U盘病毒简介

由e网通 分享时间：2023-09-20 20:24:27 收藏本文

【简介】感谢网友“e网通”参与投稿，下面是小编给大家带来关于U盘病毒简介（共12篇），一起来看看吧，希望对您有所帮助。

篇1：U盘病毒简介

U盘病毒会在系统中每个磁盘目录下创建autorun.inf病毒文件(不是所有的autorun.inf都是病毒文件)，因此也被称为“Autorun病毒”，此类病毒借助“Windows自动播放”的特性，使用户双击盘符时就可立即激活指定的病毒。此外，它主要通过U盘传播自身，危害极大，不但影响用户的电脑系统，而且可能会造成大规模的病毒扩散等现象。

U盘病毒是一个统称，实际上他不仅仅可以通过U盘传播，还可以通过网络漏洞各种方式下载的用户本机并隐藏，由于用户会经常双击打开本地盘符，因此这种病毒的存活率和复发率非常的高，目前来看多流行为“下载器（Downloader）”；木马下载器，以此形式通过网络后台自动下载各类木马和病毒，对用户的电脑和虚拟财产造成极大的危害，即使是重装的情况下，也很容易再次激活其他盘符中的病毒，

360安全卫士U盘专杀工具，使用智能启发式查杀方法，对流行的U盘病毒及其衍生物具有优秀的杀灭效果，同时，使用360粉碎机的破冰技术可以有效阻止病毒再生！

篇2：如何防御U盘病毒

通过U盘传播病毒、木马的情况愈演愈烈，然而，其背后却隐藏着更为让人触目惊心的事实幕后有高人在推动着这一切，

带毒U盘作乱

近期以来，在各大安全厂商发布的病毒排行中，U盘寄生虫（Checker/Autorun）持续蝉联榜首位置，而曾经名噪一时的熊猫烧香的新变种（Worm/Viking.atk）也挤进了榜单。两种病毒都主要通过U盘、MP3、移动硬盘等移动存储设备进行传播。

每年国内U盘的出货量达到数百万，而江西省计算机用户协会最近的抽样调查显示，常用U盘有病毒的比例逼近80％。U盘等移动存储介质的普及为病毒寄生、繁衍提供了天然的温床。

实际上早在今年2月份，国家计算机病毒应急处理中心就曾发出警告，U盘已成为病毒和木马程序传播的最主要途径之一。而从论坛上的网民投诉来看，有关U盘木马、病毒的案例也呈明显上升趋势。

很多重大的木马、病毒的始发地都是U盘，尤其是公共场所，比如网吧、学校机房、打印复印店等，U盘简直就是流动杀手。

据悉，国内首例通过U盘传播的不公平（Worm/Unfair）蠕虫病毒早在就诞生了。但是很显然，这个流动杀手并没有引起用户的足够重视。

U盘厂商和木马作者勾结

木马病毒通过U盘作威作福，一切不能仅仅归咎为用户的不重视，因为很可能当他们购买一款U盘的时候，已经中招。

据知情人士透露，现在U盘厂商出售的U盘并不是裸盘，而是会附送一些软件，美其名曰增值服务，但实际上，一些厂商与病毒的制造者进行付费合作，将木马病毒隐藏于出厂的U盘之中，为感染进驻用户电脑提供了一条简易途径，

该人士继续表示，由于U盘的技术不高，生产门槛很低，珠三角地区充斥着大量作坊式的U盘厂商，为了利益，它们什么都能做得出来。而捆绑的木马感染用户电脑后，通过、弹广告等途径牟取暴利，甚至将目标直接瞄准网络银行用户。

这样的情况如果泛滥，那么病毒产业链又多了一条分支。U盘木马病毒往往利用autorun.inf这种自动运行程序实现侵入，用户一旦打开U盘，中招几乎成为必然，而且不易察觉。

专家：如何防御U盘病毒

除了常规的安装杀毒软件、及时给系统打补丁等安全习惯之外，可以通过如下几个特别措施来预防、查杀U盘病毒：

1. 尽量不要使用双击打开U盘，而是选择右键，然后打开。如果对系统安全状况有怀疑，建议即便是对硬盘磁盘也做这样的操作。记住，在你双击的同时，autorun.inf可能就已经带着木马病毒一起运行了！

2. 设置显示所有文件，以便U盘被感染后能及时发现病毒。具体方法是打开文件夹选项中隐藏受保护的操作系统文件选项，并选择显示所有文件和文件夹选项。

3.下载360安全卫士，开启U盘病毒免疫功能

4. 开启360安全卫士的实时保护功能，以避免在使用U盘进行数据文件存储和拷贝时病毒文件入侵感染。

5.随时注意判断自己是否中了U盘病毒。其特征是：双击U盘无法打开，或者打开的是其他磁盘目录（常见的是打开我的文档），或者不同磁盘目录中存在同样的奇怪文件和文件夹。

