隨著U盤(pán)，移動(dòng)硬盤(pán)，存儲(chǔ)卡等移動(dòng)存儲(chǔ)設(shè)備的普及，U盤(pán)病毒也隨之泛濫起來(lái)。U盤(pán)病毒顧名思義就是通過(guò)U盤(pán)傳播的病毒。自從發(fā)現(xiàn)U盤(pán)的autorun.inf漏洞之后，U盤(pán)病毒的數(shù)量與日俱增。

　　1.優(yōu)盤(pán)病毒危害

　　早期的優(yōu)盤(pán)病毒僅僅是惡作劇，被感染計(jì)算機(jī)往往出現(xiàn)打不開(kāi)文件，或者顯示一些具有搞笑性質(zhì)的東西。隨著優(yōu)盤(pán)容量的不斷擴(kuò)大和廣泛使用，優(yōu)盤(pán)成為傳輸文件等數(shù)據(jù)資料的主要存儲(chǔ)介質(zhì)之一，日常使用和交換的文件，包括涉密文件均是通過(guò)優(yōu)盤(pán)來(lái)進(jìn)行傳輸，雖然市面上推出了一些保密優(yōu)盤(pán)，但是這些保密優(yōu)盤(pán)其主要功能是防止優(yōu)盤(pán)丟失后，拾者隨意瀏覽文件，并不能防止優(yōu)盤(pán)病毒的傳播，優(yōu)盤(pán)病毒在使用者瀏覽優(yōu)盤(pán)時(shí)就進(jìn)行了感染。優(yōu)盤(pán)病毒具有交叉感染的特點(diǎn)，即感染了優(yōu)盤(pán)病毒的計(jì)算機(jī)，在插入一個(gè)未感染的優(yōu)盤(pán)到感染計(jì)算機(jī)中時(shí)，病毒會(huì)自動(dòng)感染優(yōu)盤(pán)，當(dāng)將已經(jīng)感染優(yōu)盤(pán)病毒的優(yōu)盤(pán)插入未感染計(jì)算機(jī)中時(shí)，未感染病毒的計(jì)算機(jī)將感染優(yōu)盤(pán)病毒。在對(duì)優(yōu)盤(pán)病毒分析研究中我們發(fā)現(xiàn)，優(yōu)盤(pán)病毒具有輪渡技術(shù)，即將系統(tǒng)中的某些指定關(guān)鍵字的文件復(fù)制到優(yōu)盤(pán)中，當(dāng)優(yōu)盤(pán)插入到具有上網(wǎng)條件的計(jì)算機(jī)中使用時(shí)，優(yōu)盤(pán)病毒會(huì)將已經(jīng)復(fù)制的文件傳送到指定的郵箱或者木馬病毒控制端。

　　優(yōu)盤(pán)病毒作為一種傳染性病毒，其危害如下：

　　(1)破壞軟件系統(tǒng)，影響工作。對(duì)于一般性優(yōu)盤(pán)病毒將會(huì)破壞系統(tǒng)文件的完整性，導(dǎo)致系統(tǒng)不能正常打開(kāi)文件，其危害程度較輕。

　　(2)刪除或者更改文件。這種優(yōu)盤(pán)病毒往往帶有惡作劇，例如將系統(tǒng)中所有的word等文件全部刪除，或者將Word文件的默認(rèn)后綴更改為其它名稱導(dǎo)致文件打不開(kāi)，其危害程度中等。

　　(3)盜取系統(tǒng)中各種密碼帳號(hào)，實(shí)施遠(yuǎn)程控制。目前很多個(gè)人計(jì)算機(jī)大多具備上網(wǎng)條件，一旦連接上網(wǎng)絡(luò)，病毒就會(huì)主動(dòng)連接控制端，將系統(tǒng)中的密碼和帳號(hào)發(fā)到指定郵箱，并實(shí)施遠(yuǎn)程控制將其作為僵尸網(wǎng)絡(luò)的木馬端。

