伏在计算机中，当具备互联网条件时将平时复制的资料通过网络传输到指定邮箱，当发生战争时可以破坏和瘫痪计算机系统或者计算机网络，其危害程度最大。二、U盘病毒危害机理U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXESXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析（一）病毒的传播原理U盘病毒主要通过U盘与计算机的交互来进行传播。近年来，在“黑色”产业链利益驱动下，利用U盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的网站“挂马”来实现，网站“挂马”主要利用的是IE等安全漏洞，当用户没有安装补丁程序而访问被“挂马”的网站中的网页时，系统就会“偷偷”地执行网页中指定的程序，从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行U盘病毒的传播。U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放功能是Windows系统为客户提供方便的一种特性,当这种功能启用时,U盘或光盘插入到计算机上时无须用户干预,就会自动运行介质中的指定程序,从而实现软件自动安装、媒体自动演示等功能。这一功能是通过U盘或光盘中的系统隐藏文件Autorun-inf来实现的,它是一个存放在驱动器根目录下的一个纯文本脚本文件,保存着一些简单的命令,指定系统自动运行的程序名称和路径。U盘病毒感染U盘后,一般会在U盘根目录下自动生成Autorun-inf。当用户双击U盘盘符时,便自动调用该文件,在用户完全不知情的情况下,自动运行该文件指定的U盘中的病毒程序,向各硬盘分区的根目录拷贝病毒体和Autorun-id。病毒在Windows系统中潜伏下来后,当用户插入干净的U盘时,病毒又如法炮制,将无毒U盘变为带毒U盘,从而实现了病毒的传播。从这一原理我们可以看出,经常交叉使用U盘的计算机最容易感染U盘病毒,并成为传播病毒的毒巢。U盘病毒除利用Windows系统的自动播放功能外,通常还会采用中断进程、映像劫持、线程插入与进程守护等先进技术,进行关闭杀毒软件进程、禁止安全工具服务、远程下载木马等一系列恶劣的行径,给用户上网安全带来极大的威胁。当前,病毒趋利性倾向日益明显,有些木马性质的U盘病毒驻留系统后,会秘密窃取计算机中的敏感文件,将其写入U盘中,并通过网络伺机发送到黑客手中,这一类U盘病毒对涉密单位的危害尤其严重U盘病毒的隐藏方式有很多种：①作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果；②伪装成其他文件。由于一般计算机用户不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开；③藏于系统文件夹中。这些系统文件夹往往都具有迷惑性；④运用windows的漏洞。有些病毒所藏的文件夹的名字为runauto...，这个文件夹打不开，系统提示不存在路径，其实这个文件夹的真正名字是runauto...（2）复制。U盘病毒具有轮渡技术，即将系统中的某些指定关键字的文件复制到优盘中，当优盘插入到具有上网条件的计算机中使用时，优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。（3）传播。当隐藏或中毒U盘插入到一台没有任何病毒的电脑上后，使用者双击打开优盘文件浏览时，Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序，此时Windows操作系统就被感染了。在这三个过程中，系统设置的autorun.inf文件运行起着关键作用.病毒通过其设置木马程序。使得其文件格式变为以下几种：自动运行的程序Open=filename.exe；修改上下文菜单，把默认项改为病毒的启动项ShellAutocommand=filename.exeShell=Auto；只要调用ShellExecuteA/W函数试图打开优盘根目录，病毒就会自动运行Shellexecute=filename.exeShellExecute=；伪装成系统文件，迷惑性比较大，较为常见的就是伪装成垃圾回收站。Shellopen=打开（&O）ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器（&X）\（二）U盘病毒传播阶段U盘对病毒的传播主要借助的就是autorun.inf文件，主要分为2个阶段。第一阶段：感染病毒，当用户将一块没有任何病毒的U盘插入一台潜伏了病毒的主机上，通过一些常用的操作后，可能就会激发病毒程序。病毒首先会将自身复制到U盘中，同时创建一个名为autorun.inf的文件。此时，这块U盘就被病毒感染了。第二阶段：传播病毒，当这块U盘插入到一台没有任何病毒的电脑上后，使用者双击打开U盘文件浏览时，Windows默认会以autorun.inf文件中的设置去运行U盘中的病毒程序，此时Windows操作系统就被感染了。（三）autorun.ini文件运行机理autorun.inf是设备自动运行的设置文件，比如当插入某些驱动光盘后，Windows就会自动运行驱动安装程序，这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种：（1）自动运行的程序Open=filename.exe（2）修改上下文菜单，把默认项改为病毒的启动项ShellAutocommand=filename.exeShell=Auto（3）只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行Shellexecute=filename.exeShellExecute=……（4）伪装成系统文件，迷惑性比较大，较为常见的就是伪装成垃圾回收站。Shellopen=打开（&O）ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器（&X）（四）U盘病毒程序隐藏方式(1)作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。但这也是比较初级的，现在的病毒一般不会采用这种方式。(2)伪装成其他文件。由于一般计算机用户不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。(3)藏于系统文件夹中。这些系统文件夹往往都具有迷惑性，如文件夹名是回收站的名字。三、U盘病毒发展趋势据软件监测结果表明，目前至少存在288种U盘病毒，U盘病毒由过去功能单一，逐渐演变为功能众多，且技术水平越来越高。目前的U盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及Windows安全中心，高级一点的会修改防火墙和病毒设置，使其安全穿透个人防火墙，还有一些未公布的U盘病毒，已经做到感染PE文件，计算机一旦被感染这种病毒很难根除。目前世界上大多数病毒都具备U盘病毒感染功能，使其成为内网和外网沟通的桥梁，U盘病毒已经成为一种顽疾。由于U盘病毒的巨大危害性，很多杀毒软件都会查杀以Autorun.inf文件为主要特征的U盘病毒，因此新型的U盘病毒将向硬件以及驱动程序发展。可以将U盘病毒直接嵌入到一些硬件设备，例如手机、mp3等，需要激活时只需要通过网络发送一个密码指令即可。另外一种趋势就是将U盘病毒做成驱动级，任何系统都离不开驱动程序，通过驱动程序来进行病毒的传播和控制。四、U盘病毒防范措施安全只是相对的安全，没有绝对的安全，对于移动存储设备主要通过两个层面来进行防范，一个是技术层面，另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。（一）技术防范(1)及时更新安全漏洞补丁和病毒库对于个人和部队来说，每人都是安全专家肯定不现实，杀毒软件是安全领域的卫士，能够查杀市面大多数病毒，因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能，通过漏洞扫描生成的报告，可选择自动修复功能修复系统所存在的漏洞。(2)禁止移动设备自动播放很多木马病毒都是通过自动运行来执行的，因此在打开移动存储设备时，尽量不使用自动运行，而通过浏览器或者资源管理器来打开。如果设备具有可读写保护功能，则在从设备复制资料到计算机时，可使用可读保护开关，杜绝感染系统通过U盘进行病毒传播。对WindowsXp操作系统，单击“开始”-“运行”，在运行中输入gpedit.msc进入组策略编辑器，依次选择“用户配置”-“管理模板”-“系统”-“关闭