拒绝U盘病毒传播 瑞星技术先锋0917期

　　卷首语：目前，各式各样的U盘、闪盘成为大家交流文件和程序的主要工具之一，它的便携性给人们提供了方便，但是却也给病毒提供了高效的传播方式。无论是台式机还是笔记本，我们都很难避免与移动存储设备的接触，那么如何判断U盘是否中毒，要防范通过U盘传播的病毒，我们应该注意些什么呢？

---

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

拒绝U盘病毒传播 瑞星技术先锋0917期

　　中毒症状

　　U盘对病毒的传播要借助autorun.inf文件，病毒首先把自身复制到u盘，然后创建一个autorun.inf的文件，当你双击U盘时，会根据autorun.inf中的设置去运行U盘中的病毒。

　　假如我们在双击打开U盘时，不是在当前窗口打开，而是在新窗口中打开，那么则有可能中毒了。这时可以在"我的电脑"中右击盘符，看其最上方的一项命令是什么，如果为"Auto"，而不是正常的"打开"，那么中毒的可能性则进一步增大。

　　这时我们不要轻易打开U盘，因为此时U盘根目录的autorun.inf的文件已经被创建，并被篡改为执行病毒程序。

　　病毒分析

　　我们可以通过系统中的"工具---文件夹选项---查看"来设置系统文件夹属性来"显示所有文件和文件夹"看到U盘根目录下的autorun.inf文件，其实单纯的autorun.inf文件本身是一种系统文件，常用于光盘的自动运行，内容及结构如下：

　　但是，autorun.inf文件被病毒利用后，就形成了一个执行病毒的途径，举个例子，假如U盘根目录下有mm.ico，mm.exe，mm.txt和autorun.inf四个文件。其中autorun.inf内容为：

　　[AutoRun]

　　Icon=mm.ico

　　Open=mm.exe

　　shell1＝打开mm.txt

　　shell1command＝notepadmm.txt

　　那么系统寻找到autorun.inf以后，U盘图标就会显示为mm.ico，双击便会执行mm.exe，当右键U盘图标时菜单里多出一行"打开mm.txt"选项，单击后就会用系统自带的notepad（记事本）程序打开mm.txt。

　　处理办法

　　在插入U盘时按住键盘shift键直到系统提示"设备可以使用"，防止U盘自动运行而执行病毒程序，然后打开U盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器将其打开，或者使用快捷键win+E打开资源管理器后，通过左侧栏的树形目录打开可移动设备。然后打开autorun.inf文件，确定病毒文件位置，然后将autorun.inf与病毒文件（通常为*.EXE的隐藏文件）一并删除。

　　我们还可以直接使用瑞星卡卡，打开"U盘病毒免疫"功能，以确保系统安全无忧。

　　Worm.Win32.Autorun.sul（U盘盘蠕虫变种SUL）

　　近期，瑞星"云安全"系统截获并实时处理了一个通过U盘传播的恶性蠕虫病毒Worm.Win32.Autorun.sul（U盘蠕虫变种SUL）。该病毒会将自身伪装成与系统文件类似的名称用来迷惑用户；随后利用驱动文件破坏多种国外杀毒软件，最终访问制定地址下载大量木马并通过U盘不断进行传播。

　　瑞星反病毒专家介绍，该病毒自9月份以来，病毒感染量为5577次。由于病毒是通过瑞星"云安全"系统自动捕获并自动分析处理的，瑞星"云安全"用户不会受此病毒影响，所以病毒感染量较少。但经过测试，多款国外知名杀毒软件均没有逃出病毒魔掌，病毒运行后，监控和杀毒功能均无法正常运行，因此使用这些安全软件的用户将面临重大威胁。

　　据瑞星反病毒部门分析，该病毒运行后会释放与系统文件名类似的system.exe和Driver.sys病毒文件。为实现自动运行与传播，会将病毒文件注册为系统服务和硬件设备，并通过双击U盘（或硬盘）自动运行。并利用释放的病毒驱动将国外多款主流杀毒软件破坏，最终访问黑客制定地址下载大量木马，盗取用户各种账号密码。

