以u盘为传播载体的计算机病毒解析与对抗研究

维普资讯 http://www.cqvip.com 。宁轲　摘要：本文讨论了当前以ｕ盘为传播载体的计算机病毒　染计算机上的所有可执行文件。并使图标全变为“熊猫烧香　。　的破坏特征、感染机制、隐蔽手段、自身恢复和保护方式等，　并提出了一些具体的对抗方法。　同时，还使受感染的计算机出现蓝屏、频繁重启以及系统硬盘　中数据文件被破坏等现象。严重地干扰了用户对计算机的正常　使用。更有的病毒由于编写质量较差，直接导致系统运行缓慢　甚至崩溃。　关■调：感染机制；远程线程注入ｄｌｌ；自身恢复；对抗　前段时间的“熊猫烧香　病毒给广大计算机用户以重创，　（＝）盗取用户信息　这一特点也是近年来病毒发展的趋势。ｕ盘病毒ｔｅ１．ｘｌｓ．　ｅｘｅ盗取ＱＱ帐户和密码。盗取方式为键盘记录，包括软件　盘，将盗取的号码和密码通过邮件发送到指定邮箱。“熊猫烧　香　病毒更是通过下载多种专门盗取用户信息的病毒来为其服　人们在纷纷申讨病毒制作者的同时，也越来越关注计算机安全　问题。作为当前最流行的数据携带工具，ｕ盘成了很多人日常　生活中必不可少的东西。而正是这个小巧的东西，成了许多病　毒的“藏身之处　。自ｕ盘问世以来，针对ｕ盘进行传播的病　毒就层出不穷．而杀毒软件的滞后性也让许多ｕ盘用户“望毒　务。使广大计算机用户的网上银行账号和密码等个人机密信息　泄露。造成了严重的经济损失。　兴叹　。可见，对ｕ盘这个病毒聚集地进行有效的清理，是很　有必要的。现对当前流行的ｕ盘病毒的破坏特征、感染机制、　隐蔽手段、自身保护方式和一些对抗措施等进行逐一分析。　感染机制　所有的ｕ盘病毒的感染机制，都是让病毒程序在用户的机　子上至少运行一次。　破坏特征　目前流行的计算机病毒在传播模式上呈现多样化，而ｕ盘　这样广泛使用的数据存储和携带工具，自然成了众多病毒制作　者眼中不可放过的“香饽饽　。鉴于此，当前以ｕ盘为传播载体　的计算机病毒的破坏特征几乎涵盖了计算机病毒的所有破坏特　征。而其中有两点最具代表性：　（一）影响系统的正常使用　比较惯用的手法有以下３种：　（一）爝疆用户运行霜毒程序　这种方式就是诱骗用户自己去运行病毒程序。而主要的手　法有两种，一种是利用文件名。例如。把文件名取为“请不要　点我　。根据人的心理。越是不让他做的他就越想做，所以用　户此时通常会出于好奇心而打开此文件来看看。另一种是通过　“健　文件图标诱惑用户打开。例如，ｕ盘病毒ＳＸＳ，ｅｘｅ就把其自身　病毒编写者为了使自己的病毒能具有良好的隐蔽性和壮　的生存能力，他们通常会通过更改系统的某些功能来达到　的图标改为漫画人物“柯南　的头像。“熊猫烧香　病毒更是让　一这一目的。而这一更改势必影响到原来系统自身的使用。如ｕ　病毒ｔｅ１．ｘｌｓ，ｅｘｅ就通过改写注册表来达到无法显示系统隐藏文　件。从而使用户无法看到其自身。而“熊猫烧香”病毒更是感　只可爱的熊猫来做自己的图标。这样，对计算机不甚了解的　用户看到这样的文件就比较容易“中招　。　（＝）让Ｕ量自动运行囊毒程序　２００７，０７中小企业科技　１３９　维普资讯 http://www.cqvip.com ｕ盘病毒几乎都是通过这种方式来感染用户的机子。这种　方式主要是通过在ｕ盘里加载一个配置文件ａｕｔｏｒｕｎ．ｉｎｆ而实　现。当用户双击打开ｕ盘的同时，让ｕ盘自动运行ｕ盘里的病　毒程序。所以，一般在ｕ盘里发现有名为ａｕｔｏｒｕｎ．ｉｎｆ的文件　时，可以肯定这个ｕ盘是带毒的。当然这个文件通常是一个隐　藏文件。必须要打开系统的显示所有文件选项才可以看到。　（三）患蔡ｕ盘正常文件　自“熊猫烧香”病毒出现以来，越来越多的病毒都模仿了　它的手法。其中最厉害的就是全盘感染可执行文件的形式。目　前有的ｕ盘病毒也使用了类似的手段。把ｕ盘里的所有文件都　替换成与原文件同名甚至图标也一样的病毒。