6.注意木马的查杀。几乎所有的U盘病毒都是木马，网民应不定期使用360安全卫士的木马查杀功能进行扫描，目前360安全卫士是国内木马样本库最大的安全辅助软件。

篇3：三招预防U盘病毒

优盘凭借随身携带的便利性吸引了许多用户购买使用，这给网络病毒的疯狂传播提供了又一个载体;这不，现在Internet网络中有不少病毒就是专门借助优盘传播的，感染了这种优盘病毒后，计算机系统轻则运行不正常，严重的时候能使计算机发生瘫痪现象，为了拒绝自己的计算机系统感染优盘病毒，我们可以巧妙修改系统的组策略相关参数以达到U盘病毒的预防。

禁止优盘自动播放

很多时候，优盘设备只要插入到计算机系统中，Windows系统就能自动打开优盘窗口，以便帮助我们快速浏览其中的资源。而自动打开优盘窗口的操作，很有可能被网络病毒利用成激活操作，那样一来我们只要一不小心插入优盘设备，计算机系统立即就会被感染网络病毒;为了防止优盘病毒不请自来，我们必须想办法让计算机系统禁止优盘自动播放，要做到这一点，我们可以按照下面的操作来进行：

首先在本地计算机系统桌面中依次单击开始/运行命令，在弹出的系统运行文本框中，输入字符串命令gpedit.msc，单击确定按钮后，打开对应系统的组策略控制台窗口;

其次在该控制台窗口的左侧显示区域，逐一点选本地计算机策略/计算机配置/管理模板/系统分支选项，在对应系统分支选项的右侧显示区域中，找到关闭自动播放选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行属性命令;

选中其中的已启用选项，并且从关闭自动播放下拉列表中选择所有驱动器项目，最后单击确定按钮，如此一来优盘设备插入到本地计算机系统后，就不会自动进行播放了，那么其中的优盘病毒也就没机会自动发作了，除非我们自己打开优盘窗口，本地计算机才会被感染网络病毒，

虽然这种方法隔离优盘病毒比较彻底，但它会影响光盘的自动播放功能。

禁止运行病毒样本

不少网络病毒通过优盘进行非法传播时，往往都是先运行样本病毒程序，之后进行扩散传播;依照这样的传播原理，我们应该及时查询病毒公告，寻找最新的病毒程序样本，并将对应的病毒样本文件拷贝到本地计算机系统中，之后通过合适的组策略设置，来禁止样本病毒程序自动运行。在禁止运行病毒程序样本文件时，我们可以按照下面的操作来设置系统组策略参数：

首先按照前面的操作步骤，打开本地计算机系统的组策略编辑窗口，在该编辑窗口的左侧显示区域逐一点选本地计算机策略/计算机配置/Windows设置/安全设置/软件限制策略/其他规则分支选项;

其次在对应其他规则分支选项的右侧显示区域中，用鼠标右键单击空白位置，从弹出的快捷菜单中执行新散列规则命令，打开如图2所示的设置对话框;点选该设置对话框中的浏览按钮，从其后出现的文件选择对话框中，将样本病毒程序文件选中并加入进来，此时Windows系统会自动创建文件散列号码，同时还会将对应样本病毒文件的版本以及其他属性信息显示出来，之后我们只要将对应程序文件的安全级别设置为不允许，最后单击确定按钮，这样一来日后优盘携带了指定样本文件的病毒后，优盘病毒就会受到软件限制策略的束缚而不能发作运行了。考虑到现在的优盘病毒变种比较多，我们必须定期到网上查看各种病毒公告，搜集各种病毒样本文件，才能实现禁止运行样本病毒的目的。

篇4：U盘病毒病状及解决方法

U盘病毒病状表现:

1、双击打开U盘时，计算机提示找不到copy.exe，

2、显示隐藏文件时发现有copy.exe host.exe autorun.ini三个可疑文件。

3、部分U盘表现为所有文件属性被修改为隐藏。

4、打开系统进程有可能发现temp1.exe或temp2.exe。

解决办法：

先打开进程，将temp1和temp2停止进程（有时没有temp2），然后打开你的非系统盘（注意：必须用右键打开）否则病毒会自动运行，

删除copy.exe;autorun.inf;host.exe。只要有病毒的盘都是这样。然后进入系统盘{注意：必须用右键打开}同样删除copy.exe;autorun.inf;host.exe。进入windows文件夹，删除***host 文件。同样进入sys32删除temp1和temp2文件。

