U盘病毒的研究与防范

?业毕业论文论文标题 作者姓名 考号 工作单位 职务 通信地址 邮编 指导教师 职称 完成时间 年 月 日信 ？ ？考U盘病毒的研究与防范考号： 89 姓名：李荥森〔内容提要〕现如今，u盘已经成为军队日常工作中计算机用户最为常用的文件交换工具。然而，U盘在带来极大便利的同时，也为病毒寄生和繁衍提供了天然的温床。本论文由此出发，阐述了U盘病毒的危害，深入分析了U盘病毒的危害机，并从技术和非技术两个方面介绍了U盘病毒的防范措施，为军队U盘的日常使用提供了一定的借鉴，具有较高的参考价值。〔关键词〕U盘病毒防范U盘作为使用最为广泛的存储设备，如果将其作为病毒的载体，轻则破坏计算机文件或者系统，重则还可以破坏和瘫痪计算。U盘病毒是指利用U盘(移动存储设备)作为载体来传播病毒，其要特征是在被感染的U盘中生成 run.inf文件，并附带有一个可执行程序。U盘病毒危害早期的U盘病毒仅仅是恶作剧，被感染计算机往往出现打不开文件，或者显示一些具有搞笑性质的东西。随着U盘容量的不断扩大和广泛使用，U盘成为传输文件等数据资料的要存储介质之一，日常使用和交换的文件，包括涉密文件均是通过U盘来进行传输的。U盘病毒具有交叉感染的特点，即感染了 盘病毒的计算机，在插入一个未感染的盘到感染计算机中时，病毒会自动感染U盘，当将已经感染U盘病毒的U盘插入未感染计算机中时，未感染病毒的计算机将感染U盘病毒。在对U盘病毒分析研究中我们发现，U盘病毒具有轮渡技术，即将系统中的某些指定关键字的文件复制到盘中，当U盘插入到具有上条件的计算机中使用时，U盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。U盘病毒作为一种传染性病毒，其危害如下：破坏软件系统，影响工作。对于一般性U盘病毒将会破坏系统文件的完整性，导致系统不能正常打开文件，其危害程度较轻。删除或者更改文件。这种U盘病毒往往带有恶作剧，例如将系统中所有的ord等文件部删除，或者将rd文件的默认后缀更改为其它名称导致文件打不开，其危害程度中等。盗取系统中各种密码帐号，实施远程控制。目前很多个人计算机大多具备上条件，一旦连接上，病毒就会动连接控制端，将系统中的密码和帐号发到指定邮箱，并实施远程控制将其作为僵尸 的木马端。平时窃取资料，战时破坏系统。U盘病毒平时蛰伏在计算机中，当具备互联条件时将平时复制的资料通过 传输到指定邮箱，当发生战争时可以破坏和瘫痪计算机系统或者计算机，其危害程度最大。U盘病毒危害机2.1病毒的传播原U盘病毒要通过U盘计算机的交互来进行传播。近年来，在“黑色”产链利益驱动下，利用U盘病毒传播已经成为病毒的一大必备功能;病毒感染要通过存在 漏洞的站“挂马”来实现， 站“挂马”要利用的 是IE等漏洞，当用户没有 装补丁程序而访问被“挂马”的站中的页时，系统就会“偷偷”地执行页中指定的程序，从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在站上供用户下载等方式来进行U盘病毒的传播。U盘病毒传播阶段U盘对病毒的传播要借助的就是 un.inf文件，要分为个阶段。第一阶段：感染病毒，当用户将一块没有任何病毒的U盘插入一台潜伏了病毒的机上，通过一些常用的操作后，可能就会激发病毒程序。病毒首先会将自身复制到U盘中，同时创建一个名为 .inf的文件。此时，这块U盘就被病毒感染了。第二阶段：传播病毒，当这块U盘插入到一台没有任何病毒的电脑上后，使用者双击打开U盘文件浏览时， ws默认会以 run.inf文件中的设置去运行U盘中的病毒程序，此时dows操作系统就被感染了。un.ini文件运行机un.inf是设备自动运行的设置文件，比如当插入某些驱动光盘后， ws就会自动运行驱动装程序，这就是靠 n.inf文件里面设置。其中的 e就是木马程序。其文件格式有以下几种：（1） 自动运行的程序ame.exe（2） 修改上下文菜单，把默认项改为病毒的启动项omma ell=Auto（3）只要调用 eA/W函数试图打开U盘根目录，病毒就会自动运行（4）伪装成系统文件，迷惑性比较大，较为常见的就是伪装成垃圾回收站。