《U盘病毒传播的研究论文[参照]》由会员分享,可在线阅读,更多相关《U盘病毒传播的研究论文[参照](6页珍藏版)》请在金锄头文库上搜索。
1、U盘病毒的研究与防范 内容提要U盘病毒安全防范 现如今, U 盘已经成为军队日常工作中计算机用户最为常用的文件交换工具。然而,U 盘在带来极大便利的同时,也为病毒寄生和繁衍提供了天然的温床。本论文由此出发,阐述 了 U盘病毒的危害,深入分析了U盘病毒的危害机理,并从技术和非技术两个方面介绍了U 盘病毒的防范措施,为军队U盘的日常使用提供了一定的借鉴,具有较高的参考价值。 关键词 U盘病毒安全防范 U 盘也称优盘、 闪盘 , 随着闪存芯片价格的急剧下滑,U 盘以其体积小巧、便于携带、 存 储容量大、抗震性能强、即插即用等独特的优点而得以广泛普及,已经逐步取代软盘成为日 常工作中计算机用户最为常用
2、的文件交换工具 然而, U 盘在为人们带来极大便利的同时, 也为病毒寄生和繁衍提供了天然的温床。 我们常说的U盘病毒 , 并不是单指某一个具体的病毒 , 也不是指只通过U盘才能传播的病毒, 而是泛指所有可以通过移动存储介质进行传播的一类病毒, 但由于 U 盘最常用 , 通过 U 盘传 播的概率最大 , 所以称之为U盘病毒。 当前,U 盘病毒泛滥 ,U 盘使用的便捷性和安全性往往 难以两全。只要用户在工作中无法做到完全放弃使用U盘, 就必须了解U盘病毒的原理及症 状, 掌握U 盘病毒的基本防治措施, 采取正确的操作使用方法, 形成良好的使用习惯, 才能有 效避免 U盘病毒的威胁 U盘作为使用最为
3、广泛的存储设备,如果将其作为病毒的载体,轻则破坏计算机文件或 者系统,重则还可以破坏和瘫痪计算网络。U盘病毒是指利用U盘( 移动存储设备) 作为载体 来传播病毒, 其主要特征是在被感染的U盘中生成 Autorun.inf文件,并附带有一个可执行 程序。 一、 U盘病毒危害 早期的 U盘病毒仅仅是恶作剧,被感染计算机往往出现打不开文件,或者显示一些具有 搞笑性质的东西。随着U盘容量的不断扩大和广泛使用,U盘成为传输文件等数据资料的主 要存储介质之一,日常使用和交换的文件,包括涉密文件均是通过U盘来进行传输的。U盘 病毒具有交叉感染的特点,即感染了U盘病毒的计算机, 在插入一个未感染的U盘到感染计
4、 算机中时, 病毒会自动感染U盘,当将已经感染U盘病毒的U盘插入未感染计算机中时,未 感染病毒的计算机将感染U盘病毒。在对U盘病毒分析研究中我们发现,U盘病毒具有轮渡 技术,即将系统中的某些指定关键字的文件复制到U盘中, 当 U盘插入到具有上网条件的计 算机中使用时,U盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。 U盘病毒作为一种传染性病毒,其危害如下: (1)在系统中占用大量cpu 资源。 (2) 破坏软件系统,影响工作。对于一般性U盘病毒将会破坏系统文件的完整性,导致 系统不能正常打开文件,其危害程度较轻。 (3) 删除或者更改文件。这种 U盘病毒往往带有恶作剧,例如将系统
5、中所有的word 等文 件全部删除,或者将Word 文件的默认后缀更改为其它名称导致文件打不开,其危害程度中 等。 (4) 盗取系统中各种密码帐号,实施远程控制。 目前很多个人计算机大多具备上网条件, 一旦连接上网络,病毒就会主动连接控制端,将系统中的密码和帐号发到指定邮箱,并实施 远程控制将其作为僵尸网络的木马端。 (5) 平时窃取资料,战时破坏系统。U 盘病毒平时蛰伏在计算机中,当具备互联网条件 时将平时复制的资料通过网络传输到指定邮箱,当发生战争时可以破坏和瘫痪计算机系统或 1 / 6 者计算机网络,其危害程度最大。 二、 U盘病毒危害机理 U盘 (自动运行 )类病毒 (auto 病毒
6、) 近来非常常见, 并且具有一定程度危害,它的机理是 依赖 Windows的自动运行功能,使得我们在点击打开磁盘的时候,自动执行相关的文件。目 前我们使用U盘都十分频繁,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统 的自动运行功能肆意传播,目前流行的U盘病毒文件大家甚至耳熟能详了,比如经常有网友 问的 SSS.EXE SXS.EXE如何查杀这类的,下面我们将对U盘病毒极其特性和防范办法进行分 析 (一)病毒的传播原理 U盘病毒主要通过U盘与计算机的交互来进行传播。近年来,在“黑色”产业链利益驱 动下,利用U盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的 网站“挂
