相信公司中很多同事都会经常使用U盘、移动硬盘(或者MP3、MP4等影音设备)转存资料,往往这些设备中携带着各式各样的病毒,导致公司网络遭受病毒攻击,无法正常上网。如何从根本上斩除移动存储设备的病毒,保卫企业网络安全呢?
揪出祸害根源
目前几乎所有移动存储类的病毒都是利用“autorun.inf”这个文件来侵入的,当携带病毒的移动存储设备与计算机连接后,我们用鼠标双击磁盘分区图标时,往往会出现无法打开对应分区窗口的现象,当你用的电脑出现这种故障时候,几乎就可以断定是本地工作站感染闪盘病毒了。
这类病毒的最大特征都是利用“autorun.inf”这个文件来侵入的,“autorun.inf”相当于一个传染途径,经过这个途径入侵的病毒,理论上可以是“任何”病毒。你在网上可以搜索到很多autorun.inf的病毒,虽然他们具有不同的名称,但他们都是利用这个文件来入侵计算机的。
我们来看看病毒是如何通过这个文件传播的。当你双击可移动磁盘的分区图标时,病毒就会通过autorun.inf文件中的设置自动激活病毒,然后将autorun.inf病毒文件同时拷贝到其他分区,导致其他分区都无法用双击鼠标的方法打开。“autorun.inf”这个文件保存在驱动器根目录下,是一个隐藏的系统文件,它保存着一些简单的命令,会告诉系统新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。比如我们经常使用的各种演示光盘,一插入电脑就自动演示,通过这个“autorun.inf”文件,我们可以放置正常的启动程序,这本来是系统的正常命令,但却被病毒作者所利用,让移动存储设备在用户的操作系统完全不知情的情况下,“自动”执行任何命令或应用程序,很多恶意病毒也就是这样自动运行的。
但是病毒的作者不会堂而皇之的把病毒放进你的U盘或者其他可移动磁盘,而是通过一些方法来伪装,让你把病毒文件误认为是系统的文件,比如,在U盘中建立一个“RECYCLER”的文件夹,把病毒放在其中,但很多人稍不留意就会认为是系统的回收站“Recycled”,有的病毒还会伪装成杀毒软件“RavMonE.exe”,让人误以为是瑞星的杀毒程序。
赤手空拳战败病毒
当发现公司的计算机感染病毒时,会在本地硬盘的所有分区根目录下面创建一个“Autorun.inf”文件,但这个文件在默认状态下是隐藏的,我们可以通过下列方法让病毒显现:
用鼠标双击桌面上的“我的电脑”图标,在弹出的窗口中依次单击“工具→文件夹选项”命令,打开文件夹选项设置窗口,打开窗口中的“查看”标签,在高级设置里选中“显示所有文件和文件夹”,同时将“隐藏受保护的操作系统文件”的选中状态取消掉,如图1所示,最后单击“确定”按钮。这样“Autorun.inf”病毒文件在各个分区目录中“现出原形”。
打开磁盘分区图标,在右键菜单中执行“打开”命令,进入到该分区的根目录窗口,这里不采用双击打开并进入根目录的原因是为了防止病毒自动运行。找到“Autorun.inf”病毒文件后,还是用鼠标右键单击“Autorun.inf”文件,并执行“打开”命令,打开文件后,我们可以看到里面的会有“open=xxx.exe”类似的内容,这里的“xxx.exe”就是具体的病毒名称。如果这类病毒没有设置进程保护,将“xxx.exe”文件以及各个“Autorun.inf”文件直接删除掉,就可以把病毒从系统中清除掉了。
上面这种方法虽然可以将病毒清除,但是系统还有可能再次感染此类病毒,我们还需要把遭受病毒破坏的磁盘关联修改过来,方法如下:打开注册表编辑器,在窗口的左侧显示区域,用鼠标打开“HKEY_CLASSES_ROOT”注册表分支,然后在该分支下面依次选择“Drive\shell”项目,在对应“shell”项目的右侧列表区域,双击“默认”键值,在弹出的数值设置窗口中将“默认”键值数值修改为“none”。
然后展开“HKEY_CURRENT_USER”注册表分支,然后在该分支下面依次选择“Software\Microsoft\Windows\CurrentVersion\Explorer”项目,在“Explorer”项目的右侧列表区域,检查一下是否存在“ountPoints2”键值,若存在,我们必须及时将它删除掉,最后按F5功能键刷新系统注册表的设置。这样病毒就被我们手工清除掉了,现在打开各个磁盘分区,你会发现已经可以正常打开了。
病毒也怕“软”
上面介绍了手工清除病毒的方法,如果不想使用上面介绍的烦琐方法,或者用上面的方法无法删除“Autorun.inf”文件,重装系统后也不奏效时,我们可以借助杀毒软件来对付病毒。
这款软件名为“费尔木马强力清除助手”,可以让系统摆脱病毒困扰,并可有效抑制该类病毒的继续发作。网上提供下载的地址很多,下载软件并安装好以后,运行该程序,在主界面中选中“抑制文件再次生成”项目,同时在“文件名”文本框中输入“Autorun.inf”文件的具体路径信息,比如“H:\Autorun.inf”,如图3所示,单击“清除”按钮,这样H分区下面的“Autorun.inf”文件就被清除干净了,按照相同的方法,再将其他分区中的“Autorun.inf”文件删除干净。
一个绝招让病毒无法再次侵袭
通过上面介绍的方法,我们可以彻底清除病毒,但是即便这样,我们也不可能时刻防范系统遭受到病毒的侵袭,有没有办法让系统彻底摆脱这类病毒呢?方法当然是有的。预防这类移动存储类病毒再次袭击的方法非常简单,只需要在移动磁盘的根目录下自己手工创建一个“Autorun.inf”文件即可,因为在相同的目录下是不允许创建同名文件或同名文件夹的,这样的话,病毒日后就无法向可移动磁盘的根目录下面自动生成“Autorun.inf”病毒文件了,也就无法通过移动存储类设备(移动硬盘、U盘、MP3、MP4等)进行非法传播了。
其实,上面介绍的这些方法只是针对比较流行的移动存储类病毒的处理方法,更多的时候,要彻底防范病毒,还是要养成良好的习惯,在计算机接入移动设备时,养成及时查杀病毒的好习惯,尤其是公司中存有重要数据的计算机来说更要如此,事前预防比事后处理更重要。
(DVOL本文转自:中国DV传媒 http://www.dvol.cn)