这样一来，用户　不论打开了ｕ盘里的哪一个文件，都会重新激活病毒。而这样　的手法会使原来ｕ盘里的文件全部丢失。对于保存了重要资料　的用户来说，那将是很大的损失。　隐蔽手段　ｕ盘病毒都会对自己进行伪装，目的就是让人不能轻易地　发现自己。既会对本地的存放进行伪装或隐藏，也会让自己在　进程管理器中消失。　（一）表面伪装　采用这种方式的病毒通常会把图标更改为系统文件图标。　例如把图标更改为系统动态链接库的图标。对于一般用户来　说。见到有这样图标的文件就认定了这个文件是系统文件，是　“不能动的”。所以，即使病毒就在眼前，也无法识别。　（二）屏蔽正示所有文件选项　很多病毒都把自己设置为系统的隐藏文件，在默认的系统　环境下，隐藏文件是不会显示的，所以用户是看不到病毒的。　一些有经验的用户在打开了系统的‘‘显示所有文件”选项后，　发现病毒仍然不会显示。这是因为病毒更改了系统注册表　ＨＫＥＹ＿Ｉ—ｏＣＡＬ—ＭＡＣＨｌＮＥ＼Ｓｏｆｔｗａｒｅ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼　ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼ｅｘｐｌｏｒｅｒ＼Ａｄｖａｎｃｅｄ＼Ｆｏｌｄｅｒ＼Ｈｉｄｄｅｎ＼ＳＨ　ｏＷＡＬＬ中的ＣｈｅｃｋｅｄＶａｌｕｅ键使其值为０或者是把键类型由　原来的ＤＷＯＲＤ值更改为字符串值，这样就屏蔽了“显示所有　文件”选项。有的病毒还通过锁定注册表ＨＫＥＹ　ＣＵＲＲＥＮＴ　—ＵＳＥＲｋＳｏｆｔｗａｒｅｋＭｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｅｘｐｌｏｒｅｒ＼　Ａｄｖａｎｃｅｄ中的Ｈｉｄｄｅｎ键值，使其恒为０。这样也同样可以　起到屏蔽显示所有文件选项的作用。　（三）使文件扩曩名总不显示　ｗｉｎｄｏｗｓ系统中的文件扩展名，展示了文件的类型。而病　毒的类型大多为可执行文件的形式。所以，一些病毒为了更好　地隐藏自己，还会通过锁定系统注册表的　ＨＫＥＹＣＵＲＲＥＮＴＵＳＥＲｋＳｏｆｔｗａｒｅｋＭｉｃｒｏｓｏｆ￡＼Ｗｉｎｄｏｗｓ＼Ｃｕｒｒｅｎｔ　——Ｖｅｒｓｉｏｎ＼ＥｘｐｌｏｒｅｒｋＡｄｖａｎｃｅｄ中的ＨｉｄｅＦｉｌｅＥｘｔ键值，使其恒为　一个非Ｏ值，使得系统文件扩展名总是不显示。这样，用户在　面对系统上的众多文件，就只能从文件的图标来识别文件的类　型，但很多病毒的图标都是经过伪装的，所以单凭图标来判断　１４０　中小企业科技２００７．０７　文件的类型。那是不准确的。　（四）嵌入系统进程　ｗｉｎ２０００以上系统中的进程任务管理器可以列出当前系统　正在执行的程序。病毒当然也在这一行列中。但由于系统本身　就有很多必要的进程，再加上用户自行安装的众多软件。所以　当普通用户面对进程管理器里列出的一大串进程时，并不能看　出哪些是正常进程，哪些是病毒进程。再加上目前的一些病　毒，采用了一种称为“远程线程注入ｄＩＩ”更为隐蔽的手法，使　自己在任务管理器中消失。这种手法的主要原理如下：病毒主　体本身被写成了一个动态链接库（ｄＩＪ文件）文件。病毒的“帮　凶”为一个可执行文件。它主要负责在系统进程里开辟一个新　的线程来调用病毒主体本身（ｄＩＩ文件）。然后它自己就结束运　行。通常病毒喜欢选择系统进程Ｅｘｐｌｏｒｅｒ，ｅｘｅ来进行嵌入。这　样一来，病毒就挂在系统正常进程里执行了。进程任务管理器　里并没有出现新的进程。用户当然也就看不到病毒进程；更为　可怕的是，用户想结束病毒进程，唯有把被嵌入的系统进程给　关了。而关掉系统进程，必然导致系统异常。所以这种手法对　于病毒来说，无论是在隐藏自身还是在保护自身方面都是十分　‘ｌ完美”的。但由于这种技术是挂靠其他进程来运行自身。所　以很容易导致系统进程崩溃。