或用下载专杀工具：

单独查杀rose.exe：www.s.com/download/rainbowdesert/rose.rar

单独查杀copyexe：www.1997s.com/download/97luntan/copy.rar

篇5：如何判断U盘是否中病毒

如何判断U盘是否中病毒

1.双击U盘不能打开U盘目录，及时打开了确实其他其它磁盘目录；

2.U盘目录中出现很多奇怪名称的文件；

3.U盘中之前存放的文件夹都不见了，可能是中了伪文件夹U盘病毒

4.U盘中所有文件都已.exe格式文件，不能正常地打开

5.U盘插上电脑后，很长时才能被识别

6.右击U盘盘符，菜单了增加了“自动播放”、“Brower”或“Open”等命令

7.电脑开关机很慢，但又不会是电脑问题

8.不能复制文件夹，复制出来打不开，也许此时文件夹被感染了，被隐藏后替换成了病毒，你复制的其实是病毒程序

篇6：教你彻底摆脱U盘病毒

相信很多用户都受到过U盘病毒的困扰，例如你双击无法打开盘符，又或者提示错误，更有甚者把链接接到其他地方，遇到类似情况大家一定觉得十分的厌烦，本文将带大家实战U盘病毒，彻底认识这种随时有可能出现的捣蛋鬼。U盘病毒一般通过“Autorun.inf”文件进行传播，病毒就会通过“Autorun.inf”文件中的设置来自动激活病毒，然后将“Autorun.inf”文件同时拷贝到其他分区，导致其他分区都无法用双击鼠标的方法打开。

删除“Autorun.inf”文件

当计算机系统感染U盘病毒时，该病毒就会自动在本地硬盘的所有分区根目录下面创建一个“Autorun.inf”文件，该文件在默认状态下具有隐藏属性，用普通方法是无法直接将它删除掉的。要想删除“Autorun.inf”病毒文件，我们可以按照如下方法来操作：

首先用鼠标双击系统桌面中的“我的电脑”图标，在其后弹出的窗口中依次执行“工具”-“文件夹选项”选项，单击窗口中的“查看”，找到并选中“显示所有文件和文件夹”项目，同时将“隐藏受保护的操作系统文件”的选中状态取消掉，最后“确定”。这样每个盘面下都可以看到“Autorun.inf”文件了。

其次用鼠标右键单击“我的电脑”窗口中的某个盘符，点击“打开”命令，在其中找到“Autorun.inf”文件，鼠标右键单击“Autorun.inf”文件，选中“打开”命令将“Autorun.inf”文件打开，在其中找到“open=1.exe”内容，“1.exe”就是具体的病毒名称。倘若这类病毒没有进程保护时，我们只需要将“1.exe”文件以及各个“Autorun.inf”文件直接删除掉，就能将闪盘病毒从系统中清除掉了。

为了防止病毒再次运行发作，我们还需要将遭受病毒破坏的磁盘关联修改过来。在修改磁盘关联时，必须先依次单击“开始”-“运行”命令，打开运行对话框中输入“regedit”，打开本地注册表编辑窗口，在该编辑窗口的左侧找到并展开“HKEY_CLASSES_ROOT”注册表分支，然后在该分支下面依次选择“Drive\\shell”项目，在对应“shell”项目的右侧列表区域，用鼠标双击“默认”键值，在其后弹出的数值设置窗口中将“默认”键值数值修改为“none”;

接下来展开“HKEY_CURRENT_USER”注册表分支，然后在该分支下面依次选择“Software\\Microsoft\\Windows\\CurrentVersion\\Explorer”项目，在对应“Explorer”项目的右侧列表区域，检查一下是否存在一个名为“ountPoints2”键值，一旦发现该键值的话，我们必须及时将它删除掉，最后刷新系统注册表的设置，

这样U盘病毒就可以被清除了。

但现在的病毒多数会有保护机制，假如我们尝试使用上面的方法无法删除“Autorun.inf”文件，而且重新安装了计算机系统后仍然无法使用双击鼠标方法打开分区窗口时。我们可以借助网上的专杀工具，例如国内的几家反病毒厂商都会提供Autorun.inf专杀工具。

如今只满足清除病毒是远远不够的，为了防止闪盘病毒再次袭击我们，我们必须采取有效措施，让本地系统彻底远离闪盘病毒。预防U盘病毒再次发作的方法其实非常简单，我们只需要在U盘根目录下面手工创建一个“Autorun.inf”文件，这样一来病毒就无法往U盘根目录下面自动生成“Autorun.inf”病毒文件了，同样病毒就无法通过U盘进行传播了。另外，几家厂商的杀毒软件都建议用户关闭系统自动播放机制，也可以抗击U盘病毒的有效方法。当然也可以通过以下方式手动关闭：

具体实现“开始”-“运行”输入“gpedit.msc”程序，在“组策略”窗口中依次展开“计算机配置-“管理模版”-“系统”分支;在右侧窗口双击“关闭自动播放”项，在打开的窗口中选择“已启用”项，在“关闭自动播放”列表中选择“所有驱动器”项，点击“确定”按钮，就可以禁用U盘的自动播放功能了。

篇7：U盘病毒的一些传播方式

，

2、在U盘的所有程序文件里插入病毒，这种情况比较恶劣。必须用杀毒软件才能把病毒体从程序中提取出来。

3、直接在每一个文件夹下面生成一个与该文件夹同名的exe文件，跟第一种相似，但更具有混淆性。

4、U盘病毒应用很广的方法，在U盘根目录下生成一个Autorun.inf的引导文件(隐藏文件)，插入U盘，Windows就自动激活此引导文件指向的病毒程序。

篇8：U盘病毒传播方式有哪些

1、把U盘下所有文件夹隐藏，并把自己复制成与原文件夹名称相同的具有文件夹图标的病毒程序文件(com、exe、bat扩展名的文件)，当你误会点击病毒文件会激活病毒并且该病毒会打开该名称的文件夹，

