U盘病毒防范五篇

U盘病毒防范 篇1

随着计算机技术的发展, 计算机病毒的传播途径也在不断托宽, 而已经广泛使用的U盘也就很自然的成为病毒传播的媒介。时下, 很多用户都应该受到过U盘病毒的困扰, 例如你双击无法打开盘符, 又或者提示错误, 更有甚者把链接接到其他地方。本文通过剖析U盘病毒的特征, 总结解决U盘病毒方法和经验。

1、U盘病毒的简介

u盘病毒是一种用U盘作为传播媒介的一类病毒, 此类病毒多是在U盘根目录下建立一个AUTORUN.INF文件作为启动病毒的一个途径, 当双击驱动器后, 系统就会自动加载AU-TORUN.INF指向的文件 (病毒) .

Windows95以后的系统都有一个"自动运行"的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改, 并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后, 随着各种可移动存储设备的普及, 国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。

病毒作者可以利用autorun.inf的自动功能, 让移动设备在用户系统完全不知情的情况下, "自动"执行任何命令或应用程序。因此, 通过这个autorun.inf文件, 可以放置正常的启动程序, 如我们经常使用的各种教学光盘, 一插入电脑就自动安装或自动演示;也可以通过此种方式, 放置任何可能的恶意内容。"Rav Mon E.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"……根目录下的神秘幽灵, 系统安全的杀手, 它们都是常见的U盘病毒。

2、U盘病毒的防范1

一、预防措施:

1.禁用自动播放功能2。在"开始"菜单的"运行"中输入Regedit, 打开注册表编辑器, 展开到

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExploer主键下, 双击"No Drive Type Auto Run", 将键值"95"改为"ff"就行了。

2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞, 防止病毒通过系统漏洞入侵。

3.及时升级杀毒软件。

二、免疫的办法 (对可移动磁盘和硬盘)

(1) 目录在Windows下是一种特殊的文件, 而两个同一目录下的文件不能同名。于是, 新建一个目录"autorun.inf"在可移动磁盘的根目录, 可以防止早期未考虑这种情况存在的病毒创建autorun.inf, 减少传播成功的概率。

(2) Autorun.inf下的非法文件名目录

有些病毒加入了容错处理代码, 在生成autorun.inf之前先试图删除autorun.inf目录。因此, 在"autorun.inf"目录建一个此类特殊目录, 方法如"MD x:autorun.infyksoft..", 可以防止autorun.inf目录轻易被删除。

(3) NTFS权限控制

基于更低层的文件系统权限控制的办法。将U盘、移动硬盘格式化为NTFS文件系统, 创建Autorun.inf目录, 设置该目录对任何用户都没有任何权限, 病毒不仅无法删除, 甚至无法列出该目录内容。

三、防止病毒死灰复燃的三个方法

第一招防止通过网页复燃

启动项里键值有出现.hml、.htm和.vbs后缀的, 此类启动值一般都是开机后自动访问的网站, 最好都去掉。

第二招封补隐蔽后门

在隐藏方面, 病毒还有一个很隐蔽的技术, 如果发现注册表有一个启动项, 出现有类似键值的, 比如:一个system32键值是"regedit-s c:windows", 这时候要注意, 这个regedit-s是注册表的一个后门参数, 是用来导入注册表的, 并可以在C:Windows目录产生.vbs后缀的文件来对自身在注册表中的键值进行修复, 所以一定要删除。

第三招INI也要防

另外我们也要检查在"C:Windowswin.ini"文件, 看看"load="、"run="这两个选项后面应该是空的, 如果有其他程序修改"load="、"run=", 请一定将"="后面的程序删除, 删除前看看路径和文件名, 删除后再到"System"目录下删除对应的文件。

3、U盘病毒的解决方案

一、使用杀毒软件

在网络上搜索一下我们会搜到很多U盘病毒专杀工具, 如:USBCLeaner、USBKiller和等windows清理助手。USBCLeaner、USBKiller可以检测和清除大部分, 但清除的不够彻底, 很多时候u盘病毒会死灰复燃。而windows清理助手在u盘病毒的清理方面做的比较好, 它可以不但可以根除u盘病毒, 还可以恢复被禁用的杀毒软件, 值得推介。

二、使用批处理文件3

下面介绍一个可以清除u盘病毒的批处理文件:

三、手动清除4

手动删除"Autorun.inf"文件, 可以按照如下方法来操作:

