和狡猾優盤病毒的較量

引言：為了防范優盤病毒，一般采取的方法是不直接雙擊優盤盤符，而是在優盤的右鍵菜單中判斷是否包含“auto”等病毒創建的菜單項，并點擊其中的“打開（O）”或者“資源管理器（X）”項來安全打開優盤，然后再清除優盤中的刻意程序。不過，現在很多優盤病毒也變得狡猾起來，會通過構造偽裝性極強的菜單項，來誘惑用戶落入圈套。這里，筆者就結合實例，來剖析了這類優盤病毒特點并分析了應對策略。

大意中招，遭遇精心偽裝的優盤病毒

筆者到了單位，同事將借用的優盤還了回來，因為筆者要復制一些資料，于是將優盤連接好，為了穩妥起見，筆者打開了優盤盤符的右鍵菜單，看到其第一項為“打 開（O）”，于是筆者就放心了，心想如果是優盤病毒的話，菜單首項肯定為“Auto”等可疑字樣。但是，當點擊了上述菜單中的“打開”項后，并沒有打開優盤，鼠標箭頭變成沙漏狀，似乎在運行什么程序。筆者暗道不妙，肯定中招了。

搜尋病毒程序

打開任務管理器，仔細觀察發現了名稱為“winguserv.exe”病毒進程，經過搜索發現該病毒位于“C:Windows”文件夾中。于是先將其終止，然后將病毒文件刪除，筆者以為就此清除了病毒。不過，很快該病毒進程又出現了。看來，肯定有另外的病毒程序為其內應，于是運行了SysCheck這款安全利器，在其“進程管理”面板中發現了一個看起來很奇怪的“schhost.exe”進程，從表面上看這是一個系統進程，但是在“映像路徑”列中卻顯示其路徑為“C:WinodwsSystem32config32svchost.exe”。這個“svchost.exe”進程一定是病毒的內應，打開上述路徑，卻無法顯示該病毒程序。看來病毒一定是隱藏了自己，但是不管在文件夾選項窗口中取消“隱藏受保護的操作系統文件”項或者選擇了“顯示所有文件和文件夾”項，都無法顯示隱藏的病毒文件。看來，病毒一定是對注冊表做了手腳，在注冊表編輯器中打開“HKEY_LOCAL _MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL”分支，將窗口右側的“CheckedValue”鍵值名的數值從“0”改為“1”。對資源管理器進行刷新后，病毒文件終于現身了。經過研究，發現該病毒程序很狡猾，會每隔幾秒鐘掃描一次注冊表，將上述鍵值名的數值修改為“0”，來重新隱藏自己。看來，要想徹底刪除病毒，還需從啟動項入手。

發現病毒啟動項并清除病毒

運行Autoruns這款啟動項管理軟件，所有的啟動項信息全部顯示無遺。在其中的“所有項目”面板中搜尋，很快就發現了病毒啟動項的行蹤。打開注冊表編輯器，展開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支，在右側的“Userinit”鍵值名中發現其內容為“userinit.exe,c:windowssystem32config32svchost.exe,winguserv.exe”，而原始的內容應該為“C:WINDOWSsystem32userinit.exe,”。注意，不要在Autoruns中直接刪除上述病毒啟動項，否則的話系統將無法正常啟動。正確的方法是先恢復原始的鍵值內容，然后重啟系統，將所有的病毒程序全部刪除即可。

揭病毒伎倆，分析病毒特點

清除完病毒后，筆者利用安全方法打開了優盤，使用記事本打開了優盤中的“autorun.inf”文件，發現其內容為：

原來，病毒對Autorun.inf文件進行了精心的偽裝，偽裝了虛假的“打開（O）”優盤菜單，并將其置于菜單首位，讓不知情的用戶失去警惕而點擊該菜單，從而激活潛伏的優盤病毒。其實真正的“打開（O）”菜單項實際上位于優盤菜單的第三位，但用戶往往將其忽略。在優盤上還發現了“desktop.exe”，“mydll32.exe”，“winfilw.exe”以及兩個Reg文件，優盤病毒激活后會釋放winguserv.exe，svchost.exe等不法程序，同時使用內置的Reg文件修改注冊表，起到隱藏病毒文件，非法添加啟動項等任務。