2、在U盘的所有程序文件里插入病毒，这种情况比较恶劣，

必须用杀毒软件才能把病毒体从程序中提取出来。

3、直接在每一个文件夹下面生成一个与该文件夹同名的exe文件，跟第一种相似，但更具有混淆性。

4、U盘病毒应用很广的方法，在U盘根目录下生成一个Autorun.inf的引导文件(隐藏文件)，插入U盘，Windows就自动激活此引导文件指向的病毒程序。

篇9：U盘防止病毒的几个招数

一、若系统感染病毒,应先升级杀毒软件病毒库,重新启动并按 F8键,进入安全模式下全面杀毒.杀毒前不要双击任何一个驱动器的盘符,以免病毒再次运行.如确需打开某个硬盘,则用方法3的方法进入.

二、如果杀毒失败一般需要重新安装系统,重装后也只有C盘中的病毒被清除,其他硬盘中的病毒仍旧存在,双击其他盘符病毒可能会重复感染系统(特别是自动播放病毒),这时只能手动删除,删除前需调出系统进程(Alt+Ctrl+Del)先终止该病毒进程(判断,处理较复杂此处省略)以及用sreng(此工具不易被某些病毒终止)等工具将启动项,系统服务和驱动程序(新的病毒常常利用系统服务和驱动优先启动,造成杀毒软件无法启动或退出)具体操作省略.

三、使用“U盘病毒专杀工具.exe”删除中毒U盘或手动删除:这时请点“开始”-“运行”输入“CMD”回车,进入DOS提示符方式,输入盘符:如“D:”回车,使用attrib回车查看D盘所有隐藏文件(即有SHR标识),将attrib –s –h –r

autorun.inf回车(去除autorun.inf文件系统,隐藏,只读属性),使用typeautorun.inf查看该文件内容,查找真正的病毒执行文件(一般为run=xxx.exe),输入attrib –s –h –r xxx.exe,(xxx为病毒文件名),最后用del autorun.inf和del xxx.exe命令删除.

四、请安装U盘杀毒软件，可以防止U盘自动播放病毒.建议外网用户可同时安装两软件,内网用户安装“U盘免疫器V1.5.exe”.

使用“解决自动播放XP.reg”(双击运行)禁用所有盘自动播放.

五、严格限制U盘交叉使用次数,减少被感染的可能,购买的U盘需带有写保护或加密功能,单独分一个加密区用于存放重要文件,并设置访问密码.

六、取消“隐藏已知文件类型的扩展名”功能:打开我的电脑选择菜单是-“工具”-“文件夹选项”-“查看”-“隐藏已知文件类型的扩展名”(不要打√).

七、插入计算机后,不要直接双击打开U盘,先用杀毒软件或 “U盘病毒专杀工具.exe”查杀病毒,木马.然后通过打开我的电脑,通过地址栏下拉选择或输入盘符(如F:)回车再打开U盘,减少被自动播放病毒感染的可能.

U盘只能作为临时拷贝文件使用(备份用的移动硬盘除外),不要长期存放重要文件或直接打开编辑,U盘存储载体属电子闪存,容易造成文件丢失,对于拷贝的重要文件使用后应及时删除,并将U盘及时拔下,不要长期接在计算机上.

篇10：一个U盘病毒简单分析病毒防范

U盘这个移动存储设备由于体积小、容量大、便于携带等优点，给人们的存储数据带来了很大的便利，但正是由于这种便利，也给病毒有了可乘之机，你是否有过拿着U盘到外面打印照片，回来再使用U盘过程中，发现自己的电脑一下就中毒了的经历呢？

U盘病毒对于局域网环境的企业来说也是一个很头疼的事情，由于员工随意插拔使用U盘，经常导致U盘病毒在企业局域网环境下肆意泛滥，给企业网管员带来了不小的麻烦。今天我们分析的这个U盘病毒，会将U盘上的数据隐藏，并会在U盘上生成一个恶意的快捷方式，只要我们打开这个快捷方式，就会触发病毒执行。

病毒样本介绍

先来看一下该病毒样本的相关信息：

File：~%PHENOVECNYE.ini

Size：23M

MD5：69425684F5C155AAD52D0A6C8E41E2FA

瑞星V16+：Worm.Win32.Agent.aym

此病毒样本截图如图1所示，瑞星v16+查杀该样本截图如图2所示。

图1：病毒样本

图2：瑞星V16+对病毒样本查杀截图

病毒样本只是一个lnk快捷方式，并不是~%PHENOVECNYE.ini，我们取消系统的隐藏显示再来看一下。点击工具菜单-文件夹选项，如图3所示，取消隐藏受保护的操作系统文件（推荐）勾选，及隐藏文件和文件夹下面选择显示所有文件和文件夹。