　　(4)平時(shí)竊取資料，戰(zhàn)時(shí)破壞系統(tǒng)。優(yōu)盤(pán)病毒平時(shí)蟄伏在計(jì)算機(jī)中，當(dāng)具備互聯(lián)網(wǎng)條件時(shí)將平時(shí)復(fù)制的資料通過(guò)網(wǎng)絡(luò)傳輸?shù)街付ㄠ]箱，當(dāng)發(fā)生戰(zhàn)爭(zhēng)時(shí)可以破壞和癱瘓計(jì)算機(jī)系統(tǒng)或者計(jì)算機(jī)網(wǎng)絡(luò)，其危害程度最大。

　　2.優(yōu)盤(pán)病毒危害機(jī)理

　　2.1病毒的傳播原理

　　優(yōu)盤(pán)病毒主要通過(guò)優(yōu)盤(pán)與計(jì)算機(jī)的交互來(lái)進(jìn)行傳播。近年來(lái)，在“黑色”產(chǎn)業(yè)鏈利益驅(qū)動(dòng)下，利用優(yōu)盤(pán)病毒傳播已經(jīng)成為病毒的一大必備功能;病毒感染主要通過(guò)存在安全漏洞的網(wǎng)站“掛馬”來(lái)實(shí)現(xiàn)，網(wǎng)站“掛馬”主要利用的是IE等安全漏洞，當(dāng)用戶沒(méi)有安裝補(bǔ)丁程序而訪問(wèn)被“掛馬”的網(wǎng)站中的網(wǎng)頁(yè)時(shí)，系統(tǒng)就會(huì)“偷偷”地執(zhí)行網(wǎng)頁(yè)中指定的程序，從而達(dá)到控制等目的。此外還有一種就是通過(guò)發(fā)送垃圾郵件、捆綁木馬軟件到正常軟件中供并放在網(wǎng)站上供網(wǎng)絡(luò)用戶下載等方式來(lái)進(jìn)行優(yōu)盤(pán)病毒的傳播。

　　2.2優(yōu)盤(pán)病毒傳播階段

　　優(yōu)盤(pán)對(duì)病毒的傳播主要借助的就是autorun.inf文件，主要分為2個(gè)階段。

　　第一階段：感染病毒，當(dāng)用戶將一塊沒(méi)有任何病毒的優(yōu)盤(pán)插入一臺(tái)潛伏了病毒的主機(jī)上，通過(guò)一些常用的操作后，可能就會(huì)激發(fā)病毒程序。病毒首先會(huì)將自身復(fù)制到優(yōu)盤(pán)中，同時(shí)創(chuàng)建一個(gè)名為autorun.inf的文件。此時(shí)，這塊優(yōu)盤(pán)就被病毒感染了。

　　第二階段：傳播病毒，當(dāng)這塊優(yōu)盤(pán)插入到一臺(tái)沒(méi)有任何病毒的電腦上后，使用者雙擊打開(kāi)優(yōu)盤(pán)文件瀏覽時(shí)，Windows默認(rèn)會(huì)以autorun.inf文件中的設(shè)置去運(yùn)行優(yōu)盤(pán)中的病毒程序，此時(shí)Windows操作系統(tǒng)就被感染了。

　　2.3 autorun.ini文件運(yùn)行機(jī)理

　　autorun.inf是設(shè)備自動(dòng)運(yùn)行的設(shè)置文件，比如當(dāng)插入某些驅(qū)動(dòng)光盤(pán)后，Windows就會(huì)自動(dòng)運(yùn)行驅(qū)動(dòng)安裝程序，這就是靠autorun.inf文件里面設(shè)置。其中的filename就是木馬程序。其文件格式有以下幾種：

　　(1)自動(dòng)運(yùn)行的程序

　　Open=filename.exe

　　(2)修改上下文菜單，把默認(rèn)項(xiàng)改為病毒的啟動(dòng)項(xiàng)

　　ShellAutocommand=filename.exeShell=Auto

　　(3)只要調(diào)用ShellExecuteA/W函數(shù)試圖打開(kāi)優(yōu)盤(pán)根目錄，病毒就會(huì)自動(dòng)運(yùn)行

　　Shellexecute=filename.exeShellExecute=……

　　(4)偽裝成系統(tǒng)文件，迷惑性比較大，較為常見(jiàn)的就是偽裝成垃圾回收站。

　　Shellopen=打開(kāi)(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=資源管理器(&X)