和此類優盤病毒的再次交手

無獨有偶，筆者好友最近也遭遇到了這類偽裝性很強的優盤病毒。好友原意是為了避開優盤病毒，于是在優盤右鍵菜單上點擊“資源管理器（X）”項，想使用資源管理器單獨打開優盤，不料卻中了病毒的招。病毒激活后造成系統運行出現混亂，好友通過任務管理器發現“qljfvxk1.exe”和“nlsrvtk.exe”兩個病毒進程，但是卻無法將其關閉。

清除病毒的方法

于是重啟系統進入安全模式，在CMD窗口中運行“tasklist”命令，在進程列表中檢測到上述病毒進程PID分別為“1708”和“3259”。于是使用記事本編寫了批處理程序，其內容為：

運行該批處理程序，將上述病毒進程關閉并清除相關病毒文件。其中的“c:program filescommon filessystem”和“c:program filescommon filesmicrosoft shared”文件夾是病毒的藏身地。分別進入上述文件夾，將和病毒相關的 inf，reg，exe等文件全部清除。因為病毒還在各個磁盤的根目錄下創建了“autorun.inf”和“hfhludy.exe”文件，將其分別找出并徹底清除，就完成了病毒的清理操作。

病毒構造虛假菜單項的方法

為了更好的觀察病毒，好友特地保存了一份病毒的“autorun.inf”文件。其內容為：

可以看到，病毒對該“Autorun.inf”文件進行了精心偽裝，在優盤（或者其它染毒磁盤）菜單中偽裝了兩個菜單項，第一個名稱為“打開（O）”項，并利用“Shellopendefault=1”語句將其設置為默認菜單項。同時還偽造了名稱為“資源管理器（X）”的菜單項，進一步來欺騙用戶使其失去警惕性。

因為這兩個菜單項和正常的菜單項幾乎一致，用戶不管是點擊哪一個偽裝的菜單項，都會毫不知覺的激活潛藏的優盤病毒。而且當優盤病毒運行后，會釋放“qljfvxk1.exe”和“nlsrvtk.exe”兩個病毒程序，相互之間會互相保護，讓用戶使用常規技術無法關閉病毒進程。

如何安全打開優盤

對于這類病毒，比較好的處理方法是不要打開優盤，先打開CMD窗口，在其中執行“dir X:autorun.inf /a”命令，來查看優盤中是否存在“autorun.inf”文件，假設X為優盤盤符。如果存在的話，可以執行“type x:autorun.inf”命令，來查閱該“Autorun.inf”文件內容，判斷其內容是否安全，如果確認為優盤病毒，可以執行“del X:autorun.inf”命令，將可疑的“autorun.inf”刪除，然后就可以安全打開優盤了。

靈活應對，設計優盤病毒防護器

優盤是我們很常用的存儲設備，但是優盤病毒卻頗讓人頭疼。在使用優盤時，稍不注意，就會讓優盤病毒乘虛而入。對于一般的優盤病毒還比較好對付，但是對于隱藏很深的優盤病毒（例如偽裝成同名文件夾等）來說，清除起來就不是那么容易了。例如，可以做一個有趣的實驗，在優盤上復制一個exe文件，先使用專用工具修改其圖標，使其看起來像文本文件之類的文件。然后在其名稱后面添加100多個空格和幾個點符號，保持其exe擴展名不變。這樣，不僅無法查閱該程序的后綴名，而且在鼠標提示信息中也無法顯示其類型。這樣就起到了很強的迷惑作用，讓人誤以為其是一個非exe文件，從而避開搜捕。

