1、1毕 业 论 文课题名称 探讨 U 盘病毒的特点及防范措施学生姓名 专 业 电子信息工程技术 班 级 2目录目录 .2摘要 .4第一章:计算机病毒概述 .51.1、计算机病毒的概念及发展 .51.2、计算机病毒的特征及计算机被感染后的表现 .51.2.1 计算机病毒的特征 .51.2.2 计算机被病毒感染后的表现 .61.3 计算机病毒的传播途径及预防措施 .6第二章:U 盘病毒 U 盘病毒的概念、原理、特征及其表现 .72.1、U 盘病毒的概念及原理 .72.1.1、U 盘病毒的概念 .72.1.2、U 盘病毒的原理 .72.2、U 盘病毒运行机制 .82.3、U 盘病毒的特征及表现 .10
2、2.3.1、U 盘病毒的特征 .102.3.2、U 盘病毒与计算机一般病毒的比较 .112.3.3、U 盘病毒的病状表现 .11第三章:U 盘病毒的查杀及防护 .123.1 全面解析 U 盘病毒 .1233.2、U 盘病毒的查杀 .163.2.1、手工清理方法总结: .163.2.2、利用 USB 专杀工具(USBKiller)查杀: .213.3、U 病毒的防护措施 .21第四章 结论与展望 .21致谢 .21参考文献: .22探讨 U 盘病毒的特点及防范措施专业:计算机科学与技术(网络安全监察)摘要随着计算机技术的迅猛发展,计算机给人们的工作和生活带来了前所未有的便利和效率,但计算机病毒也
3、随着计算机的发展在日益猖獗,其传播速度和途径更是让人难以想象,近年来,U 盘因其使用方便、小巧、易携带等特点,也被人们广泛运用于社会的各个领域,成为了网络信息和计算机电子文档储存与传递的重要工具之一。计算机病毒也依靠着此传播途径走上了传播的高速路,更让人难以对付的是出现了 U 盘病毒。U 盘病毒的出现给人们存储在可移动磁盘上的数据、重要文件造成了丢失、被窃取等种种危害。本论文通过对计算机病毒的了解,从计算机一般病毒出发,探讨 U 盘病毒的危害,并分析研究 U 盘病毒的特征、原理及计算机被感染后的表现,从而找出查杀 U 盘病毒的有效方法和防御措施。解决 U 盘病毒在工作、生活、办公、学习等各个领
4、域给人们带来的种种隐患,为人们的可移动磁盘数据及计算机创造良好的环境。关键词:病毒、U 盘病毒、防范、计算机、可移动磁盘、传染、查杀、自动播放、4AutoRun.inf第一章:计算机病毒概述随着科学技术的发展,目前计算机的应用已经遍及到社会的各个领域,同时计算机病毒也依靠着计算机网络及可移动设备等途径传到了各台计算机,威胁着人们的生活和办公。因此,计算机病毒的防范工作,已经迫在眉睫,要搞好计算机病毒预防工作,首先,我们必须对计算机病毒有着熟悉的了解。1.1、 计算机病毒的概念及发展1.2、 计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义为:病毒
5、指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码” 。因此,我们知道,计算机病毒有着破坏计算机数据并影响计算机正常工作的并窃取计算机数据的功能。当今社会,计算机病毒普遍存在,而且发展突飞猛进,据瑞星全球反病毒监测网统计数据显示,2004 年上半年,瑞星截获新病毒 11835 个,2005 年同期,新病毒数为 26927 个,而去年上半年,新截获的病毒数量飙升到了 119402 个,相当于过去几年截获病毒数量的总和。在去年病毒较为泛滥的时期,其中有三分之一的病毒是通过可移动设备传播感染的。1.2、计算机病毒的特征及计算机被感染
6、后的表现1.2.1 计算机病毒的特征1、传染性:计算机病毒传染性是指计算机病毒通过修改的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。2、潜伏性:计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作,使电脑变慢。3、破坏性:病毒破坏文件或数据,扰乱系统正常工作的特性称为破坏性。4、可触发性:病毒的发作通常是在一定的条件下实现的,这些条件可能是时间、日期、文件类型或某些特定数据等。一旦满足这些条件,病毒就会发作,被感染的文件或系统将被破坏。5、隐蔽性:指病毒在感染计算机后具有不被用户发现的特点,主要表现
7、在传染的隐蔽性和病毒程序存在的隐蔽性两个方面。6、非授权可执行性:计算机病毒可以未经授权而执行。7、攻击的主动性:病毒对系统的攻击是主动的, 计算机系统无论采取多5么严密的保护措施都不可能彻底地排除病毒对系统的主动攻击。1.2.2 计算机被病毒感染后的表现1、机器不能正常启动:加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。2、电脑经常异常死机:病毒程序打开了较多的程序,或者是病毒自我复制,都会占用了大量的 CPU 资源和内存资源,从而造成机器经常死机。3、计算机中的文件无法打开:系统中可以执行的文件,突然无法打开。由于病毒修改了感染了文件,
8、可能会使文件损坏,或者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。4、数据突然丢失:硬盘突然有大量数据丢失,这有可能是病毒具有删除文件的破坏性,导致硬盘的数据突然消失。5、电脑运行速度特别慢:在运行某个程序时,系统响应的时候特别长,响应的时间,超出了正常响应时间的 5 位以上。6、磁盘空间迅速变小:由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0” ,用户什么信息也进不去。7、外部设备工作异常:造成键盘、打印机、显示器等外部设备不正常工作,因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些用理论或经验说不清道不明的现象。1.