首先显示系统的隐藏文件和受保护的操作系统文件。其次用鼠标右键单击"我的电脑"窗口中的某个磁盘分区图标, 从弹出的快捷菜单中执行"打开"命令, 进入到该分区的根目录窗口, 在其中我们就能看到"Autorun.inf"病毒文件的"身影"了;再用鼠标右键单击"Autorun.inf"文件, 并执行右键菜单中的"打开"命令将"Autorun.inf"文件打开, 随后我们就会看到里面的"open=*.exe"内容, 其实"*.exe"就是具体的病毒名称。倘若这类病毒没有进程保护时, 我们只需要将"*.exe"文件以及各个"Autorun.inf"文件直接删除掉, 就能将闪盘病毒从系统中清除掉了。

为了防止病毒再次运行发作, 我们还需要将遭受病毒破坏的磁盘关联修改过来。在修改磁盘关联时, 必须先依次单击"开始"-"运行"命令, 打开运行对话框中输入"regedit", 打开本地注册表编辑窗口, 在该编辑窗口的左侧找到并展开"HKEY_CLASSES_ROOT"注册表分支, 然后在该分支下面依次选择"Driveshell"项目, 在对应"shell"项目的右侧列表区域, 用鼠标双击"默认"键值, 在其后弹出的数值设置窗口中将"默认"键值数值修改为"none";

接下来展开"HKEY_CURRENT_USER"注册表分支, 然后在该分支下面依次选择"SoftwareMicrosoftWindowsCurrent VersionExplorer"项目, 在对应"Explorer"项目的右侧列表区域, 检查一下是否存在一个名为"ount Points2"键值, 一旦发现该键值的话, 我们必须及时将它删除掉, 最后刷新系统注册表的设置。这样U盘病毒就可以被清除了。

但现在的病毒多数会有保护机制, 假如我们尝试使用上面的方法无法删除"Autorun.inf"文件, 我们可以重装系统后, 进入安全模式, 使用winrar打开所有磁盘的根目录 (注意:不要双击打开磁盘) , 删除"Autorun.inf"和相关的不明文件 (如:*.exe, *.vbs等) , 然后重新启动系统就行了。

4、总结

u盘病毒在不断的发展, 我们需要不断寻找新的方法来防治u盘病毒。这就需要病毒方面的专家挖掘防治u盘病毒的新途径, 同时也希望长期与病毒斗争的实践者不断共享防治u病毒的方法。

参考文献

[1].http://netsecurity.51cto.com/art/200709/56714.htm

[2].黄鹏飞, 防杀U盘病毒, 电脑应用文萃, 2005年6期, 84～84[3]http://netsecurity.51cto.com/art/200709/56696.htm

U盘病毒防范 篇2

U盘；U盘病毒；症状；解决方案

随着U盘的广泛使用，U盘感染病毒的现象也相应增多。目前更出现专门利用U盘传播的病毒。如果出现双击U盘无响应或显示U盘内容为0字节等现象，那么你的U盘中毒了。

1.U盘病毒的危害

U盘病毒作为一种传染性病毒，其危害如下：

导致U盘无法正常使用；破坏软件系统，影响工作；删除文件，篡改数据；远程控制，窃取资料。

2.U盘病毒的特点、目的及症状

U盘病毒的概念是：只要是通过感染U盘而在电脑间传播的病毒都被称为U盘病毒。U盘病毒的特点在于利用了Windows操作系统自动播放的特性，让用户在毫无察觉的情况下中毒。U盘病毒的目的是窃取染毒电脑里用户的个人信息及各种密码，破坏染毒电脑里的文件和操作系统，致使系统运行缓慢，频繁死机。

U盘被病毒感染后，会出现一些症状，如：U盘无法显示文件；U盘的文件损坏；U盘无法格式化；U盘文件被隐藏等。

3.U盘病毒的原理

U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放功能是Windows系统为客户提供方便的一种特性，当这种功能启用时，U盘或光盘插入到计算机上时无须用户干预，就会自动运行介质中的指定程序，从而实现软件自动安装、媒体自动演示等功能。这一功能是通过U盘或光盘中的系统隐藏文件Autorun.inf来实现的，它是一个存放在驱动器根目录下的一个纯文本脚本文件，保存着一些简单的命令，指定系统自动运行的程序名称和路径。Autorun.inf本身是一个安装信息文件，而不是病毒，但病毒程序通过它就可以实现U盘或者可移动设备的自动运行。当用户双击U盘盘符时，便自动调用该文件，在用户完全不知情的情况下，“自动”运行该文件指定的U盘中的病毒程序，向各硬盘分区的根目录拷贝病毒体和Autorun.inf。