7、马”来实现,网站“挂马”主要利用的是IE 等安全漏洞,当用户没有安装补丁程 序而访问被“挂马”的网站中的网页时,系统就会“偷偷”地执行网页中指定的程序,从而 达到控制等目的。 此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放 在网站上供网络用户下载等方式来进行U盘病毒的传播。 U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放功能是 Windows 系 统为客户提供方便的一种特性, 当这种功能启用时,U 盘或光盘插入到计算机上时无须用户 干预 , 就会自动运行介质中的指定程序, 从而实现软件自动安装、媒体自动演示等功能。这一 功能是通过U盘或光盘中的系统隐藏文件
8、Autorun-inf来实现的 , 它是一个存放在驱动器根 目录下的一个纯文本脚本文件, 保存着一些简单的命令, 指定系统自动运行的程序名称和路 径。U盘病毒感染U盘后 , 一般会在U盘根目录下自动生成Autorun-inf。当用户双击U盘盘 符时 , 便自动调用该文件, 在用户完全不知情的情况下, 自动 运行该文件指定的U盘中的病 毒程序 , 向各硬盘分区的根目录拷贝病毒体和Autorun-id。 病毒在 Windows 系统中潜伏下来 后, 当用户插入干净的U盘时 , 病毒又如法炮制, 将无毒 U盘变为带毒U 盘 , 从而实现了病 毒的传播。从这一原理我们可以看出, 经常交叉使用 U 盘的
9、计算机最容易感染U 盘病毒 , 并 成为传播病毒的 毒巢 。 U 盘病毒除利用Windows系统的自动播放功能外, 通常还会采用中断进程、 映像劫持 、 线程插入与进程守护等先进技术, 进行关闭杀毒软件进程、禁止安全工具服务、远程下载木 马等一系列恶劣的行径, 给用户上网安全带来极大的威胁。当前, 病毒趋利性倾向日益明显, 有些木马性质的U盘病毒驻留系统后, 会秘密窃取计算机中的敏感文件, 将其写入U 盘中 , 并 通过网络伺机发送到黑客手中, 这一类 U盘病毒对涉密单位的危害尤其严重 U盘病毒的隐藏方式有很多种:作为系统文件隐藏。一般系统文件是看不见的,所 以这样就达到了隐藏的效果;伪装成其
10、他文件。 由于一般计算机用户不会显示文件的后缀, 或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用 户误打开;藏于系统文件夹中。这些系统文件夹往往都具有迷惑性;运用windows 的 漏洞。有些病毒所藏的文件夹的名字为runauto.,这个文件夹打不开,系统提示不存在 路径,其实这个文件夹的真正名字是runauto.(2)复制。 U盘病毒具有轮渡技术,即将 系统中的某些指定关键字的文件复制到优盘中,当优盘插入到具有上网条件的计算机中使用 时,优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。(3)传播。当隐 藏或中毒U 盘插入到一台没有任何病毒的电脑
11、上后,使用者双击打开优盘文件浏览时, Windows 默认会以autorun.inf 文件中的设置去运行优盘中的病毒程序,此时Windows 操 作系统就被感染了。在这三个过程中,系统设置的autorun.inf文件运行起着关键作 用 . 病 毒 通 过 其 设 置 木 马 程 序 。 使 得 其 文 件 格 式 变 为 以 下 几 种 : 自 动 运 行 的 程 序 Open=filename.exe; 修 改 上 下 文 菜 单 , 把 默 认 项 改 为 病 毒 的 启 动 项 2 / 6 ShellAutocommand=filename.exeShell=Auto;只要调用Shell
