接触auto类病毒已经有快三年了,去年因为要讲课的关系我专门为这类病毒做了一套课件,以解决和防备这类病毒的传播,不过当时我所提到的“免疫”方法实际上没有作用(后来那份课件被我删除了)。最近似乎又来了一波又一波的新autorun于是便谈谈这类病毒的查杀技巧和防范方法。
auto病毒的传播:
auto类病毒主要通过U盘、mp3、mp4、移动硬盘、数码相机等含移动存储功能的数码设备(下文统一简称“移动存储器”)传播,一般情况是我们在公共计算机上使用移动存储器感染该类病毒,然后将移动存储设备带回私人电脑使用时使私人电脑感染。而我们通过移动存储设备交换私人电脑数据时,病毒又再次感染其他私人电脑。这样一来,移动存储设备称为病毒传播的中介。
auto病毒在做什么:
一般的auto病毒感染计算机以后,会在计算机的各个磁盘分区复制病毒文件及引导文件并将自身属性设置为隐藏,使得用户在双击打开各磁盘分区的时候可以触发病毒运行。部分病毒会修改注册表,使用户无法通过 “文件夹选项”中的“查看所有文件”设置来查看隐藏文件,同时病毒还会用一个病毒文件替换WinRAR软件使用户无法使用WinRAR的资源管理器功能查看隐藏文件。auto病毒还会将病毒文件复制到系统文件夹下,更改文件名称以隐藏自身,然后将自己添加到开机启动,部分病毒还会建立系统服务以防止被查杀。病毒会有一个长期驻守的后台程序运行,当有移动存储设备接入时复制病毒文件及引导文件到移动存储器;以及一个职守程序以防病毒程序被关闭(部分利用系统服务,也不排除定时运行)。
在完成了病毒文件自身的“配置”之后,它便开始超找网络,如果可以接入互联网它便会从预先设定好的地址下载 广告程序、ie插件 以及其他病毒、木马等。这样的操作可能使计算机因过载而出现反应迟缓、蓝屏、死机、自动重启等故障。
auto类病毒文件:
这类病毒一般包含两个文件:一个.exe文件和一个.inf的引导文件。常见的病毒文件名有auto.exe、rose.exe、rss.exe、autorun.exe、brows.exe、ravmon.exe等,引导文件则主要是auto.inf、autrun.inf等。
查杀病毒:
首先确认自己的WinRAR软件可以使用,如果不能就到华军等网站下载。打开WinRAR保持其运行状态,打开任务管理器保持其运行状态(打不开?有可能是被病毒禁止了,这样可以下载一些替代品比如 冰刃),打开 系统服务管理器(不知道怎么打开?——控制面板-管理工具-服务),打开“系统配置实用程序”(打开方法:开始-运行-输入“msconfig”-回车)。
首先在 服务 里头找到看上去不怎么对头的服务,正常的服务只有Removable Storage这一个没有文字描述,其他的都有文字描述,如果看到一个名称奇怪(没有规则的字符、数字组成的服务名称,类似:AD32DF97)又没有文字描述的服务,就先禁用掉(最好将自己禁用掉的服务名称做好记录以防错禁)。实在是找不到什么可疑的就算了,因为并不是所有auto病毒都建立服务的。不了解服务的话请点这里。
然后在 任务管理器(或 兵刃)中关闭病毒文件,一般来说病毒文件应该是上面我所提到过的几个.exe文件中的一个,不过这里建议关闭所有 当前用户创建的进程,比如我的用户名是administrator就关闭 任务管理器中所有 administrator下的进程。这样做的过程中会把桌面进程explorer.exe关掉,这样不能显示桌面图标及开始菜单,不过之前所打开的几个程序都可以正常使用,可以通过快捷键ALT+Tab切换程序。
接下来,用WinRAR的资源管理器功能定位到各个磁盘分区的根目录,删除里面的病毒文件及引导文件。具体文件名参考我在上面提到的几个,这是不可以确定的,要根据具体所中病毒而定,不过可以先双击打开根目录中的.inf文件(inf是引导文件,双击不会引导病毒而是自动用记事本打开)查看其中所引用的.exe文件的文件名,这样就可以确定病毒名了。
切换到“系统配置实用程序”,切换到“启动”选项卡,除 ctmon 外去掉所有启动项 的对钩,确定-立即重新启动。
这样auto病毒就被查杀干净了。
auto病毒的防范:
这里主要介绍针对移动存储器的防范,网络方面来的话还是杀毒软件比较保险,不过尽量不要登陆一些乱七八糟的网站的话,中度概率会降低很多。
使用搜索引擎的话,建议用Google,因为它包含一个 恶意网站 提示功能,通过它所检索的网站如果内含恶意脚本 将会在检索页面有所提示。这对用户很有帮助,而且可以防范的病毒就不只是auto这一类了。
针对移动存储器传播的防范方法有二。
一种是相对彻底的防范,原理是禁用系统对自动运行功能的支持。开始-运行-输入“gpedit.msc”-回车,打开了 组策略编辑器。在计算机配置-管理模板-系统 中找到“关闭自动播放”的功能,双击该策略 选定 “已启用” 以及“关闭所有驱动器”,确定 关闭组策略 然后重启即可。
第二种方法需要用户养成一种良好的使用习惯,即在使用移动存储器的时候不要在“我的电脑”中双击打开系统给该设备分配的磁盘分区图标,而是先使用 WinRAR定位到 该盘符,查看有没有可疑文件(即上文提到的病毒文件,对名称即可,不过只是部分名称,通过名称识别病毒需要一定的使用经验),如果有则删除之。这里有一点可以作为真理看待的是,只要有扩展名为.inf的文件则立即删除之即可。然后才可以到 我的电脑 上打开移动存储器 的盘符。不过还是建议所有的操作尽量在WinRAR上完成比较好。
备注:
上面提到的处理办法,可以针对性解决auto类通过移动存储器传播的病毒,不过如果病毒已经从互联网下载了其他病毒,上面的操作还是远远不够的,所以建议做了以上操作之后还要下载一些像360safe这样的辅助软件来删除垃圾ie插件及广告软件。
显然防范比查杀要容易很多,建议用户养成良好的使用习惯,这样可以把中毒概率降低很多。
最后,装个如果没有把握防止病毒入侵,还是去买个正版杀毒软件吧。