9、3 计算机病毒的传播途径及预防措施计算机病毒具有自我复制和传播的特点,因此,要预防计算机病毒就必须先了解它的传播途径,目前,计算机病毒的传播途径主要有一下几种途径:第一,通过 Internet(计算机网络)进行传播,网络已经成为人们获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序的天堂,正因如此,计算机病毒也依靠网络走上了传播的高速之路。第二,通过 IM(即时通信系统,如 QQ、MSN)和无线通道传播。第三,通过移动存储设备(U 盘、可移动硬盘、软盘、光盘等 USB 设备)来传播。目前,U 盘也成为使用最广泛、最频繁的移动存储介质,这便为计算机病毒的传播创造了很好的条件。为此,要
10、做好计算机病毒的防护工作,不当要预防从网络上所带来的病毒,更要防范好从 USB 接口进入计算机的来犯之敌U 盘病毒。计算机病毒分计算机网络、IM 系统和无限通道、可移动设备 (表格)第二章:U 盘病毒 U 盘病毒的概念、原理、特征及其表现2.1、U 盘病毒的概念及原理2.1.1、U 盘病毒的概念U 盘病毒又称 Autorun 病毒,是通过 AutoRun.inf 文件使对方所有的硬盘完全共享或中木马的病毒,是主要通过 U 盘等可移动设备传播的计算机病毒。目前,U 盘病毒是传播最广的计算机病毒之一,各杀毒软件也尚未将 Autorun 病6毒列为病毒.该病毒在中毒的 U 盘接入电脑时,双击打开 U
11、 盘盘符时便会通过Autorun.inf 激活病毒从而使系统受到感染。病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog. 2.1.2、U 盘病毒的原理U 盘病毒主要依赖于 U 盘等可移动设备生存,当用户从网上下载文件并拷贝到 U 盘时便可能中了 U 盘病毒,当用户双击 U 盘盘符时,便启动了隐藏了的Autorun.inf 等系统文件。Autorun.inf 原本是微软公司设计一个安装信息文件,其本身是一个正常的文件,通过它可以实现可移动设备的自动运行,很多黑客便利用它做一些恶意的操作,不同的黑客可以通过 Autorun.inf 植入不通的病毒
12、,现在一些不法分子却利用它来传播病毒。autorun.inf 文件里面的内容非常灵活,写法不唯一,不同病毒的 autorun.inf 文件的内容不尽相同。U 盘病毒Autorun.inf 的程序代码如下:(引用)codeds=“dohuw+%RN%,“execute (decode (codeds) )Function DeCode (Coded)On Error Resume NextFor i = 1 To Len (Coded)Curchar = Mid (Coded, i, 1)If Asc (Curchar) = 16 thenCurchar = chr (8)Elseif Asc
13、(Curchar) = 24 thenCurchar = chr (12)Elseif Asc (Curchar) = 32 thenCurchar = chr (18)Else Curchar = chr (Asc (Curchar) -3)End ifDeCode = Decode&CurcharNextEnd Function2.2、U 盘病毒运行机制与一般计算机病毒相比,U 盘病毒的运行一般是被动的,必须经过可移动设备的自动播放功能或者是人为的点击后,U 盘病毒才可以在计算机中得到运行,其运行机制主要表现在以下几个方面:1、感染磁盘:U 盘病毒运行在电脑中,病毒程序不断扫描各盘(包括硬
14、盘分区、U 盘、移动硬盘、内存卡等) ,并且在每个磁盘根目录下建立病毒文件的副本和一个 autorun.inf 或者 autorun.pif 自启动文件,有时会感染其他文件。2、伪装成文件夹:U 盘病毒会检查你的移动设备里有多少文件夹,并根据每个文件夹的名字建立同名的病毒文件副本(扩展名为 exe) ,这个病毒副本的图标和文件夹的图标相同或者相似,并且病毒把原有文件夹的属性改成7hidden(隐藏)或者 system(也是隐藏的) 。如下图:设置文件夹选项显示所有文件和文件夹,可以发现,病毒隐藏了原文件夹,把自己伪装成原文件夹,用户不知道或不注意的话,双击盘符就运行了病毒,从而使计算机感染病毒