图3：取消系统的隐藏文件

取消系统隐藏文件后，再来看一下病毒样本，文件夹下多了很多文件，如图4所示。

图4：取消系统隐藏文件后，显示出病毒样本~%PHENOVECNYE.ini

我们先来简单分析一下lnk文件，右键点击lnk选择属性，如图5所示。

图5：查看lnk快捷方式文件的属性

我们看到这个lnk快捷方式的目标类型是应用程序，目标是%hoMEdrive%\\WINDOWS\\System32\\rundll32.exe ~%PHENOVECNYE.ini,lnk。如图6所示，这个快捷方式原来是调用系统的rundll32.exe来运行~%PHENOVECNYE.ini。大家可能有点奇怪，~%PHENOVECNYE.ini只是一个ini文件，为什么这个快捷方式要通过rundll32.exe来运行它呢？接下来我们再来分析一下~%PHENOVECNYE.ini文件，看它到底是什么文件类型。

图6：查看lnk快捷方式的属性，其目标为%hoMEdrive%\\WINDOWS\\System32\\rundll32.exe ~%PHENOVECNYE.ini

我们使用winhex工具打开~%PHENOVECNYE.ini文件，在winhex的字符串显示区域，我们看到了MZ头，标准的pe文件头，如图7所示。

图7：winhex显示~%PHENOVECNYE.ini文件实际上是一个可执行程序

Winhex只是能说明~%PHENOVECNYE.ini文件是一个可执行程序，但具体这个文件是dll或exe，还是驱动？我们使用IDA工具查看一下文件的输出点，如图8所示，IDA显示~%PHENOVECNYE.ini的Exports为DLLEntryPoint，原来这个~%PHENOVECNYE.ini是一个dll文件。我们知道要执行一个dll文件，需要使用系统的rundll32应用程序，有时当然还需要加上dll运行参数，这样才能将dll跑起来。所以有时候我们不能只通过查看文件的扩展名来识别文件类型，有些病毒文件会伪装成正常的系统文件名来迷惑大家。怎么来分辨呢？简单的就是用记事本直接打开文件，查看一下文件头，就大概知道这个文件到底是什么文件类型。

图8：IDA查看~%PHENOVECNYE.ini的Exports为DLLEntryPoint

病毒行为分析

在这次病毒行为分析中，我们使用SFF这款工具。当然，在开始运行病毒前，开启SSF的监控，直接双击lnk快捷方式，过一会儿，SSF监控到如下的病毒行为，如图9所示，rundll32.exe执行C:\\ATI\\Catalyst.exe。

图9：rundll32.exe执行C:\\ATI\\Catalyst.exe

点允许后，SSF又监控到是否允许Catalyst.exe创建一个傀儡进程Catalyst.exe，如图10所示。

图10：是否允许创建傀儡进程Catalyst.exe

从图10来看，两个Catalyst.exe的pid是不同的，实际就是Catalyst.exe同时创建了一个傀儡进程，而这个傀儡进程就是它自己。这里继续点允许，SSF监控到C:\\ATI\\Catalyst.exe要运行C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\seynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图11所示。

图11：是否允许Catalyst.exe运行C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\seynhbuoetjzoetnzoepfqgvpfqkeyne.com

小结一下：~%PHENOVECNYE.ini跑起来后，首先在C盘下创建ATI文件夹，同时写入病毒文件Catalyst.exe，Catalyst.exe同时会创建一个它本身的傀儡进程，同时还会在系统临时目录下释放一个随机文件名的com病毒程序，之后交由Catalyst.exe来运行com病毒程序，如图12所示。

图12：SSF拦截到的Catalyst.exe运行临时目录下的com病毒程序行为

允许seynhbuoetjzoetnzoepfqgvpfqkeyne.com运行后，SSF也监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com同时也要创建一个自身的傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图13所示。

图13：seynhbuoetjzoetnzoepfqgvpfqkeyne.com创建自己为傀儡进程

在允许创建傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com后，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统程序wupdmgr.exe，如图14所示。

图14：seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统wupdmgr.exe

wupdmgr.exe是windows update manger的缩写，是自动升级的程序。我们接下来看一下，病毒程序seynhbuoetjzoetnzoepfqgvpfqkeyne.com要调用系统wupdmgr.exe程序干什么坏事。继续允许它运行wupdmgr.exe，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要修改wupdmgr.exe内存数据，如图15所示。

图15：修改wupdmgr.exe内存数据、注入

在我们允许之后，SSF又监控到同样的病毒行为提示，如图16所示。

图16：两次是否允许修改wupdmgr.exe内存数据

在允许修改wupdmgr.exe内存数据后，SSF监控到wupdmgr.exe在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run下，写入名称为47801的启动项，如图17所示。