　　2.4優(yōu)盤(pán)病毒程序隱藏方式

　　(1)作為系統(tǒng)文件隱藏。一般系統(tǒng)文件是看不見(jiàn)的，所以這樣就達(dá)到了隱藏的效果。但這也是比較初級(jí)的，現(xiàn)在的病毒一般不會(huì)采用這種方式。

　　(2)偽裝成其他文件。由于一般計(jì)算機(jī)用戶不會(huì)顯示文件的后綴，或者是文件名太長(zhǎng)看不到后綴，于是有些病毒程序?qū)⒆陨韴D標(biāo)改為其他文件的圖標(biāo)，導(dǎo)致用戶誤打開(kāi)。

　　(3)藏于系統(tǒng)文件夾中。這些系統(tǒng)文件夾往往都具有迷惑性，如文件夾名是回收站的名字。

　　(4)運(yùn)用Windows的漏洞。有些病毒所藏的文件夾的名字為 runauto.。。，這個(gè)文件夾打不開(kāi)，系統(tǒng)提示不存在路徑，其實(shí)這個(gè)文件夾的真正名字是 runauto.。。。

　　3.優(yōu)盤(pán)病毒發(fā)展趨勢(shì)

　　據(jù)軟件監(jiān)測(cè)結(jié)果表明，目前至少存在288種優(yōu)盤(pán)病毒;優(yōu)盤(pán)病毒由過(guò)去功能單一，逐漸演變?yōu)楣δ鼙姸啵壹夹g(shù)水平越來(lái)越高。目前的優(yōu)盤(pán)病毒在感染計(jì)算機(jī)上還會(huì)關(guān)閉防火墻、殺毒軟件、系統(tǒng)自動(dòng)更新以及Windows安全中心，高級(jí)一點(diǎn)的會(huì)修改防火墻和病毒設(shè)置，使其安全穿透?jìng)€(gè)人防火墻，還有一些未公布的優(yōu)盤(pán)病毒，已經(jīng)做到感染PE文件，計(jì)算機(jī)一旦被感染這種病毒很難根除。目前世界上大多數(shù)病毒都具備優(yōu)盤(pán)病毒感染功能，使其成為內(nèi)網(wǎng)和外網(wǎng)溝通的橋梁，優(yōu)盤(pán)病毒已經(jīng)成為一種頑疾。由于優(yōu)盤(pán)病毒的巨大危害性，很多殺毒軟件都會(huì)查殺以Autorun.inf文件為主要特征的優(yōu)盤(pán)病毒，因此新型的優(yōu)盤(pán)病毒將向硬件以及驅(qū)動(dòng)程序發(fā)展。可以將優(yōu)盤(pán)病毒直接嵌入到一些硬件設(shè)備，例如手機(jī)、mp3等，需要激活時(shí)只需要通過(guò)網(wǎng)絡(luò)發(fā)送一個(gè)密碼指令即可。另外一種趨勢(shì)就是將優(yōu)盤(pán)病毒做成驅(qū)動(dòng)級(jí)，任何系統(tǒng)都離不開(kāi)驅(qū)動(dòng)程序，通過(guò)驅(qū)動(dòng)程序來(lái)進(jìn)行病毒的傳播和控制。

　　4.優(yōu)盤(pán)病毒防范措施

　　安全只是相對(duì)的安全，沒(méi)有絕對(duì)的安全，對(duì)于移動(dòng)存儲(chǔ)設(shè)備主要通過(guò)兩個(gè)層面來(lái)進(jìn)行防范，一個(gè)是技術(shù)層面，另外一個(gè)是非技術(shù)層面。技術(shù)層面主要從數(shù)據(jù)的完整性、準(zhǔn)確性及排他性等方面進(jìn)行考慮;非技術(shù)層面針對(duì)培訓(xùn)、思想意識(shí)以及組織管理方面進(jìn)行考慮。

　　4.1技術(shù)防范

　　(1)及時(shí)更新安全漏洞補(bǔ)丁和病毒庫(kù)