从而也就使感染了此病毒的用户　机子极不稳定。　自身恢复和保护方式　所有的病毒都会为怎样保护和延长自己的生存期下一番功　夫，ｕ盘病毒当然也不例外。其惯用的手法有：确保每次开机　都自动运行。加强病毒本身的“健壮性”以保证病毒即使被发　现，也不会被轻易地删除。多种复活手法相结合。近年来的病　毒更是加入了自动升级功能来不断加入更好的自身恢复和保护　方式，从而躲避杀毒软件的查杀。　（一）开机自启动　为了让每次开机时，病毒程序都自动运行，病毒编写者一　般是通过加载注册表多处自启动键值的方式来达到这一目的。　最常见的加载有：　ＨＫＥ　ＬｏＣＡＬＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲ　Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗ　ｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ主键下的　Ｒｕｎ，ＲｕｎＯｎｃｅ，ＲｕｎＯｎｃｅＳｅｔｕｐ，ＲｕｎＳｅｒｖｉｃｅｓ和Ｒｕｎ－　Ｓｅｒｖｉｃｅｓ０ｎｃｅ注册键。　ＨＫＥＹ～ＣＵＲＲＥＮ－ＵＳＥＲ＼Ｓ０ＦＴＷＡＲＥ　Ⅵｉｃｒｏｓｏ代、、／＼，ｉｎｄｏｗｓ＼　ＣｕｒｒｅｎｔＶｅｒｓｊｏｎ主键下的　Ｒｕｎ，ＲｕｎＯｎｃｅ，ＲｕｎＯｎｃｅＳｅｔｕｐ，ＲｕｎＳｅｒｖｉｃｅｓ和Ｒｕｎ－　Ｓｅｒｖｉｃｅｓ０ｎｃｅ注册键。　还有一些不常见的：　ＨＫＥＹ～ＣＵＲＲＥＮ－ＵＳＥ　ｏｆｔｗａｒｅｋＭｉｃｒｏｓｏｆｔ＼ＷｉｎｄｏｗｓＮ－ｒｋ　ｃｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｗｉｎｄｏｗｓｋｌｏａｄ注册键；　ＨＫＥＹ～ＬｏＣＡＬ—ＭＡＣＨｌＮＥ＼ＳｏＦｎ／＼，ＡＲＥ　ⅥｉｃｒｏｓｏｆｔｋＷｉｎｄｏｗ　ｓＮ－ｒｋＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｗｉｎｌｏｇｏｎ＼Ｕｓｅｒｉｎｉｔ注册键；　维普资讯 http://www.cqvip.com ＨＫＥ　ＣＵＲＲＥＮ厂＿ＵＳＥ　ｏｆｔｗａｒｅｋＭｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼Ｃｕ　ｒｒｅｎｔＶｅｒｓｉｏｎｋＰｏｌｉｃｉｅｓｋＥｘｐｌｏｒｅｒＲｕｎ注册键；　ＨＫＥＹ＿ＬＯＣＡＬ—ＭＡＣＨＩＮＥ＼ＳｏｆｔｗａｒｅｋＭｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼Ｃ　ｕｒｒｅｎｔＶｅｒｓｉｏｎｋＰｏｌｉｃｉｅｓｋＥｘｐｌｏｒｅｒＲｕｎ注册键。　由此可见。注册表里的很多地方都可以成为病毒的自启动　加载项。在查杀病毒时，可以利用注册表的查找功能，逐一查　找病毒的“踪迹”。　（二）多种复活方式　病毒为了使自己的生存能力更强。通常都会加入多种复活　方式。以使得自己被一次查杀后。拥有多种复活的机会。当前　比较流行的一种手法是在感染了用户机子后，在系统的每一个　磁盘根目录下加载配置文件ａｕｔｏｒｕｎ．ｉｎｆ和病毒本身。以使得用　户每次双击打开磁盘的时候让磁盘自动运行病毒。这与ｕ盘自　动运行病毒相类似。ｕ盘病毒ｔｅ１．ｘｌｓ．ｅｘｅ和“熊猫烧香”病毒　都采用了这样的手法。而“熊猫烧香”病毒的另一种复活手法更　为毒辣。那就是全盘感染机子上的可执行文件的形式。这样一　来。只要用户打开被感染机子上的任何一个可执行文件，都会　重新激活病毒。这正是当时感染了“熊猫烧香”病毒的用户感　觉“怎么杀毒都杀不尽”的原因。　（三）双进程防杀　通过ｗｉｎ２０００以上系统的任务管理器．可以随时终止一个　进程的运行。那么如果我们知道了哪一些是病毒进程，则可以　通过这个方法来结束它。