图17：wupdmgr.exe创建启动项47801

到这里我们先来印证一下SSF监控到这些病毒行为，如图18所示，病毒样本的确是在C盘根目录下创建ATI文件夹并写入病毒文件Catalyst.exe。

图18：病毒样本运行后写入的病毒文件Catalyst.exe

图19所示的是病毒样本~%PHENOVECNYE.ini在系统临时目录下写入的病毒文件seynhbuoetjzoetnzoepfqgvpfqkeyne.com。

图19：系统临时目录下的病毒样本seynhbuoetjzoetnzoepfqgvpfqkeyne.com

再使用xuetr工具查看一下系统当前进程及启动项，如图20所示，在进程列表里我们看到wupdmgr.exe，其父pid为1480，也就是seynhbuoetjzoetnzoepfqgvpfqkeyne.com，seynhbuoetjzoetnzoepfqgvpfqkeyne.com修改wupdmgr.exe内存数据并将其启动起来，为病毒下一步干坏事做好准备。

图20：xuetr进程列表显示wupdmgr.exe已经运行起来

再来看启动项，wupdmgr.exe写入启动项名称为47801，其执行路径为：C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\ccwaaiehv.bat，如图21所示。

图21：wupdmgr.exe写入的启动项

右键点击启动项点定位到启动文件，如图22所示，我们来看一下这个bat到底是什么文件。

图22：定位启动文件

图23所示的启动项文件是一个被设置为隐藏的ccwaaiehv.bat。

图23：定位到的病毒文件ccwaaiehv.bat

使用记事本打开这个ccwaaiehv.bat文件，看一下批处理的内容是什么，发现ccwaaiehv.bat其实也是一个pe文件，如图24所示。

图24：ccwaaiehv.bat文件头为MZ标准的pe格式文件

我们提取ccwaaiehv.bat和Catalyst.exe这两文件，使用瑞星V16+查杀一下这两个样本，如图25所示，瑞星V16+对这两个文件报毒，

图25：V16+查杀这两个病毒样本

实际上，在wupdmgr.exe被修改内存数据，并写入启动项47801后，这个病毒整个已经跑起来了。接下来我们就要进一步触发一下这个病毒，看一下这个病毒后续的行为。怎么触发呢？从这个病毒lnk快捷方式的名称为我的移动（4G）及图4来看，我们猜测这个病毒样本可能针对的是移动存储设备U盘来做文章，既然猜测是这样，我们就给染毒环境插入一个正常U盘，如图26所示，是一个实机正常插入的可移动磁盘。

图26：正常的U盘

我们把这个U盘切换到染毒环境的虚拟机，在切换到染毒环境之前我们将processmonitor这个工具的捕捉功能开启，让processmonitor捕捉一下U盘在切换到染毒环境后的一些病毒行为。如图27所示，完好的U盘在切换到染毒环境下，U盘上的数据都看不到了，只剩下一个HB1_CCPA_X6(8GB)的快捷方式。

图27：U盘上的数据只剩下一个2kb的快捷方式

我们来看一下processmonitor工具都捕捉到了哪些病毒行为，病毒是如何将U盘数据隐藏的。由于Processmonitor捕捉到内容较多，如图28所示，我们直接查找wupdmgr.exe，Processmonitor显示进程wupdmgr.exe的pid为，这样我们就可以设置过滤规则，直接查看进程wupdmgr.exe的行为。

图28：Processmonitor显示的wupdmgr.exe的pid为2000

接下来设置规则分别为pid为2000、操作为写入、操作为设置注册表值这三项，如何设置过滤规则就不详细讲解了，看过我们之前的文章，相信大家应该掌握了。如图29所示，我们添加三条过滤规则。

图29：设置过滤规则

设置好规则后，我们看到在插入U盘（盘符为E:），wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db，如图30所示。

图30：wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db

同时还修改系统注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced的ShowSuperHidden和Hidden的值，如图31所示，图32、33所示的是修改的具体键值数据。

图31：wupdmgr.exe修改注册表值

图32：修改ShowSuperHidden值为0，勾选隐藏受保护的操作系统文件（推荐）

图33：修改Hidden值为2，勾选不显示隐藏的文件和文件夹

这样修改后，我们就无法查看系统隐藏的文件，其目的就是隐藏U盘上的数据，使我们无法查看到，因为病毒将U盘的文件都设置了隐藏属性，同时wupdmgr.exe向U盘写入病毒文件~%YZUAWLLH.ini，如图34所示。

图34：wupdmgr.exe写入病毒文件~%YZUAWLLH.ini

写入的病毒文件和我们之前运行的~%PHENOVECNYE.ini文件名不同，但其实都是同一个病毒程序。Processmonitor工具同时还捕捉到了wupdmgr.exe向U盘写入lnk快捷方式，如图35所示。

图35：wupdmgr.exe写入的以U盘名及大小为文件名的lnk快捷方式

右键查看U盘上lnk快捷方式的属性，发现同样也是通过系统的rundll32来运行的~%YZUAWLLH.ini，手法和我们的本例讲解的病毒样本一致，如图36所示。

图36：U盘上lnk快捷方式属性

病毒处理

以上是病毒样本的行为分析，接下来我们讲一下如何手动处理这个病毒。使用xuetr工具来处理，如图37所示，使用xuetr先结束进程wupdmgr.exe，之后再删除病毒样本写入的启动项及文件，如图38所示。