15、。上图中名为 RECYCLER.exe 是病毒在 U 盘中伪装成一个文件夹的样子,其本身就是一个病毒,如果计算机没设置显示扩展名的话,一般人看到此图标就以为是回收站,而事实上,回收站的名称是“Recycled” ,而且两者的图标是不同的。U 盘属于 Zip/FDD 型移动设备,理应没有回收站(Recycled 文件夹)和系统还原(System Volume Information 文件夹) ,您删除的任何文件将是完全删除,而不会被放入所谓的“Recycled”中。所以,一旦您在 U 盘上发现看似回收站图标的文件夹,可以直接认为那是病毒的老巢,请不要进入,而是直接删除!3、用户中计,电脑被感染:
16、因为 windowsXP 的默认配置是不显示文件的扩展名,不显示隐藏文件和系统文件,这就使你原来的文件夹实际上看不到,看到的是病毒文件,但病毒文件伪装的和原来的文件夹一模一样,如果你误以为那是你的文件夹并点了这个文件,病毒便会运行,并安装到电脑中(这个过程你是看不到的) ,同时病毒引导你进入正常的文件夹,所以你在完全不知情的情况下就中毒了。4、当移动设备插在电脑上时,通过 windows 的自动播放功能,自动执行8autorun.inf 文件,autorun.inf 文件激活病毒程序。见下图:左侧为带 U 盘病毒的右键菜单,多了“自动播放” 、 “Open”、 “Browser”等项目;右侧是
17、杀毒后的,没有这些项目。5、通过双击盘符运行:如果 windows 自动播放功能被关闭,则移动设备不会被自行打开,病毒也无法直接运行,这时如果你不做任何操作,电脑是不会中毒的。但如果你双击盘符,则 autorun.inf 也一样会被运行。2.3、U 盘病毒的特征及表现2.3.1、U 盘病毒的特征U 盘病毒不但具有着一般计算机病毒的特征,除此之外,U 盘病毒还有着一些自己独立的特征,这写特征与一般计算机病毒的特征相比,显得更强烈、更广泛。主要表现在:1、传染的广泛性:U 盘在当今社会无处不在,因此只要有 U 盘的地方都可能存在病毒,而且,传染强烈,只要可移动磁盘一与计算机接触都可能被感染,我们可
18、以把 U 盘病毒的传染性与艾滋病病毒的传染性进行比较,可以发现它们都具有如下特点:(1)从表面无法看出是否感染了病毒;(2)能感染接触对象,也能被接触对象感染;(3)都是通过连通后才可能产生传染;(4)感染后一般不是立刻就能发现而且很难完全清除的;(5)如果减少接触对象,就能减少感染风险;(6)使用预防措施可以大大的减少风险。2、感染的被动性:U 盘病毒都是贮存在可移动磁盘中,如果不经过认为的把可移动磁盘与计算机接触,是不会感染计算机的,并且接触后也要经过自动播放或点击盘符才能使病毒得以运行。3、 病毒的持久性:一旦 U 盘被感染,很难查杀或彻底清除,特别是在 U盘中存有重要文件时,要清楚病毒
19、而且保护证文件不丢失,显得非常困难而又复杂。4、感染对象的的特定性:U 盘病毒感染的对象一般只能是计算机以外的可移动设备或磁盘。5 传播途径的多样性:U 盘病毒不但可以一依靠网络的传播,更为广泛的传播是靠 U 盘等可移动设备。2.3.2、U 盘病毒与计算机一般病毒的比较U 盘病毒与计算机一般病毒都是计算机病毒,他们对计算机都具有破坏性,有着共同的目的,不同的只是在概念、具体的传播途径、特征表现等方面略有区别,它们之间还有着密切的联系。具体如下表所示:区别 联系9概念编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。感染对象主要是