　　本次截获处理的"U盘蠕虫变种SUL"是自今年7月底瑞星截获的"七月终结者"病毒（Worm.Win32.Autorun.smn）后，该家族最具攻击性的蠕虫病毒。中毒电脑会出现杀毒软件无法打开，监控被关闭，系统无法正常登陆等问题。如果出现上述情况，可以立即安装瑞星杀毒软件2009（http://all.rising.com.cn/download/transfer.asp?ver=risfree）（免费使用期为一个月），并升级到最新版本，以彻底查杀最新U盘蠕虫病毒。

　　据瑞星“云安全”系统统计，本周瑞星共截获了252万个挂马网址。本周挂马网站主要针对手机、电脑和购物相关网站。本周截获的“代理木马点击器”会隐藏在QQ目录中，定期访问黑客指定网站，借提高网站流量帮黑客挣钱。

　　本周关注的被挂马网站：

　　“中彩网”、“终极网”、“逍遥e站”、“火狐游戏网”、“大旗网”、“无忧冒险岛”、“计世网”的部分页面被黑客挂马。黑客利用微软最新视频漏洞和服务器不安全设置进行入侵。用户访问这些页面后，可能会感染蠕虫下载器和大量木马病毒。

多家知名网站“挂马”用户应格外警惕

　　本周关注病毒：

　　“U盘蠕虫（Worm.Win32.Autorun.sul）”警惕程度★★★

　　该病毒运行后将自身伪装成与系统文件类似的名称用来迷惑用户。为实现自动运行与传播，会将病毒文件注册为系统服务和硬件设备，并通过双击U盘（或硬盘）自动运行。并利用释放的病毒驱动将国外多款主流杀毒软件破坏，最终访问黑客制定地址下载大量木马，盗取用户各种账号密码。

　　防范方法：

　　1、使用“瑞星全功能安全软件2009”，有效阻挡通过网页挂马方式传播的病毒，用户可以升级到最新的21.56版；2、安装卡卡上网安全助手6.0自动修复漏洞；3、同时可拨打反病毒急救电话010-82678800或登录http://help.rising.com.cn使用在线专家门诊免费寻求帮助。

　　本周警示：

　　根据瑞星“云安全”系统发现，本周共拦截了1133万次木马网站对用户的攻击，共拦截了252万个挂马网址。大型综合信息、游戏、票务等网站均出现多次被黑客挂马的问题。由于国庆节8天长假和世界旅游日的临近，大量旅行社纷纷推出了各式各样的旅游产品，网民在上网查询时一定留神挂马网站的攻击。

　　瑞星安全专家提醒，按照历史惯例，每逢节假日的到来，都是木马病毒和挂马网站等互联网威胁爆发的高峰。在网站挂马期间，用户如果访问后，可能感染恶性木马，导致电脑工作日常，甚至账号密码等虚拟财产被盗。

通过卡卡可快速清除系统中存在的漏洞信息

　　专家提醒安全防范措施：

　　使用瑞星卡卡上网安全助手6.0，随时自动更新系统与第三方漏洞补丁；

　　不要盲目使用所谓安全浏览器，从“云安全”数据统计，大量挂马网站都是通过此类浏览器进行攻击的。

　　瑞星2009采用基于行为分析的“木马入侵拦截”功能，可以有效拦截各类挂马网站。

　　通过瑞星账号保险柜进行网上交易，保证网银等关键软件账号安全。

　　更多实用技巧，请登录http://www.rising.com.cn查询

　　日常使用电脑一定要安装杀毒软件并及时升级,没有安装杀毒软件的朋友可以登录http://online.rising.com.cn使用瑞星在线杀毒查杀病毒，同时也可拨打反病毒急救电话010-82678800或登录http://help.rising.com.cn使用在线专家门诊免费寻求帮助。

　　编辑点评：

　　在本期ZOL&瑞星技术先锋栏目中，为大家介绍了在U盘病毒的传播方式和传播原理等等。以及教大家如何有效清除U盘病毒和拦截相关威胁，作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。