图37：结束wupdmgr.exe进程

图38：删除病毒写入的启动项47801及对应文件

之后还要删除在C盘根目录下创建的ATI文件夹，如图39所示。

图39：删除病毒写入的ATI文件夹

接下来恢复病毒样本修改的注册表项，如图40所示，使用xuetr注册表定位到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced，将ShowSuperHidden的值修改为正常1，如图41所示。

图40：恢复病毒修改的ShowSuperHidden的注册表值

图41：修改ShowSuperHidden正常键值为1

如图42及图43所示，使用xuetr工具恢复病毒修改的HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden注册表值。

图42：恢复病毒修改的Hidden的注册表值

图43：修改Hidden正常的键值为1

注册表项修改为正常值后，我们就可以看到U盘上隐藏的病毒文件及一个U盘图标似的文件，如图44所示。

图44：U盘上写入的病毒文件及被隐藏的U盘数据

我们打开那个类似U盘图标的文件夹，如图45所示，所有的U盘数据都在这里。

图45：类似U盘图标下的所有U盘数据

接下来将U盘上病毒写入的病毒文件删除，右键选中U盘上病毒写入的文件点删除即可，如图46所示。

图46：删除U盘上病毒文件

删除之后就剩下了那个类似U盘图标的文件夹，如图47所示，这里可是有我们U盘上的数据，不能删除。如何恢复正常的U盘呢？重新插拔一下U盘即可，如图48所示。至此，我们手动完成了处理这个病毒。

图47：剩余的类似U盘图标的文件夹

图48：重新插拔U盘后，U盘恢复正常

瑞星V16+对病毒预防的方法

来讲解一下如何使用瑞星V16+来防范这类病毒。通过前面对病毒行为的分析，病毒修改了系统wupdmgr.exe内存数据并创建一个自身的傀儡进程wupdmgr.exe。那么我们就使用瑞星V16+的系统加固自定义规则，添加一条文件访问规则，监控任何程序访问或修改c:\\windows\\system32\\wupdmgr.exe时都给予提示，如图49所示。

图49：瑞星v16+添加文件访问规则，监控c:\\windows\\system32\\wupdmgr.exe

还需要将系统加固的默认优化选项默认放过包含厂商数字签名的程序文件及默认放过瑞星云安全鉴定安全的程序文件勾选取消，如图50所示。

图50：取消系统加固默认优化选项

再跑一下这个病毒样本，跑样本前关闭瑞星文件监控，过一会瑞星V16+系统加固拦截到有可疑程序试图打开c:\\windows\\system32\\wupdmgr.exe，如图51所示。

图51：系统加固拦截到可疑程序打开c:\\windows\\system32\\wupdmgr.exe

从图51来看，重新运行了病毒样本，该病毒样本在系统临时目录下，创建32位随机命名的com病毒文件。来看一下是否在C盘创建了ATI文件夹并写入了病毒文件Catalyst.exe，如图52所示，果然在C:\\ATI写入了病毒文件Catalyst.exe，说明病毒已经跑起来了。

图52：再次运行病毒样本，在C:\\ATI写入病毒文件Catalyst.exe

图52-1所示的是病毒文件Catalyst.exe在系统临时目录下创建32位随机命名的com文件。

图52-1：写入系统临时文件夹的32位随机com病毒文件

图52和图52-1都充分说明病毒已经跑起来了，在瑞星V16+系统加固拦截到病毒样本试图打开c:\\windows\\system32\\wupdmgr.exe，注意系统加固默认是阻止，在我们不选择处理方式后，系统加固自动拦截该行为。使用xuetr工具查看当前系统进程里，没有wupdmgr.exe，如图53所示。

图53：当前进程列表没有wupdmgr.exe

继续查看启动项，发现HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run也没有被写入可疑启动项，如图54所示。

图54：xuetr显示无可疑启动项

插入U盘到染毒环境再测试一下，看看U盘的数据是否还会被隐藏并变成一个快捷方式。如图55所示，插入U盘后一切正常，说明设置的规则能成功拦截该样本。

图55：插入U盘到染毒环境，U盘一切正常

剩下的就好办了，手动删除掉病毒创建的两个无用的病毒样本即可，如图56所示。

图56：回收站里被删除的两个无用的病毒样本

篇11：如何清除自动运行的U盘病毒

现在通过U盘感染的病毒也同样变多了,而且更加复杂化，全名为：Win32.Hack.Tompai.b.23552，简称Iexplores.exe就是这样一种病毒，这个病毒工作于32位windows平台。病毒会在硬盘的根目录生成Iexplores.exe文件。

该病毒的具体表现为是：当你双击硬盘的盘符时，系统会调用Iexplores.exe文件自动播放硬盘的内容，作为传播病毒的一种方式。另外病毒可以通过移动存储介质进行传播(U盘、移动硬盘)。