　　對(duì)于個(gè)人和公司來(lái)說(shuō)，每人都是安全專家肯定不現(xiàn)實(shí)，殺毒軟件是安全領(lǐng)域的衛(wèi)士，能夠查殺市面大多數(shù)病毒，因此及時(shí)更新安全漏洞補(bǔ)丁、應(yīng)用程序漏洞補(bǔ)丁及其病毒庫(kù)可以有效的降低安全風(fēng)險(xiǎn)。目前市面上銷售的正版殺毒軟件都帶有漏洞掃描功能，通過(guò)漏洞掃描生成的報(bào)告，可選擇自動(dòng)修復(fù)功能修復(fù)系統(tǒng)所存在的漏洞。

　　(2)禁止移動(dòng)設(shè)備自動(dòng)播放

　　很多木馬病毒都是通過(guò)自動(dòng)運(yùn)行來(lái)執(zhí)行的，因此在打開(kāi)移動(dòng)存儲(chǔ)設(shè)備時(shí)，盡量不使用自動(dòng)運(yùn)行，而通過(guò)瀏覽器或者資源管理器來(lái)打開(kāi);如果設(shè)備具有可讀寫(xiě)保護(hù)功能，則在從設(shè)備復(fù)制資料到計(jì)算機(jī)時(shí)，可使用可讀保護(hù)開(kāi)關(guān)，杜絕感染系統(tǒng)通過(guò)優(yōu)盤(pán)進(jìn)行病毒傳播。對(duì)Windows Xp操作系統(tǒng)，單擊“開(kāi)始”-“運(yùn)行”，在運(yùn)行中輸入gpedit.msc進(jìn)入組策略編輯器，依次選擇“用戶配置”-“管理模板”-“系統(tǒng)”-“關(guān)閉自動(dòng)播放”，在“關(guān)閉自動(dòng)播放”屬性窗口選擇“已啟用”，關(guān)閉自動(dòng)播放中選擇“所有驅(qū)動(dòng)器”，單擊“應(yīng)用”按鈕禁用系統(tǒng)中所有驅(qū)動(dòng)器的自動(dòng)播放功能。

　　(3)實(shí)時(shí)監(jiān)控，殺毒先行

　　對(duì)殺毒軟件和個(gè)人防火墻要實(shí)時(shí)監(jiān)控，確保殺毒軟件及其個(gè)人防火墻都在正常運(yùn)行。在使用移動(dòng)存儲(chǔ)設(shè)備時(shí)，首先查殺移動(dòng)存儲(chǔ)設(shè)備中的文件，在確定無(wú)病毒的情況下，再進(jìn)行其他操作。Windows操作系統(tǒng)默認(rèn)不顯示隱藏文件和系統(tǒng)保護(hù)文件，病毒往往利用這一點(diǎn)進(jìn)行病毒隱藏和傳播，因此需要通過(guò)“文件夾”-“查看”選項(xiàng)，選擇“顯示所有文件和文件夾”和去掉“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”復(fù)選框，方便查看優(yōu)盤(pán)以及系統(tǒng)其它盤(pán)中是否隱藏病毒文件。

　　(4)在所有磁盤(pán)中創(chuàng)建Autorun.inf文件夾

　　優(yōu)盤(pán)病毒一般都是利用Autorun.inf文件來(lái)進(jìn)行傳播，根據(jù)Windows操作系統(tǒng)文件以及文件夾名稱唯一性原則，系統(tǒng)僅存在唯一名稱文件，因此可以在系統(tǒng)所有磁盤(pán)中建立一個(gè)名稱為“Autorun.inf”的文件夾，使優(yōu)盤(pán)病毒不能創(chuàng)建Autorun.inf文件而達(dá)到防范優(yōu)盤(pán)病毒的目的。

　　(5)謹(jǐn)慎下載，安全運(yùn)行

　　在需要軟件時(shí)，盡量到正規(guī)大型網(wǎng)站進(jìn)行下載，下載后對(duì)軟件進(jìn)行查殺毒處理，防止軟件被捆綁木馬程序。如果需要運(yùn)行在重要計(jì)算機(jī)上面，必須進(jìn)行安全性測(cè)試，確保該軟件對(duì)系統(tǒng)不會(huì)造成危害。