4.U盘病毒的解决方法

在电脑上无法显示U盘信息时，可以根据不同的情况，使用不同方法应对。

病毒修改文件显示属性的解决方法。在插入U盘前，先确认一下要操作的计算机是不是也中毒了。如果已经中毒，就不要插入U盘，以免U盘被感染。

首先在桌面上建立一个RAR的压缩包文件，然后打开压缩包文件，再选择"添加"，可以找到U盘，打开U盘后会看到里面的文件包括系统隐藏的文件，然后再打开里面的文件，这种方式打开U盘可以保证本台计算机安全。正常的双击打开U盘可能不会使电脑中毒，但仍无法查阅U盘中被隐藏的文件。

然后，用DOS命令来恢复文件的显示模式。在"开始"----"运行"----输入cmd回车，进入DOS界面。在DOS提示符后输入U盘的盘符，然后回车。如果U盘插入后默认为F盘，就输入了F，回车进入F盘。然后输入命令恢复显示文件attrib/d/s-s-h-a-r。attrib是调整文件的属性，/s/d表示所有文件，s表示System系统属性，h表示隐藏属性，a表示存档文件属性，r表示只读文件属性。此举可恢复文件的显示属性，使文件“可见”。

U盘病毒AutoRun.inf的解决方法。U盘感染AutoRun.inf病毒后，会调用Windows的自动播放功能，自动运行病毒。解决方法：直接删除盘符里的AutoRun.inf文件和sxs.exe文件。由于这两个文件是隐藏的，在Windows下是看不见的（即使显示所有文件也看不见）。因此，这里介绍几种解决方法。

方法一是组策略关闭AutoRun功能。

如果想一次全部禁用Windows XP的自动播放功能，可以按下述步骤操作：

①单击“开始→运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口；

②在左窗格的“本地计算机策略”下，展开“计算机配置→管理模板→系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”；

③单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭“组策略”窗口。

方法二是修改注册表，在注册表中关闭AutoRun功能。具体操作如下：

①在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Exploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”（就是这个键决定了是否执行）

②双击“NoDriveTypeAutoRun”，在默认状态下没有禁止AutoRun功能，在弹出窗口中可以看到“NoDriveTypAutoRun”默认键值为95，00，00，00。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用不同的数值表示。

方法三是修改权限法，具体操作如下：

①点开始->运行输入regedit.exe回车；

②[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼MountPoints2]；

③右键点MountPoints2选择权限；

④依次点击“安全中的用户和组”，在下面的权限中都改成拒绝；

⑤刷新一遍，此后即使U盘有病毒也不会激活，可正常进入U盘。

方法四是隐藏驱动器法，具体操作如下：打开注册表编辑器，进入HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer，新建二进制值“NoDrives”，缺省值是00000000，表示不隐藏任何驱动器。键值由4个字节组成，每个字节的每一位（bit）对应从A到Z的一个盘，当相应位为1时，“我的电脑”中的相应驱动器就被隐藏了。第一个字节代表从A到H的八个盘，即01为A、02为B、04为C……依此类推，第二个字节代表I到P；第三个字节代表Q到X；第四个字节代表Y和Z。U盘的盘符是接着现有盘符往下推。如果硬盘已经分区为C、D、E、F，那么U盘采用G：作为盘符，再插入一个U盘就用H：。此时只需将G：和H：隐藏，则插入U盘也不会在“我的电脑”里显示。当然，用注册表编辑器修改注册表的方法操作起来较为复杂，现在有很多专门修改注册表的软件，如WINDOWS优化大师中展开“系统性能优化/系统安全优化/更多设置/选择要隐藏的驱动器”，将要隐藏的盘符前的"□"里打"√"，确定即可。

方法五是禁止创建AutoRun.inf，具体操作如下：在根目录下建立一个文件夹，名字就叫AutoRun.inf。由于Windows规定在同一目录中，同名的文件和文件夹不能共存，这样病毒就无法创建AutoRun.inf文件，即使您双击盘符也不会运行病毒。

