圖書館電子閱覽室防范U盤病毒方法探討

曾光中，曹冠英，郭學軍

(1.湖南科技大學圖書館，湖南 湘潭 411201;2.湖南工業大學圖書館，湖南 株洲 412008)

1 U盤概述

U盤是一種新型的移動存儲產品，是基于USB接口的微型高容量活動盤，主要用于存儲較大的數據文件，可在電腦之間方便地交換文件。它不需要物理驅動器，也不要外接電源，可熱插拔，即插即用，使用非常簡單方便。U盤體積很小，重量極輕，存取速度快，約為軟盤速度的15倍，容量大(現在一般可達到16GB或更大)，可靠性好，可擦寫達100萬次，數據可保存10年，可寫保護，抗震防潮，特別適合隨身攜帶，是移動辦公及文件交換理想的存儲產品［1］。除原有純存儲型U盤外，現在又有了新一代的啟動型優盤，通過獨有的軟、硬盤開關，可以提供USB外置軟驅、硬盤功能，通過模擬USB軟驅及USB硬盤，直接引導系統啟動［2］。

正是由于U盤有如此眾多的優點，其使用已相當普及，來電子閱覽室的讀者可謂人手一個，有的甚至有多個。然而，恰恰是這些U盤給圖書館電子閱覽室的管理帶來了極大的負擔——那就是U盤病毒的侵擾。

2 U盤病毒概述

顧名思義，U盤病毒就是通過U盤傳播的病毒。自從發現U盤的autorun.inf漏洞以后，U盤病毒的數量就與日俱增。

常見的U盤病毒有:autorun.inf、sxs.Exe、folder.Exe等，這些病毒不只會存在于移動磁盤里，如果計算機系統中沒有安裝殺毒軟件，也會感染到計算機的其他硬盤中，硬盤中此病毒可能難以用USB Cleaner v6.rar清除。病毒程序的隱藏方式有:①作為系統文件隱藏。因為一般系統文件是看不見的，所以這樣就達到了隱藏的效果。②偽裝成其他文件。由于一般人們不會顯示文件的后綴，或者是文件名太長看不到后綴，于是有些病毒程序將自身圖標改為其他文件的圖標，導致用戶誤打開。③藏于系統文件夾中［3］。

最近，一種U盤蠕蟲病毒偽裝成電影種子或視頻文件以吸引用戶下載，還利用U盤大肆傳播，并會搜集電腦中的隱私和機密信息，并將全部信息發送到黑客指定地址。該病毒由以下文件組成:autorun.inf、msvcr71.dll、RavMonE.Exe、RavMonLog。當用戶雙擊U盤盤符，會激活autorun.inf自動加載Rav-MonE.Exe，中毒之后，計算機識別U盤時會極為緩慢，病毒又會傳染給新的U盤。U盤的打開方式里首選一個auto，就是用來激活被感染U盤中的病毒文件，繼續感染其他電腦。這種病毒還把機器從某些端口連接指定IP，并從另外的端口向另一指定IP發送數據，還能偷偷地打開某電腦的遠程登錄程序，這對于個人隱私以及個人信息的保護來說存在著很大的安全隱患［4］。

目前，U盤病毒的傳播方式已不像當初只在U盤根目錄下生成一個autorun.inf的引導文件那么簡單了。最新的U盤病毒變種方式有:首先是把U盤下所有文件夾隱藏，并把自己復制成與原文件夾名稱相同的具有文件夾圖標的文件，當點擊時病毒就會執行且該病毒會打開該名稱的文件夾;其次是在U盤的所有可執行文件里插入病毒本身。還有的是直接在每一個文件夾下面生成一個與該文件夾同名的exe文件，這就更具有混淆性。目前已經發現的有固定名稱的病毒有:autorun.inf、AdobeR.Exe、bittorrent.Exe、copy.Exe、desktop.Exe、desktop2.Exe、folder.Exe、host.Exe、msinfmgr.Exe、msvcr71.dll、Rav-MonE.Exe、RavMonLog、RECYCLER〔.*、RECYCLER、SHE.Exe、sxs.Exe、SYSTEM.VER、toy.Exe、setup.pif、WORM_SILLYDC等［5］。

在系統中發現有wuauserv.Exe這個進程時，則可能已經中毒了，表現的方式是無法顯示計算機中隱藏的文件和文件夾，即使在文件夾選項中選擇了“顯示所有文件和文件夾”，確定后又會自動改回去。感染病毒后，U盤里會帶一個desktop.Exe的病毒文件，有一個folder.Exe文件，還可能有desktop2.Exe文件，都為隱藏狀態。有一些偽裝成受系統保護的文件，感染到電腦后會生成SVCHOST.EXE病毒母本。

一種名為“隨機8位數”的木馬病毒，也可通過U盤、MP3、移動硬盤等移動存儲設備瘋狂傳播。該病毒采用“映像劫持”技術，病毒運行后，會產生一個由數字和字母隨機組成的8位名稱的病毒進程，使系統運行速度變慢，并且嘗試關閉殺毒軟件、防火墻和安全工具進程，造成殺毒操作困難，無法升級病毒庫，危害較大。

網絡上流行的“rose.Exe”病毒，也通過U盤等移動存儲設備傳播。它最初的表現為右鍵單擊電腦里各個盤符時，第一項由原來的“打開”變成了“自動播放”，然后在系統進程里會出現若干個“rose”進程，占用電腦的CPU資源。在移動存儲設備內文件無法剪切、移動存儲設備無法移出等，尤其在公用電腦上表現極為明顯，傳播更為迅速。