ope门=打开（&Oore=资源器 （&X）U盘病毒程序隐藏方式（1） 作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。但这也是比较初级的，现在的病毒一般不会采用这种方式。（2） 伪装成其他文件。由于一般计算机用户不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。（3） 藏于系统文件夹中。这些系统文件夹往往都具有迷惑性，如文件夹名是回收站的名字。U盘病毒发展趋势据软件监测结果表明，目前至少存在288种U盘病毒，U盘病毒由过去功能单一，逐渐演变为功能众多，且技术水平越来越高。目前的U盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及 中心，高级一点的会修改防火墙和病毒设置，使其穿透个人防火墙，还有一些未公布的U盘病毒，已经做到感染PE文件，计算机一旦被感染这种病毒很难根除。目前世界上大多数病毒都具备U盘病毒感染功能，使其成为内 和外沟通的桥梁，U盘病毒已经成为一种顽疾。由于U盘病毒的巨大危害性，很多杀毒软件都会查杀以 run.inf文件为要特征的U盘病毒，因此新型的U盘病毒将向硬件以及驱动程序发展。可以将U盘病毒直接嵌入到一些硬件设备，例如手机、mp3等，需要激活时只需要通过 发送一个密码指令即可。另外一种趋势就是将盘病毒做成驱动级，任何系统都离不开驱动程序，通过驱动程序来进行病毒的传播和控制。U盘病毒防范措施只是相对的，没有绝对的 ，对于移动存储设备要通过两个层面来进行防范，一个是技术层面，另外一个是非技术层面。技术层面要从数据的完整性、准确性及排他性等方面进行考虑；非技术层面针对培训、思想意识以及组织方面进行考虑。4.1技术防范及时更新 漏洞补丁和病毒库对于个人和部队来说，每人都是 家肯定不现实，杀毒软件是 领域的卫士，能够查杀市面大多数病毒，因此及时更新漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低 风险。目前市面上销售的正版杀毒软件都带有漏洞扫描功能，通过漏洞扫描生成的报告，可选择自动修复功能修复系统所存在的漏洞。禁止移动设备自动播放很多木马病毒都是通过自动运行来执行的，因此在打开移动存储设备时，尽量不使用自动运行，而通过浏览器或者资源 器来打开。如果设备具有可读写保护功能，则在从设备复制资料到计算机时，可使用可读保护开关，杜绝感染系统通过U盘进行病毒传播。对owsXp操作系统，单击"开始”-“运行”，在运行中输入it.msc进入组策略编辑器，依次选择“用户配置”-“模板”-“系统”-“关闭自动播放”，在“关闭自动播放”属性窗口选择“已启用”，关闭自动播放中选择“所有驱动器”，单击“应用”按钮禁用系统中所有驱动器的自动播放功能。实时监控，杀毒先行对杀毒软件和个人防火墙要实时监控，确保杀毒软件及其个人防火墙都在正常运行。在使用移动存储设备时，首先查杀移动存储设备中的文件，在确定无病毒的情况下，再进行其他操作。 ws操作系统默认不显示隐藏文件和系统保护文件，病毒往往利用这一点进行病毒隐藏和传播，因此需要通过“文件夹”-“查看”选项，选择“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”复选框，方便查看盘以及系统其它盘中是否隐藏病毒文件。在所有磁盘中创建 .inf文件夹U盘病毒一般都是利用 un.inf文件来进行传播，根据dows操作系统文件以及文件夹名称唯一性原则，系统仅存在唯一名称文件，因此可以在系统所有磁盘中建立一个名称为“ ”的文件夹，使U盘病毒不能创建 n.inf文件而达到防范U盘病毒的目的。谨慎下载，运行在需要软件时，尽量到正规大型站进行下载，下载后对软件进行查杀毒处，防止软件被捆绑木马程序。如果需要运行在重要计算机上面，必须进行 性测试，确保该软件对系统不会造成危害。做好系统和数据备份近年来，计算机木马病毒往往带有较强的商利益目的，尤其是以盘为传播介质的病毒。例如熊猫病毒、AV病毒，会对所有可执行文件进行感染，如果处不好，将会带来巨大的经济损失。因此平时对重要数据和系统一定要做好备份，做到随时可以恢复系统，并正常运行。