[1]张 伟.新型U盘病毒的防止办法[J].电脑知识与技术，2008.29

[2]范志力，孙静丽，包春芳等.U盘病毒及其应对策略[J].赤峰学院学报（自然科学版），2008.24

一个U盘病毒简单分析病毒防范 篇3

U盘病毒对于局域网环境的企业来说也是一个很头疼的事情，由于员工随意插拔使用U盘，经常导致U盘病毒在企业局域网环境下肆意泛滥，给企业网管员带来了不小的麻烦。今天我们分析的这个U盘病毒，会将U盘上的数据隐藏，并会在U盘上生成一个恶意的快捷方式，只要我们打开这个快捷方式，就会触发病毒执行。

病毒样本介绍

先来看一下该病毒样本的相关信息：

File：~%PHENOVECNYE.ini

Size：23M

MD5：69425684F5C155AAD52D0A6C8E41E2FA

瑞星V16+：Worm.Win32.Agent.aym

此病毒样本截图如图1所示，瑞星v16+查杀该样本截图如图2所示。

图1：病毒样本

图2：瑞星V16+对病毒样本查杀截图

病毒样本只是一个lnk快捷方式，并不是~%PHENOVECNYE.ini，我们取消系统的隐藏显示再来看一下。点击工具菜单-文件夹选项，如图3所示，取消隐藏受保护的操作系统文件(推荐)勾选，及隐藏文件和文件夹下面选择显示所有文件和文件夹。

图3：取消系统的隐藏文件

取消系统隐藏文件后，再来看一下病毒样本，文件夹下多了很多文件，如图4所示。

图4：取消系统隐藏文件后，显示出病毒样本~%PHENOVECNYE.ini

我们先来简单分析一下lnk文件，右键点击lnk选择属性，如图5所示。

图5：查看lnk快捷方式文件的属性

我们看到这个lnk快捷方式的目标类型是应用程序，目标是%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini,lnk。如图6所示，这个快捷方式原来是调用系统的rundll32.exe来运行~%PHENOVECNYE.ini。大家可能有点奇怪，~%PHENOVECNYE.ini只是一个ini文件，为什么这个快捷方式要通过rundll32.exe来运行它呢?接下来我们再来分析一下~%PHENOVECNYE.ini文件，看它到底是什么文件类型。

图6：查看lnk快捷方式的属性，其目标为%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini

我们使用winhex工具打开~%PHENOVECNYE.ini文件，在winhex的字符串显示区域，我们看到了MZ头，标准的pe文件头，如图7所示。

图7：winhex显示~%PHENOVECNYE.ini文件实际上是一个可执行程序

Winhex只是能说明~%PHENOVECNYE.ini文件是一个可执行程序，但具体这个文件是dll或exe，还是驱动?我们使用IDA工具查看一下文件的输出点，如图8所示，IDA显示~%PHENOVECNYE.ini的Exports为DLLEntryPoint，原来这个~%PHENOVECNYE.ini是一个dll文件。我们知道要执行一个dll文件，需要使用系统的rundll32应用程序，有时当然还需要加上dll运行参数，这样才能将dll跑起来。所以有时候我们不能只通过查看文件的扩展名来识别文件类型，有些病毒文件会伪装成正常的系统文件名来迷惑大家。怎么来分辨呢?简单的就是用记事本直接打开文件，查看一下文件头，就大概知道这个文件到底是什么文件类型。

图8：IDA查看~%PHENOVECNYE.ini的Exports为DLLEntryPoint

病毒行为分析

在这次病毒行为分析中，我们使用SFF这款工具。当然，在开始运行病毒前，开启SSF的监控，直接双击lnk快捷方式，过一会儿，SSF监控到如下的病毒行为，如图9所示，rundll32.exe执行C:ATICatalyst.exe。

图9：rundll32.exe执行C:ATICatalyst.exe

点允许后，SSF又监控到是否允许Catalyst.exe创建一个傀儡进程Catalyst.exe，如图10所示。

图10：是否允许创建傀儡进程Catalyst.exe

从图10来看，两个Catalyst.exe的pid是不同的，实际就是Catalyst.exe同时创建了一个傀儡进程，而这个傀儡进程就是它自己。这里继续点允许，SSF监控到C:ATICatalyst.exe要运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图11所示。

图11：是否允许Catalyst.exe运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com

小结一下：~%PHENOVECNYE.ini跑起来后，首先在C盘下创建ATI文件夹，同时写入病毒文件Catalyst.exe，Catalyst.exe同时会创建一个它本身的傀儡进程，同时还会在系统临时目录下释放一个随机文件名的com病毒程序，之后交由Catalyst.exe来运行com病毒程序，如图12所示。

