向快捷方式病毒“宣战”
董师傅茶房
每天都有病毒诞生,每天都有电脑中毒,每天在电脑报官方论坛(数动连线)安全板块中都有大量的求助帖,每天我们都收到很多安全求助信。我们认真处理所有的求助信息,并从中挑选出具有代表性的进行深入地分析,给出具有通用性质的解决方案。如果你遇到什么安全问题,不妨到电脑报官方论坛(数动连线)安全板块向我们求助。
读者求助:前几天朋友送了我一个8GB的闪存,在单位使用的时候,感染了快捷方式病毒。这个病毒一直困扰着我们单位的电脑,而且都是通过闪存交叉感染的。我想请教专家,如何在单位中制服快捷方式病毒。
这位读者提到的“快捷方式病毒”是闪存病毒的重要变种之一。闪存病毒自2006年流行后,因容易感染、攻击灵活等特点,给企业网、校园网的用户造成了极大的危害,成为仅次于网页挂马的第二大病毒传播途径。
快捷方式病毒是去年开始流行的,在网上大规模传播,还成为“黑榜”年度十大病毒之一。它的出现让很多用户摸不着头脑,闪存空间为什么会无缘无故地缩小了,为什么点击闪存中的文件夹总要卡一下?
揭秘快捷方式病毒
此前的闪存病毒,都是利用Windows自动播放功能激活的。如果用户关闭了它,闪存病毒不会自动运行(但如果用户双击盘符,还是会运行),所以闪存病毒开始往另一个方向发展——欺骗用户。
病毒拷贝自身到闪存后,将根目录下文件夹的属性设为隐藏,设置系统属性为不显示隐藏文件、不显示文件扩展名,然后伪造同名的文件夹,这样用户看到的“文件夹”实际上就是病毒体本身。一旦用户双击文件夹就激活了病毒。这种方法不再依赖Autorun.inf文件。
后来,欺骗方法又有了改进,闪存病毒不伪造文件夹,而是创建正常文件夹的快捷方式,当用户双击文件夹时,先激活病毒再进入正常文件夹。这样做的好处是,不会被用户察觉文件夹有问题。
如何判断闪存中是否有快捷方式病毒呢?在“我的电脑”上点击鼠标右键,打开资源管理器,在菜单中依次选择“工具”→“文件夹选项”,选择“查看”标签,去掉“隐藏受保护的操作系统文件”、“隐藏已知文件类型和扩展名”前面的钩,选择“显示所有文件和文件夹”,在资源管理器左侧选择闪存盘符(这样操作不会激活Autorun.inf),就可以看到隐藏的文件夹,如果有同名的文件夹,就可以判断闪存中有快捷方式病毒(图1)。
快捷方式病毒解决方案
如果发现闪存中有快捷方式病毒,先要做的就是调用杀毒软件进行查杀。如果杀毒软件暂时解决不了这个问题,那就用专杀工具,例如快捷方式病毒专杀或者闪存病毒专杀工具等(工具下载地址:http://www.shudoo.com/bzsoft)。下载运行专杀工具后,工具会扫描出闪存或电脑中的病毒并自动清除(图2)。
单位内使用闪存,容易交叉感染病毒,应该怎么预防闪存病毒呢?单位内的所有电脑都要关闭系统自动播放功能,点击“开始”菜单,选择“运行”,输入“gpedit.msc”回车,进入“组策略”窗口。
在该窗口左栏的“本地计算机策略”下,定位到“计算机配置→管理模板→系统”,然后在右栏的“设置”中,双击“关闭自动播放”, 接着在弹出窗口中选择“设置”,勾选“已启用”,在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮即可。此外,所有在单位使用的闪存应该用工具进行免疫处理(图3)。
只做到上面的操作还不够,我们还要开启杀毒软件的闪存监控功能(主流的软件都有这个功能),及时更新杀毒软件病毒库,定期进行扫描,这样才可以全面预防闪存病毒。
安全小百科>>
当我们将闪存插入一台已被感染的电脑后,病毒检测到闪存,就会将自身拷贝到闪存中。此后,在另一台电脑插入该闪存时,只要Windows自动播放功能是开启的,系统就会检查闪存根目录下是否存在Autorun.inf文件。
Autorun.inf文件中的一些字段通常指向一个脚本文件,如BAT脚本、VBS脚本。系统会自动执行该脚本,从而触发病毒。病毒激活后还会感染本地磁盘分区,这样病毒就完成了从一台电脑到另一台电脑的传播。