拒绝U盘病毒传播 瑞星技术先锋0917期

　　卷首语：目前，各式各样的U盘、闪盘成为大家交流文件和程序的主要工具之一，它的便携性给人们提供了方便，但是却也给病毒提供了高效的传播方式。无论是台式机还是笔记本，我们都很难避免与移动存储设备的接触，那么如何判断U盘是否中毒，要防范通过U盘传播的病毒，我们应该注意些什么呢？

---

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

拒绝U盘病毒传播 瑞星技术先锋0917期

　　中毒症状

　　U盘对病毒的传播要借助autorun.inf文件，病毒首先把自身复制到u盘，然后创建一个autorun.inf的文件，当你双击U盘时，会根据autorun.inf中的设置去运行U盘中的病毒。

　　假如我们在双击打开U盘时，不是在当前窗口打开，而是在新窗口中打开，那么则有可能中毒了。这时可以在"我的电脑"中右击盘符，看其最上方的一项命令是什么，如果为"Auto"，而不是正常的"打开"，那么中毒的可能性则进一步增大。

　　这时我们不要轻易打开U盘，因为此时U盘根目录的autorun.inf的文件已经被创建，并被篡改为执行病毒程序。

　　病毒分析

　　我们可以通过系统中的"工具---文件夹选项---查看"来设置系统文件夹属性来"显示所有文件和文件夹"看到U盘根目录下的autorun.inf文件，其实单纯的autorun.inf文件本身是一种系统文件，常用于光盘的自动运行，内容及结构如下：

　　但是，autorun.inf文件被病毒利用后，就形成了一个执行病毒的途径，举个例子，假如U盘根目录下有mm.ico，mm.exe，mm.txt和autorun.inf四个文件。其中autorun.inf内容为：

　　[AutoRun]

　　Icon=mm.ico

　　Open=mm.exe

　　shell\1＝打开mm.txt

　　shell\1\command＝notepadmm.txt

　　那么系统寻找到autorun.inf以后，U盘图标就会显示为mm.ico，双击便会执行mm.exe，当右键U盘图标时菜单里多出一行"打开mm.txt"选项，单击后就会用系统自带的notepad（记事本）程序打开mm.txt。

　　处理办法

　　在插入U盘时按住键盘shift键直到系统提示"设备可以使用"，防止U盘自动运行而执行病毒程序，然后打开U盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器将其打开，或者使用快捷键win+E打开资源管理器后，通过左侧栏的树形目录打开可移动设备。然后打开autorun.inf文件，确定病毒文件位置，然后将autorun.inf与病毒文件（通常为*.EXE的隐藏文件）一并删除。

　　我们还可以直接使用瑞星卡卡，打开"U盘病毒免疫"功能，以确保系统安全无忧。

　　Worm.Win32.Autorun.sul（U盘盘蠕虫变种SUL）

　　近期，瑞星"云安全"系统截获并实时处理了一个通过U盘传播的恶性蠕虫病毒Worm.Win32.Autorun.sul（U盘蠕虫变种SUL）。该病毒会将自身伪装成与系统文件类似的名称用来迷惑用户；随后利用驱动文件破坏多种国外杀毒软件，最终访问制定地址下载大量木马并通过U盘不断进行传播。