图12：SSF拦截到的Catalyst.exe运行临时目录下的com病毒程序行为

允许seynhbuoetjzoetnzoepfqgvpfqkeyne.com运行后，SSF也监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com同时也要创建一个自身的傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图13所示。

图13：seynhbuoetjzoetnzoepfqgvpfqkeyne.com创建自己为傀儡进程

在允许创建傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com后，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统程序wupdmgr.exe，如图14所示。

图14：seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统wupdmgr.exe

wupdmgr.exe是windows update manger的缩写，是自动升级的程序。我们接下来看一下，病毒程序seynhbuoetjzoetnzoepfqgvpfqkeyne.com要调用系统wupdmgr.exe程序干什么坏事。继续允许它运行wupdmgr.exe，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要修改wupdmgr.exe内存数据，如图15所示。

图15：修改wupdmgr.exe内存数据、注入

在我们允许之后，SSF又监控到同样的病毒行为提示，如图16所示。

图16：两次是否允许修改wupdmgr.exe内存数据

在允许修改wupdmgr.exe内存数据后，SSF监控到wupdmgr.exe在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun下，写入名称为47801的启动项，如图17所示。

图17：wupdmgr.exe创建启动项47801

到这里我们先来印证一下SSF监控到这些病毒行为，如图18所示，病毒样本的确是在C盘根目录下创建ATI文件夹并写入病毒文件Catalyst.exe。

图18：病毒样本运行后写入的病毒文件Catalyst.exe

图19所示的是病毒样本~%PHENOVECNYE.ini在系统临时目录下写入的病毒文件seynhbuoetjzoetnzoepfqgvpfqkeyne.com。

图19：系统临时目录下的病毒样本seynhbuoetjzoetnzoepfqgvpfqkeyne.com

再使用xuetr工具查看一下系统当前进程及启动项，如图20所示，在进程列表里我们看到wupdmgr.exe，其父pid为1480，也就是seynhbuoetjzoetnzoepfqgvpfqkeyne.com，seynhbuoetjzoetnzoepfqgvpfqkeyne.com修改wupdmgr.exe内存数据并将其启动起来，为病毒下一步干坏事做好准备。

图20：xuetr进程列表显示wupdmgr.exe已经运行起来

再来看启动项，wupdmgr.exe写入启动项名称为47801，其执行路径为：C:Documents and SettingsAdministratorLocal SettingsTempccwaaiehv.bat，如图21所示。

图21：wupdmgr.exe写入的启动项

右键点击启动项点定位到启动文件，如图22所示，我们来看一下这个bat到底是什么文件。

图22：定位启动文件

图23所示的启动项文件是一个被设置为隐藏的ccwaaiehv.bat。

图23：定位到的病毒文件ccwaaiehv.bat

使用记事本打开这个ccwaaiehv.bat文件，看一下批处理的内容是什么，发现ccwaaiehv.bat其实也是一个pe文件，如图24所示。

图24：ccwaaiehv.bat文件头为MZ标准的pe格式文件

我们提取ccwaaiehv.bat和Catalyst.exe这两文件，使用瑞星V16+查杀一下这两个样本，如图25所示，瑞星V16+对这两个文件报毒，

图25：V16+查杀这两个病毒样本

实际上，在wupdmgr.exe被修改内存数据，并写入启动项47801后，这个病毒整个已经跑起来了。接下来我们就要进一步触发一下这个病毒，看一下这个病毒后续的行为。怎么触发呢?从这个病毒lnk快捷方式的名称为我的移动(4G)及图4来看，我们猜测这个病毒样本可能针对的是移动存储设备U盘来做文章，既然猜测是这样，我们就给染毒环境插入一个正常U盘，如图26所示，是一个实机正常插入的可移动磁盘。

图26：正常的U盘

我们把这个U盘切换到染毒环境的虚拟机，在切换到染毒环境之前我们将processmonitor这个工具的捕捉功能开启，让processmonitor捕捉一下U盘在切换到染毒环境后的一些病毒行为。如图27所示，完好的U盘在切换到染毒环境下，U盘上的数据都看不到了，只剩下一个HB1_CCPA_X6(8GB)的快捷方式。