Worm/AutoRun.cbm“U盤寄生蟲”變種cbm是“U盤寄生蟲”蠕蟲家族中的最新成員之一，采用高級語言編寫，并且經過加殼保護處理。病毒長度為49，781字節。與“卡拉蜜”(Packed.Krap.ju)類似，該病毒是由其他惡意程序釋放出來的DLL病毒文件，一般會被注入到幾乎所有用戶級權限的進程中運行，隱藏自身以蒙蔽用戶和防止被查殺，影響平臺包括Win 9X/ME/NT/2000/XP/2003。

“U盤寄生蟲”變種cbm是一個專門盜取即時聊天工具“騰訊QQ”賬號信息的木馬程序，會在被感染計算機的后臺秘密監視用戶打開的所有應用程序窗口標題，一旦發現“騰訊QQ”的登錄窗口便會強行破壞其“鍵盤保護鎖”，然后利用鍵盤鉤子、內存截取或封包截取等技術盜取“QQ”的賬號信息，并在后臺將竊取到的內容發送到黑客指定的遠程服務器站點上，給用戶造成了一定程度上的損失。“U盤寄生蟲”變種cbm還會修改系統注冊表，實現開機自動運行。

有一種在局域網內流傳的U盤病毒，能在磁盤內建立page file等自動運行文件，使磁盤無法雙擊打開，并能自動關閉殺毒軟件的運行，阻止安全軟件的安裝，甚至修改或刪除.exe和.doc文件，給用戶帶來麻煩。

3 U盤病毒的防范

現在電子閱覽室所有電腦都有USB接口，U盤等移動存儲設備似乎已成為讀者的生活必需品，讀者進入電子閱覽室上機幾乎必用U盤。然而，由于現有殺毒軟件的缺陷，讀者使用U盤等設備傳播的病毒已成為電子閱覽室乃至圖書館局域網安全的重大隱患。病毒通過U盤入駐電腦后，會占用大量資源，導致CPU使用率極高，系統運行困難。一些病毒通過互聯網自動下載病毒程序，包括一些木馬或流氓插件等，一旦一臺電腦感染了病毒，整個局域網也因感染U盤傳播的病毒而受到大量垃圾數據信號攻擊，流量阻塞而導致網絡癱瘓。如何防范U盤病毒已成為電子閱覽室乃至圖書館計算機及其網絡安全維護工作的又一重點。以下介紹防范U盤病毒的方法:①使用正版軟件，并對系統軟件及時升級，彌補漏洞，努力保持系統的完整性、安全性，從系統層面杜絕外部不安全因素的入侵。②安裝殺毒軟件包括防火墻，并要及時升級。③建立嚴格的上機制度，嚴格控制讀者瀏覽不良網站，并要求讀者使用U盤時要先查殺病毒。④建議插入U盤時，不要雙擊U盤。一個更好的技巧是:插入U盤前，按住Shift鍵，然后插入U盤，建議按鍵的時間長一點。U盤插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤。⑤關閉自動播放封殺病毒傳播。一般來說當我們把光盤或者U盤插到員工計算機后系統會馬上出現一個自動播放的對話框，讓我們選擇打開方式，這種自動播放功能很容易造成病毒的入侵，關閉系統的自動播放功能可以封殺病毒傳播途徑。方法是:通過系統左下角的“開始”“運行”“輸入gpedit.msc”，單擊“確定”按鈕，打開“組策略”窗口，在左窗格的“本地計算機策略”下，展開“計算機配置管理模板系統”，然后在右窗格的“設置”標題下，雙擊“關閉自動播放”。⑥采取趨勢科技推出的網絡安全專家(TIS)2008產品中提供的針對U盤病毒的解決方案，即免疫、查殺、啟發式檢測三項防范技術，形成有效的主動防御應對方案。這其中的“免疫”技術專門針對U盤插入電腦后的自運行功能，而這個本是方便使用者的功能經常會被病毒制造者利用，使病毒在用戶完全不知情的情況下自動執行。這項“免疫”技術能自動禁用包括U盤在內的所有移動設備的自動播放功能，讓U盤病毒無法自動激活，封鎖了病毒侵入計算機的通路。由于該解決方案是嵌入到殺毒軟件內部的，與系統防火墻同步運行，所以用戶不用單獨執行任何操作，即可避免從插入U盤到查殺病毒之間的防御“真空”。“查殺”技術會自動搜索并刪除所有磁盤根目錄下的autorun.inf文件，并根據這個文件的信息反向查殺已知和未知的病毒體文件和進程，使病毒無處藏身。“啟發式檢測”可以檢測可疑autorun.inf文件，并阻止對該文件的訪問，以阻止U盤病毒通過autorun.inf激活，抑制U盤病毒的傳播。

總之，要多管齊下，多項技術互相支撐，使電子閱覽室盡可能地避免或減少U盤病毒的侵襲，以全方位保障電子閱覽室和圖書館的網絡安全。

［1］ 什么叫U盤?.http：//iask.sina.com.cn/b/369003.html.2004-12-13.

［2］ SilveryMoon910.U盤是什么?.http：//zhidao.baidu.com/question/30280453.html.2007-7-10.

［3］ tieshashi.常見的u盤病毒有哪些.http：//zhidao.baidu.com/question/28038030.html.2007-6-11.

［4］ 最近流行的U盤病毒有哪些.http：//shequ.qihoo.com/q/shopping/14397219.html.2008-08-16.

［5］ monyer.手把手地教你干掉目前所有的U盤病毒.http：//publish.it168.com/2007/0621/20070621003301.shtml.2007-06-21.