20、针对计算机,主要在计算机与计算机之间进行传染。特征及表现基本特征:程序性、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、不可预见性、持久性、诱惑欺骗性、寄生性。感染表现: 经常异常死机、运行速度慢、磁盘空间减小、数据丢失等。一般计算机病毒查杀 利用一般的杀毒软件可以清除。概念 U 盘病毒又称 Autorun 病毒,是通过AutoRun.inf 文件使对方所有的硬盘完全共享或中木马的病毒,是主要通过 U 盘等可移动设备传播的计算机病毒。感染对象感染对象主要是 U 盘,但也会感染计算机。主要在计算机与可移动磁盘之间进行传染,且贮存于可移动磁盘当中。特征及表现特征:具有一
21、般病毒的特征,但其传染性较为广泛、感染的对象相对特定、感染被动、传播途径多样化。感染表现:具有一般病毒的感染表现。值得注意的是 U 盘被感染或的表现。U 盘病毒查杀 一般的杀毒软件难以清除,一旦感染后,要使用 USB 专杀工具或将可移动磁盘格式化才能清楚。U 盘病毒属于计算机病毒的其中之一,他们都有着共同的特征,其目的都是为了破坏计算机系统、获取对方数据。对人们的生活和办公信息都有着巨大的威胁。在查杀防范计算机病毒的同时,不能忽视了U 盘病毒。2.3.3、U 盘病毒的病状表现1、当计算机被 U 盘病毒感染时:计算机被 U 盘病毒除了表现为感染一般病毒的症状外,还有可能出现以下情景:(1) 、中
22、了 U 盘病毒,电脑硬盘里面所有的文件夹里都有一个与这个文件夹名字相同的后缀为 EXE 的文件夹 而且都一样大;(2) 、无法开启任务管理器,当你按下 Ctrl+Alt+DEL 的时候,任务管理器一闪而关。(3) 、应用程序无法运行,尤其是杀毒软件,最近的一些 U 盘病毒变种能够。阻止一切应用程序的运行,特征是你运行电脑上安装的应用程序,无任何反映,尤其是杀毒软件,很多变种都有阻止杀毒软件运行的功能。(4) 、双击无法打开电脑上硬盘分区,必须要用右键才能打开,这个也是一个比较常见的中毒特征。2、当 U 盘感染上病毒时,其病状主要表现在以下几个方面:10(1) 、双击打开 U 盘时,计算机提示找
23、不到 copy.exe。(2) 、显示隐藏文件时发现有 copy.exe host.exe autorun.ini 可疑文件。(3) 、部分 U 盘表现为所有文件属性被修改为隐藏。 (4) 、打开系统进程有可能发现 temp1.exe 或 temp2.exe。(5) 、U 盘的储存空间变小。(6) 、经常性的删除移动存储失败,总是显示“现在无法停止通用卷设备,请稍候在停止该设备” 。第三章:U 盘病毒的查杀及防护要有效解决 U 盘病毒给人们带来的困扰,为计算机的工作创造一个健康、安全的环境,同时也使人们不在担心存放在可移动磁盘(U 盘)上的重要文件、数据不在丢失或被窃取,就必须做好 U 盘病毒
24、的查杀和防护工作。3.1 全面解析 U 盘病毒1、一个被病毒感染的 U 盘要从计算机的 USB 接口弹出时,通常会出现“现在无法停止通用卷设备,请稍后在停止该设备” 。一般情况下,这就是由于病毒在运行,U 盘设备被病毒调用。 (图 1)(图 1)2、接下来我们看看病毒到底在硬盘上做什么,由于病毒文件大多是隐形属性,因此要先让系统显示隐藏文件,方法如下:打开“我的电脑” ,选择“工具”菜单中的“文件夹选项” ,在“查看”选项卡的“高级设置”下一次勾选“选择系统文件夹的内容” 、 “显示所有文件和文件夹” 。取消对“隐藏已知文件类型的扩3、打开“我的电脑”进入根目录查看,不要直接双击,用鼠标右键点击盘符,可以看见第一项变成了“Auto”.(图 3)4、(一般正常情况下是“打开”),选择“资源管理器”进入磁盘根目录。非常明显在根目录下多了一个文件,一个目录,文件是 Autorun.inf,目录为RECYCLER,它的图标和回收站的图标一样,并且是隐藏属性。进入 RECYCLER 目录可以看到两个文件,一个为 info.exe,另一个为 desktop.ini,也是隐藏属性。(图 4)