图27：U盘上的数据只剩下一个2kb的快捷方式

我们来看一下processmonitor工具都捕捉到了哪些病毒行为，病毒是如何将U盘数据隐藏的。由于Processmonitor捕捉到内容较多，如图28所示，我们直接查找wupdmgr.exe，Processmonitor显示进程wupdmgr.exe的pid为，这样我们就可以设置过滤规则，直接查看进程wupdmgr.exe的行为。

图28：Processmonitor显示的wupdmgr.exe的pid为2000

接下来设置规则分别为pid为2000、操作为写入、操作为设置注册表值这三项，如何设置过滤规则就不详细讲解了，看过我们之前的文章，相信大家应该掌握了。如图29所示，我们添加三条过滤规则。

图29：设置过滤规则

设置好规则后，我们看到在插入U盘(盘符为E:)，wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db，如图30所示。

图30：wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db

同时还修改系统注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced的ShowSuperHidden和Hidden的值，如图31所示，图32、33所示的是修改的具体键值数据。

图31：wupdmgr.exe修改注册表值

图32：修改ShowSuperHidden值为0，勾选隐藏受保护的操作系统文件(推荐)

图33：修改Hidden值为2，勾选不显示隐藏的文件和文件夹

这样修改后，我们就无法查看系统隐藏的文件，其目的就是隐藏U盘上的数据，使我们无法查看到，因为病毒将U盘的文件都设置了隐藏属性，同时wupdmgr.exe向U盘写入病毒文件~%YZUAWLLH.ini，如图34所示。

图34：wupdmgr.exe写入病毒文件~%YZUAWLLH.ini

写入的病毒文件和我们之前运行的~%PHENOVECNYE.ini文件名不同，但其实都是同一个病毒程序。Processmonitor工具同时还捕捉到了wupdmgr.exe向U盘写入lnk快捷方式，如图35所示。

图35：wupdmgr.exe写入的以U盘名及大小为文件名的lnk快捷方式

右键查看U盘上lnk快捷方式的属性，发现同样也是通过系统的rundll32来运行的~%YZUAWLLH.ini，手法和我们的本例讲解的病毒样本一致，如图36所示。

图36：U盘上lnk快捷方式属性

病毒处理

以上是病毒样本的行为分析，接下来我们讲一下如何手动处理这个病毒。使用xuetr工具来处理，如图37所示，使用xuetr先结束进程wupdmgr.exe，之后再删除病毒样本写入的启动项及文件，如图38所示。

图37：结束wupdmgr.exe进程

图38：删除病毒写入的启动项47801及对应文件

之后还要删除在C盘根目录下创建的ATI文件夹，如图39所示。

图39：删除病毒写入的ATI文件夹

接下来恢复病毒样本修改的注册表项，如图40所示，使用xuetr注册表定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced，将ShowSuperHidden的值修改为正常1，如图41所示。

图40：恢复病毒修改的ShowSuperHidden的注册表值

图41：修改ShowSuperHidden正常键值为1

如图42及图43所示，使用xuetr工具恢复病毒修改的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden注册表值。

图42：恢复病毒修改的Hidden的注册表值

图43：修改Hidden正常的键值为1

注册表项修改为正常值后，我们就可以看到U盘上隐藏的病毒文件及一个U盘图标似的文件，如图44所示。

图44：U盘上写入的病毒文件及被隐藏的U盘数据

我们打开那个类似U盘图标的文件夹，如图45所示，所有的U盘数据都在这里。

图45：类似U盘图标下的所有U盘数据

接下来将U盘上病毒写入的病毒文件删除，右键选中U盘上病毒写入的文件点删除即可，如图46所示。

图46：删除U盘上病毒文件

删除之后就剩下了那个类似U盘图标的文件夹，如图47所示，这里可是有我们U盘上的数据，不能删除。如何恢复正常的U盘呢?重新插拔一下U盘即可，如图48所示。至此，我们手动完成了处理这个病毒。

图47：剩余的类似U盘图标的文件夹

图48：重新插拔U盘后，U盘恢复正常

瑞星V16+对病毒预防的方法

来讲解一下如何使用瑞星V16+来防范这类病毒。通过前面对病毒行为的分析，病毒修改了系统wupdmgr.exe内存数据并创建一个自身的傀儡进程wupdmgr.exe。那么我们就使用瑞星V16+的系统加固自定义规则，添加一条文件访问规则，监控任何程序访问或修改c:windowssystem32wupdmgr.exe时都给予提示，如图49所示。