但一些病毒进程。用户不论怎样都无　法终止。或者是刚终止又出现。出现这种情况通常都是病毒采　取了一种“双进程防杀　的机制。这种手法主要是病毒进程至　少有２个。它们之间互相照看，互相保护，只要有一个进程被　中断。则另一个进程马上唤醒对方。于是就出现了无法终止的　现象。　一些对抗方法　通过以上叙述，我们了解到ｕ盘病毒与其他计算机病毒一　样。具有很好的隐蔽性，多种复活机制和自我保护等特征。对　于普通的计算机用户来说，怎样才能保护自己的计算机不被ｕ　盘病毒侵害呢？俗话说：“事后控制不如事中控制。事中控制不　如事前控制。”所以，要对抗ｕ盘病毒。重点还是应该放在如　何防范被ｕ盘病毒感染上。这里就提出一些防范的方法。　（一）关闭驱动嚣的自动运行功能　几乎所有的ｕ盘病毒都采用了让ｕ盘自动运行病毒程序的　感染机制。所以关闭ｕ盘的自动运行。对防范ｕ盘病毒的攻击　是很有作用的。具体的关闭方法有两种。　第一种是通过修改注册表键值的方式。打开注册表的　ＨＫＥ　ＣＵＲＲＥＮ－Ｆ＿ＵＳＥ疗　ｏｆｔｗａｒｅｋＭｉｃｒｏｓｏ疗ｌ　ｉｎｄｏｗｓ＼Ｃｕｒｒｅｎｔ　ＶｅｒｓｉｏｎｋＰｏｌｉｃｉｅｓｋＥｘｐｌｏｅｒ键。在右侧窗格中找到“ＮｏＤｒｉｖｅＴｙ—　ｐｅＡｕｔｏＲｕｎ”。这个键值决定了系统是否自动运行光驱、硬盘、　和可移动设备等。对于防范ｕ盘病毒攻击来说。既要阻断它的　感染方式。还要阻断它的复活方式。所以要把系统的自动运行　可移动设备和硬盘的功能关掉。只要把“ＮｏＤｒｉｖｅＴｙｐｅＡｕ—　ｔｏＲｕｎ”键的值更改为“９Ｄ，００．００．００”就可以达到目的。　第二种方式是适合具有“组策略　功能的系统使用的。打　开开始菜单的运行选项。输入“ｇｐｅｄｉｔ．ｍｓｃ”打开系统．‘组策　略”，转到计算机配置一管理模块一系统关闭自动播放一设置　成已启用一下面设置成所有驱动器。最后再运行ｇｐｕｐｄａｔｅ使　组策略生效。这种方式将关闭系统上所有驱动器的自动运行功　能。　（二）以■标右■打开ｕ量　对于不方便关闭驱动器自动运行功能的用户来说，还有一　种方法可以避免ｕ盘自动运行病毒程序。那就是可以用鼠标右　键的“打开”选项来打开ｕ盘，而不是通过双击来打开。这种　方法简单易用。但同时也要注意某些病毒也在右键加入了相同　的“打开”选项来迷惑用户。这时候就要求用户仔细区分。哪　一个才是系统自带的“打开”选项。　（三Ｊ打开置示所有文件和文件扩晨名选项　对于ｕ盘病毒的一些欺骗式感染机制，最好的识别方法就　是打开系统的显示所有文件和文件扩展名选项。这样就可以很　容易认出各种文件的类型，对于来历不明的可执行文件就不要　轻易打开，即使它有着可爱的图标。　（四】使用带有写保护功能的ｕ量　ｕ盘病毒要通过ｕ盘进行传播，肯定要先感染ｕ盘。而感　染ｕ盘必然要向受感染的ｕ盘内写入病毒。那么如果用户打开　了ｕ盘的写保护功能。病毒将无法感染ｕ盘。可见。使用带有　写保护功能的ｕ盘。应该是防止ｕ盘病毒攻击的最有效的方　法。可惜很多ｕ盘用户在使用ｕ盘的时候。并没有打开这个功　能。或者是在读取ｕ盘内容的同时。还要往ｕ盘里拷入文件。　这样又不得不关闭ｕ盘的写保护功能，使得ｕ盘病毒有了可乘　之机。　结束语　ｕ盘既是当前最流行的数据携带工具，也是当前最流行的　病毒传播工具。本文从ｕ盘病毒的感染机制、隐蔽手段、自身　恢复和保护方式等方面做了逐一分析。并提出了一些防范措　施。希望可以对广大计算机用户更好地保护好自己的ｕ盘数　据，阻断病毒的Ｕ盘传播途径起到一定作用。　参考文献　１傅建明，彭．计算机病毒分析与对抗［Ｍ］．武汉：武汉大学　出版社．２００４　２　［美］理查特著．王建华等译．Ｗｉｎｄｏｗｓ核心编程［Ｍ］．北京：　机械工业出版社，２００１　（作者简介：广西职业技术学院经贸系电子商务专业教师，　从事计算机网络安全及信息化应用研究。）　２００７．０７中小企业科技　１４１