虽然大多的杀毒软件可以对其进行查杀！但是感染症状依然存在。当杀毒软件进行杀毒之后，双击同样无法打开盘符，必须点击右键才能浏览硬盘。像这样如何来解决呢？

首先、右键打开其中一受感染的盘符，在工具栏---文件夹选项--查看下选显示所有文件和文件夹，同时去除隐藏受保护的系统文件前的勾，你会发现在你的盘符下多了一个autorun.inf 的文件，打开我们可以看到如下的内容：

[AUTORUN]

pen=Iexplorers.exe

这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件，即使病毒被杀死，但是注册表的信息依然存在，这就是无法打开盘符的原因，

其次、我们来删除病毒在注册表中的残留信息：开始---运行中输入regedit 打开注册表编辑程序，ctrl+f 打开查找命令，输入Iexplorers.exe，点查找，接下来会在注册表中找到此键值。

一般在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints下

最后、如果是你的移动硬盘的盘符f盘打不开，那么你将会在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints\\Fshellcommand下发现此键值，把shell子键删除即可，F3查找下一个，重复操作，直到所有的都清除。

在完所有子键之后，再去删除盘符下的antorun.inf文件，重启后问题就轻松解决

篇12：办公U盘病毒安全隐患及防范方法

优盘作为使用最为广泛的存储设备，如果将其作为病毒的载体，轻则破坏计算机文件或者系统，重则还可以破坏和瘫痪计算网络，优盘病毒是指利用优盘(移动存储设备)作为载体来传播病毒，其主要特征是在被感染的优盘中生成Autorun.inf文件，并附带有一个可执行程序。

1.优盘病毒危害

早期的优盘病毒仅仅是恶作剧，被感染计算机往往出现打不开文件，或者显示一些具有搞笑性质的东西。随着优盘容量的不断扩大和广泛使用，优盘成为传输文件等数据资料的主要存储介质之一，日常使用和交换的文件，包括涉密文件均是通过优盘来进行传输，虽然市面上推出了一些保密优盘，但是这些保密优盘其主要功能是防止优盘丢失后，拾者随意浏览文件，并不能防止优盘病毒的传播，优盘病毒在使用者浏览优盘时就进行了感染。优盘病毒具有交叉感染的特点，即感染了优盘病毒的计算机，在插入一个未感染的优盘到感染计算机中时，病毒会自动感染优盘，当将已经感染优盘病毒的优盘插入未感染计算机中时，未感染病毒的计算机将感染优盘病毒。在对优盘病毒分析研究中我们发现，优盘病毒具有轮渡技术，即将系统中的某些指定关键字的文件复制到优盘中，当优盘插入到具有上网条件的计算机中使用时，优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。

优盘病毒作为一种传染性病毒，其危害如下：

(1)破坏软件系统，影响工作。对于一般性优盘病毒将会破坏系统文件的完整性，导致系统不能正常打开文件，其危害程度较轻。

( 2)删除或者更改文件。这种优盘病毒往往带有恶作剧，例如将系统中所有的word等文件全部删除，或者将Word文件的默认后缀更改为其它名称导致文件打不开，其危害程度中等。

(3)盗取系统中各种密码帐号，实施远程控制。目前很多个人计算机大多具备上网条件，一旦连接上网络，病毒就会主动连接控制端，将系统中的密码和帐号发到指定邮箱，并实施远程控制将其作为僵尸网络的木马端。

(4)平时窃取资料，战时破坏系统。优盘病毒平时蛰伏在计算机中，当具备互联网条件时将平时复制的资料通过网络传输到指定邮箱，当发生战争时可以破坏和瘫痪计算机系统或者计算机网络，其危害程度最大。

2.优盘病毒危害机理

2.1病毒的传播原理

优盘病毒主要通过优盘与计算机的交互来进行传播。近年来，在“黑色”产业链利益驱动下，利用优盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的网站“挂马”来实现，网站“挂马”主要利用的是IE等安全漏洞，当用户没有安装补丁程序而访问被“挂马”的网站中的网页时，系统就会“偷偷”地执行网页中指定的程序，从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行优盘病毒的传播。

2.2优盘病毒传播阶段

优盘对病毒的传播主要借助的就是autorun.inf文件，主要分为2个阶段，

第一阶段：感染病毒，当用户将一块没有任何病毒的优盘插入一台潜伏了病毒的主机上，通过一些常用的操作后，可能就会激发病毒程序。病毒首先会将自身复制到优盘中，同时创建一个名为autorun.inf的文件。此时，这块优盘就被病毒感染了。

第二阶段：传播病毒，当这块优盘插入到一台没有任何病毒的电脑上后，使用者双击打开优盘文件浏览时，Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序，此时Windows操作系统就被感染了。

2.3 autorun.ini文件运行机理

autorun.inf是设备自动运行的设置文件，比如当插入某些驱动光盘后，Windows就会自动运行驱动安装程序，这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种：

(1)自动运行的程序

pen=filename.exe

(2)修改上下文菜单，把默认项改为病毒的启动项

ShellAutocommand=filename.exeShell=Auto

(3)只要调用ShellExecuteA/W函数试图打开优盘根目录，病毒就会自动运行

Shellexecute=filename.exeShellExecute=……