图49：瑞星v16+添加文件访问规则，监控c:windowssystem32wupdmgr.exe

还需要将系统加固的默认优化选项默认放过包含厂商数字签名的程序文件及默认放过瑞星云安全鉴定安全的程序文件勾选取消，如图50所示。

图50：取消系统加固默认优化选项

再跑一下这个病毒样本，跑样本前关闭瑞星文件监控，过一会瑞星V16+系统加固拦截到有可疑程序试图打开c:windowssystem32wupdmgr.exe，如图51所示。

图51：系统加固拦截到可疑程序打开c:windowssystem32wupdmgr.exe

从图51来看，重新运行了病毒样本，该病毒样本在系统临时目录下，创建32位随机命名的com病毒文件。来看一下是否在C盘创建了ATI文件夹并写入了病毒文件Catalyst.exe，如图52所示，果然在C:ATI写入了病毒文件Catalyst.exe，说明病毒已经跑起来了。

图52：再次运行病毒样本，在C:ATI写入病毒文件Catalyst.exe

图52-1所示的是病毒文件Catalyst.exe在系统临时目录下创建32位随机命名的com文件。

图52-1：写入系统临时文件夹的32位随机com病毒文件

图52和图52-1都充分说明病毒已经跑起来了，在瑞星V16+系统加固拦截到病毒样本试图打开c:windowssystem32wupdmgr.exe，注意系统加固默认是阻止，在我们不选择处理方式后，系统加固自动拦截该行为。使用xuetr工具查看当前系统进程里，没有wupdmgr.exe，如图53所示。

图53：当前进程列表没有wupdmgr.exe

继续查看启动项，发现HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun也没有被写入可疑启动项，如图54所示。

图54：xuetr显示无可疑启动项

插入U盘到染毒环境再测试一下，看看U盘的数据是否还会被隐藏并变成一个快捷方式。如图55所示，插入U盘后一切正常，说明设置的规则能成功拦截该样本。

图55：插入U盘到染毒环境，U盘一切正常

剩下的就好办了，手动删除掉病毒创建的两个无用的病毒样本即可，如图56所示。

图56：回收站里被删除的两个无用的病毒样本

如何清除自动运行的U盘病毒 篇4

该病毒的具体表现为是：当你双击硬盘的盘符时，系统会调用Iexplores.exe文件自动播放硬盘的内容，作为传播病毒的一种方式。另外病毒可以通过移动存储介质进行传播(U盘、移动硬盘)。

虽然大多的杀毒软件可以对其进行查杀！但是感染症状依然存在。当杀毒软件进行杀毒之后，双击同样无法打开盘符，必须点击右键才能浏览硬盘。像这样如何来解决呢？

首先、右键打开其中一受感染的盘符，在工具栏---文件夹选项--查看下选显示所有文件和文件夹，同时去除隐藏受保护的系统文件前的勾，你会发现在你的盘符下多了一个autorun.inf 的文件，打开我们可以看到如下的内容：

[AUTORUN]

pen=Iexplorers.exe

这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件，即使病毒被杀死，但是注册表的信息依然存在，这就是无法打开盘符的原因，

其次、我们来删除病毒在注册表中的残留信息：开始---运行中输入regedit 打开注册表编辑程序，ctrl+f 打开查找命令，输入Iexplorers.exe，点查找，接下来会在注册表中找到此键值。

一般在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints下

最后、如果是你的移动硬盘的盘符f盘打不开，那么你将会在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPointsFshellcommand下发现此键值，把shell子键删除即可，F3查找下一个，重复操作，直到所有的都清除。

U盘病毒防范 篇5

1.首先，我们需要返回到win8电脑的传统桌面位置，之后，我们同时按下键盘上的win+r快捷键打开电脑的运行窗口，之后，我们在打开的窗口中输入regedit并单击回车，这样就可以打开win8电脑的注册表编辑器窗口了，

2.之后，我们在打开的注册表编辑器窗口的左侧菜单中依次点击展开 HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Explorer→MountPoints2， 我们右键点击MountPoints2选项，然后选择下滑菜单中的权限， 3.之后就会弹出如下图中所示的窗口了，我们分别点击每一个账户并且选中下方“完全控制”的“拒绝”复选框后在每一次弹出的“安全”提示框下点击“是(Y)”按钮即可。