圖1 使用組策略，創建安全規則

安全軟件的不足之處

現在很多殺軟都采用主動防御技術來對抗優盤病毒，這就必然使用到Hook API技術，甚至有些安全軟件使用的是特殊的驅動程序深入到Ring0環境中，利用HooK技術來檢測病毒。但是，用戶可能同時安裝多個安全軟件。例如殺軟和防火墻等。不同的安全軟件都一股腦的使用Hook技術，對各種系統API進行攔截分析，直接造成了系統運行效率的降低。加之有的安全軟件技術上并完全成熟，使用不穩定的驅動和Hook技術無疑會大大降低系統穩定性，甚至導致沖突造成系統藍屏故障。

利用組策略，防范優盤病毒

其實，利用系統內置的組策略，就可以毫不費力的攔截優盤病毒。運行“gpedit.msc”程 序，在 組策略窗口左側點擊“計算機配置”→“Windows設置”→“安全設置”→“軟件限制策略”→“其他規則”項，在右側窗口中點擊菜單“新路徑規則”項，在彈出窗口（如圖1）中的“路徑”欄中輸入“X:”，在“安全規則”列表中選擇“不允許”項，點擊確定按鈕，就創建了一條安全規則，對X盤中的所有程序進行封鎖。這里假設X為優盤盤符。這樣，當連接優盤后，不管優盤病毒多么狡猾，設計偽裝性多強的“Autorun.inf”文件，當其被激活時都會遭到系統的無情攔截。利用上述方法可以簡單有效的抗擊優盤病毒，不過問題隨之而來，對于自己常用的確認無毒的優盤，在有些時候沒有必要進行攔截，而對于外來的優盤，卻很有必要進行攔截。上述方法采用的是一刀切的處理模式，無法靈活應對不同的使用環境。其實。借助于簡單的批處理程序，就可以打造出簡單實用的優盤病毒防護器。

編制批處理，靈活使用安全策略，

打開“C:WINDOWSsystem32GroupPolicy”文件夾，在其中保存了組策略配置文件。組策略中的“計算機配置”相關內容保存在“Machine”子文件夾中，“用戶配置”相關內容保存在“User”子文件夾中。進入“Machine”文件夾，其中的“Registry.pol”文件就保存了我們剛才添加的安全規則。先將該“Registry.pol”文件復制出來，然后在組策略中刪除上述規則，就可以自由運行優盤上的所有程序了。如果將該“Registry.pol”文件復制回來，同時在CMD窗口中執行“gpupdate/force”命令，就會重新激活上述安全規則，對優盤中的程序進行攔截。

手工操作起來畢竟繁瑣，我們可以編寫批處理來靈活操作。首先在沒有配置任何安全規則的情況下，將上述路徑中的“Registry.pol”文件備份為“Registryopen.pol”文 件，然后配置上述安全規則，然后將“Registry.pol”文件備份為“Registrydeny.pol”文件，將上述兩個文件放置在上述“Machine”文件夾中。使用記事本編寫批處理文件，其內容為：

將其保存為名稱為“禁止優盤保護.bat”文件。當其運行后，會清除當前“Registryopen.pol”文 件，使用不包含上述安全規則的“Registryopen.pol”文件對其進行替換。再編制一個名稱為“激活優盤保護.bat”的批處理文件，其內容為：

運行該批處理文件，可以刪除當前Registry.pol文件，使用包含上述安全規則的Registrydeny.pol文件對其進行替換。這樣，在使用自己安全可靠的優盤時，運行“禁止優盤保護.bat”文件，取消優盤保護規則，自由運行優盤程序，當使用外來優盤時，運行“激活優盤保護.bat”，激活優盤保護規則，禁止優盤程序運行。

您可以在桌面上為兩個批處理文件創建快捷方式，并分別在其屬性窗口中為其設置激活熱鍵，點擊對應熱鍵，就可以快速啟動對應的批處理程序，靈活使用優盤安全規則。