12、 ExecuteA/W 函数试图打开 优盘根目录,病毒就会自动运行Shellexecute=filename.exeShellExecute=;伪装成系统 文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。Shellopen= 打开( 非技术层面针对培训、思想意识以及组织管理方面进行考虑。 (一)技术防范 (1) 及时更新安全漏洞补丁和病毒库 对于个人和部队来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能 够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有 效的降低安全风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生 成的报告,
13、可选择自动修复功能修复系统所存在的漏洞。 (2) 禁止移动设备自动播放 很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自 动运行, 而通过浏览器或者资源管理器来打开。如果设备具有可读写保护功能,则在从设备 复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过U 盘进行病毒传播。对 Windows Xp操作系统,单击“开始”- “运行”,在运行中输入gpedit.msc进入组策略编辑 器,依次选择“用户配置”-“管理模板” -“系统” -“关闭自动播放” ,在“关闭自动播放” 属性窗口选择“已启用” ,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统 中
14、所有驱动器的自动播放功能。 (3) 实时监控,杀毒先行 对杀毒软件和个人防火墙要实时监控,确保杀毒软件及其个人防火墙都在正常运行。在 使用移动存储设备时,首先查杀移动存储设备中的文件,在确定无病毒的情况下,再进行其 他操作。 Windows操作系统默认不显示隐藏文件和系统保护文件,病毒往往利用这一点进行 病毒隐藏和传播,因此需要通过“文件夹”-“查看”选项,选择“显示所有文件和文件夹” 和去掉 “隐藏受保护的操作系统文件( 推荐 ) ”复选框, 方便查看U盘以及系统其它盘中是否 隐藏病毒文件。 (4) 在所有磁盘中创建Autorun.inf文件夹 U盘病毒一般都是利用Autorun.inf文件
15、来进行传播,根据 Windows 操作系统文件以及 文件夹名称唯一性原则,系统仅存在唯一名称文件,因此可以在系统所有磁盘中建立一个名 称为“ Autorun.inf”的文件夹,使U盘病毒不能创建Autorun.inf文件而达到防范U盘病 毒的目的。 (5) 谨慎下载,安全运行 在需要软件时, 尽量到正规大型网站进行下载,下载后对软件进行查杀毒处理,防止软 件被捆绑木马程序。如果需要运行在重要计算机上面,必须进行安全性测试,确保该软件对 系统不会造成危害。 (6) 做好系统和数据备份 近年来, 计算机木马病毒往往带有较强的商业利益目的,尤其是以U盘为传播介质的病 毒。例如熊猫病毒、AV 病毒,会
16、对所有可执行文件进行感染,如果处理不好,将会带来巨 大的经济损失。 因此平时对重要数据和系统一定要做好备份,做到随时可以恢复系统,并正 常运行。 (7) 使用一些移动存储专用管理软件 根据数据资料的价值,安装移动存储专用管理软件来进行U盘资料的保护, 这些软件往 往具有文件加密等功能,U盘资料只能在指定计算机和指定网络中使用,到其它计算机上无 法读取,即使读取也是乱码,从而保证数据的安全。 (8) 对移动存储设备的一切权限变更和一切文件操作,全部都有日志记录和审计。 4 / 6 (9) 非法 U盘,进不来。所有能在内部使用的U盘、移动硬盘必需通过授权认证,没有 经过授权的U盘和移动硬盘无法使用。 (10) 授权 U盘,拿不走。 即使是经过认证的移动存储设备,其保存的机密文件都进行了 高强度加密存储,并完全隐藏。授权 U盘、移动硬盘在内部如常使用,但在外部计算机看不 见任何信息。 (11)其他常见U盘病毒症状及防范方法。 rose.exe专杀 症状:右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后 在你的系统进程里面会出现若干个“rose ”