使用一些移动存储用软件根据数据资料的价值，装移动存储用 软件来进行U盘资料的保护，这些软件往往具有文件加密等功能，U盘资料只能在指定计算机和指定中使用，到其它计算机上无法读取，即使读取也是乱码，从而保证数据的。对移动存储设备的一切权限变更和一切文件操作，部都有日志记录和审计。非法U盘，进不来。所有能在内部使用的盘、移动硬盘必需通过授权认证，没有经过授权的U盘和移动硬盘无法使用。授权U盘，拿不走。即使是经过认证的移动存储设备，其保存的机密文件都进行了高强度加密存储，并完隐藏。授权U盘、移动硬盘在内部如常使用，但在外部计算机看不见任何信。其他常见砂盘病毒 及防范方法？。.rose.exe杀:右键单击各 个盘符的时候，第一项由原来的“打开”变成了“自动播放”，然后在你的系统进程里面会出现若干个“ ”的进程，占用电脑的CPU资源。防范办法：将U盘插入电脑，当出现操作提示框时，不要选择任何操作，直接关掉；进入我的电脑，从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘，在弹出的菜单中选择“打开”进入。.doc.exe病毒(即:word病毒): U盘插入后，即被写入in32.exe、 .exe以及很多.exe的病毒文件，以相似图标冒充和doc文档；任务器打开察看，有名为c.exe的进程。此病毒名为： ll.b(移动杀手)，可感染 n95以上的操作系统，以及、U盘、软盘等存储媒体。中毒后可用 杀工具查杀。.U盘破坏者(Worm.vb.hy)病毒介绍：它是一个能在 X/NTZ2000/XP/2003系统上运行的蠕虫病毒。它会将自身复制到优盘、移动硬盘等移动存储设备上，试图通过它们传播。该病毒运行后会在后台破坏硬盘数据，致使中毒电脑重新启动时完崩溃，无法进入系统。: 如果点击盘中的“我的电脑”图标后， 硬盘灯频频闪动，则很有可能是受到该病毒的攻击，应该立刻关闭计算机，阻止病毒对硬盘数据的进一步破坏。.RavM1fenE.exe、RavMtorLog病？毒:然这个东 西没有 ？危害,只是另到你打开移动硬盘的度变？衢艮慢,双击U盘等好几就弹出任务 器模式的文？件夹,而不是直接？打开。中毒后：优盘不能正常出；读取优盘内 容度变慢？查看所有文？件，发现多了RavMon?Eexe，RavMOnLog。该病毒由如下文件组成？：autor?in.inf、msvc?71.dll、RavMPonE.exe、RavMOnLog。当用户双击？U盘盘符，会激活aPtoruP.inf自动？加载RaP/MnE.exe解决方法：Step1.开机时按F8键，进入【模式】我的电脑--工具--文件夹选项？--【查看】分页选“显示所有文件和文件夹？，取“隐藏受保护？的操作系统？文件(推荐)”Step2.用任务 ？^Ctrl+Alt+Del) 终止RavMorE.exe进程？在开始菜单?--搜索--所有文件和？文件夹(记得在【更多高级选？项】中选“搜索隐藏的文件？和文件夹”)，索以下文？件RavMonE.exe、RavMPonLog，删除它们对于msva71.dll和？Uoru?ninf这两？个文件，只删除 RavMcPhEexe在同?一文件夹内的？其的则保留。不要过闪存、移动硬盘内的病毒，以交叉感染，再次中毒Step3.在开始菜单?--运行--输入reg?edit，删除表 ？的键值：nRun] MonE.exe•不名的病？毒:右键打开 盘，第一项是非正常的“打开”，在第三个位子上是正常的打开。U盘使用者会很轻易的点击最上方的“打开”，即病毒激活。在点击第一个“打开”时，会出现第二个对话框。杀毒：用木马杀客扫描U盘，将木马隔离，在隔离区删除即可。4.2非技术防范、从制度上加强。对于部分有必要的计算机，才允许使用U盘、移动硬盘；其他计算机禁止使用盘、移动硬盘等移动存储设备，凡涉密U盘禁止接触上计算机，凡涉密U盘，在数据处完毕后，要采取 删除文件或者低级格式U盘等 技术措施，严防从U盘中泄漏涉密文件，从源头上保证。盘用。交流使用模 式U盘仅对外使用，每次使用完毕后进行处，做到外盘用处。加强U盘意识培训，定期进行 查。重在 意识和 措施的执行力度，定期对措施的落实情况进行查，结合违规取证系统对计算机进行涉密文件的查并进行相应的处，降低和减少隐患。结束语U盘病毒看似普通，如果监控不好，将会给