　　(6)做好系統(tǒng)和數(shù)據(jù)備份

　　近年來(lái)，計(jì)算機(jī)木馬病毒往往帶有較強(qiáng)的商業(yè)利益目的，尤其是以優(yōu)盤(pán)為傳播介質(zhì)的病毒;例如最近出現(xiàn)的熊貓病毒、AV病毒，會(huì)對(duì)所有可執(zhí)行文件進(jìn)行感染，如果處理不好，將會(huì)帶來(lái)巨大的經(jīng)濟(jì)損失。因此平時(shí)對(duì)重要數(shù)據(jù)和系統(tǒng)一定要做好備份，做到隨時(shí)可以恢復(fù)系統(tǒng)，并正常運(yùn)行。

　　(7)使用一些移動(dòng)存儲(chǔ)專用管理軟件

　　根據(jù)數(shù)據(jù)資料的價(jià)值，安裝移動(dòng)存儲(chǔ)專用管理軟件來(lái)進(jìn)行優(yōu)盤(pán)資料的保護(hù)，這些軟件往往具有文件加密等功能，優(yōu)盤(pán)資料只能在指定計(jì)算機(jī)和指定網(wǎng)絡(luò)中使用，到其它計(jì)算機(jī)上無(wú)法讀取，即使讀取也是亂碼，從而保證數(shù)據(jù)的安全。

　　(8)對(duì)移動(dòng)存儲(chǔ)設(shè)備的一切權(quán)限變更和一切文件操作，全部都有日志記錄和審計(jì)。

　　(9)非法優(yōu)盤(pán)，進(jìn)不來(lái)。所有能在內(nèi)部使用的優(yōu)盤(pán)、移動(dòng)硬盤(pán)必需通過(guò)授權(quán)認(rèn)證，沒(méi)有經(jīng)過(guò)授權(quán)的優(yōu)盤(pán)和移動(dòng)硬盤(pán)無(wú)法使用。

　　(10)授權(quán)優(yōu)盤(pán)，拿不走。即使是經(jīng)過(guò)認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備，其保存的機(jī)密文件都進(jìn)行了高強(qiáng)度加密存儲(chǔ)，并完全隱藏;授權(quán)優(yōu)盤(pán)、移動(dòng)硬盤(pán)在內(nèi)部如常使用，但在外部計(jì)算機(jī)看不見(jiàn)任何信息。

　　4.2非技術(shù)防范、

　　(1)從制度上加強(qiáng)管理。對(duì)于部分有必要的計(jì)算機(jī)，才允許使用優(yōu)盤(pán)、移動(dòng)硬盤(pán);其他計(jì)算機(jī)禁止使用優(yōu)盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備，凡涉密優(yōu)盤(pán)禁止接觸上網(wǎng)計(jì)算機(jī)，凡涉密優(yōu)盤(pán)，在數(shù)據(jù)處理完畢后，要采取安全刪除文件或者低級(jí)格式優(yōu)盤(pán)等安全技術(shù)措施，嚴(yán)防從優(yōu)盤(pán)中泄漏涉密文件，從源頭上保證安全。

　　(2)專盤(pán)專用。交流使用模式優(yōu)盤(pán)僅對(duì)外使用，每次使用完畢后進(jìn)行安全處理，做到外盤(pán)專用專處理。

　　(3)加強(qiáng)優(yōu)盤(pán)安全意識(shí)培訓(xùn)，定期進(jìn)行安全檢查。安全重在安全意識(shí)和安全措施的執(zhí)行力度，定期對(duì)安全措施的落實(shí)情況進(jìn)行安全檢查，結(jié)合安全違規(guī)取證系統(tǒng)對(duì)計(jì)算機(jī)進(jìn)行涉密文件的安全檢查并進(jìn)行相應(yīng)的安全處理，降低和減少安全隱患。

　　5.結(jié)束語(yǔ)

　　優(yōu)盤(pán)病毒看似普通，如果管理監(jiān)控不好，將會(huì)給個(gè)人、企業(yè)乃至國(guó)家造成重大損失，本文通過(guò)對(duì)優(yōu)盤(pán)病毒的特點(diǎn)、傳播原理等進(jìn)行了分析，最后從技術(shù)和非技術(shù)的角度給出了優(yōu)盤(pán)病毒的防范措施，對(duì)于U盤(pán)安全管理和病毒防范有一定的借鑒和參考價(jià)值。