U盤病毒防護技術研究

周海峰

（國網江蘇省電力有限公司南通供電分公司 江蘇 南通 226499）

1 引言

隨著計算機技術與網絡通信技術的高速發展，計算機在人們的工作生活中得到了廣泛的應用，在給人們帶來便利的同時，計算機病毒隨著信息技術的發展，病毒的傳播，給計算機信息系統的數據安全帶來了極大的安全隱患，同時移動U盤、移動硬盤等移動存儲載體，因其容量大、便于攜帶、便于使用，在各行各業中使用率很高。與此同時，U盤已成為惡意木馬和U盤病毒傳播的主要介質。通過分析U盤病毒的特征、傳播方式、以及防范措施，希望為大家在日常的計算機使用、維護過程中，提供幫助。

2 計算機U盤病毒

計算機病毒是非法組織或個人利用計算機軟件或硬件漏洞編制的一組指令集或程序代碼[1]。U盤病毒，不是特定的某個病毒，是存在于電腦硬盤或者移動存儲介質中或者網絡上，可以通過U盤等存儲介質來傳播的病毒。U盤因其小巧方便，被大眾廣泛用來數據存儲、數據交換，與此同時，U盤病毒的數量同比上升，國家計算機病毒處理中心發布公告稱U盤已成為病毒和惡意木馬程序傳播的主要途徑。U盤病毒主要通過打開U盤時自動播放和Autorun文件來執行病毒程序，將病毒程序復制到計算機系統中從而使計算機中毒，同時中毒的計算機也會感染插入該計算機的移動盤。

3 計算機U盤病毒的特征和傳播方式

歸納起來，計算機病毒有如下特征：

3.1 攻擊隱蔽性

計算機病毒跟其他計算機程序一樣，是一段可執行程序，計算機病毒在運行后攻擊計算機，與用戶爭奪系統或數據的控制權，不易被人發現。

3.2 傳染性

病毒可通過各種渠道從受感染計算機復制到其他計算機、存儲設備上。

3.3 傳染渠道廣

病毒可以通過移動存儲設備（U盤）、互聯網、電子郵件以及即時通信軟件比如微信、騰訊QQ等方式入侵計算機系統并不斷傳播。

3.4 潛伏性

病毒可以潛伏在計算機系統而不造成破壞，等滿足一定條件(比如打開某一特定程序、到達某一時間點等)后，就啟動病毒程序對系統進行攻擊。

3.5 破壞力強

計算機U盤病毒一旦發作，輕則造成系統卡頓、影響用戶正常使用，造成系統死機、無法正常操作計算機；重則造成數據丟失、數據損壞、或者被非法加密，用戶無法正常使用計算機中的數據，對企業來講，有可能造成機密數據丟失、大量用戶信息的泄露，從而對企業正常運營造成影響、對個人生命財產安全帶來危害。

3.6 針對性強

部分U盤病毒的編制有針對性，潛伏在個人或企業的計算機系統中，等待時機進行攻擊，進而獲取特定數據或者入侵信息系統。

根據江民病毒疫情監測預警中心2021年7月的統計數據，病毒種類：655種，病毒發現數量：10784個，病毒感染計算機數量：1848臺，新病毒種類：167種，新病毒發現數量：384個，新病毒感染計算機數量：260臺，其中排名前10的病毒感染情況如圖1。

圖1 2021年7月江民病毒疫情監測預警中心月度病毒排名前十數據

圖1中，可通過U盤傳播的Trojan木馬病毒占比達60%。如何防范和處理U盤病毒成為個人和企業計算機使用中必須面對的工作。

U盤病毒的自動播放方式：U盤病毒一般利用操作系統的自動播放功能來運行，U盤病毒也稱Autorun病毒，通過更改AutoRun.inf文件，從而運行計算機中的程序。一般經由修改U盤自帶的AutoRun.inf文件，從而自動運行和傳播內置在U盤中的非法程序的病毒，都可以稱為U盤病毒。隨著U盤、各種SD卡、移動硬盤等各種移動存儲介質的普及，U盤病毒也開始猖獗。病毒首先在U盤中注入病毒程序、更改autorun.inf文件。autorun.inf文件記錄了用戶選擇哪種方式來打開U盤。如果autorun.inf文件指向了病毒木馬，那么運行后，就會激活病毒。有的病毒還會檢測U盤插入操作，檢測到之后會新建一個autorun.inf文件，一個新的帶毒U盤就誕生了。用戶的U盤插入受感染的計算機、拷貝帶毒U盤，都可能感染U盤病毒。用戶使用帶毒U盤時，只要插上U盤，通過計算機系統自動播放或者用戶雙擊打開，就會自動運行病毒編制者預設的程序，從而對計算機系統和數據造成破壞[2]。

4 U盤病毒的防范措施

在了解了U盤病毒的傳播特征和運行原理后，我們可以使用安全移動存儲介質加密工具，普通的U盤或者移動硬盤內數據經過高強度加密處理，用戶在授權計算機使用安全U盤時，輸入安全密碼可以讀取或寫入安全U盤中的數據[3]，這種方式杜絕了用戶雙擊U盤時計算機感染病毒的風險，降低了U盤和計算機之間相互復制傳播病毒的幾率，維護了企業計算機網絡系統的安全，預防和控制了計算機病毒的感染、傳播和擴散的途徑，保證了企業信息系統的正常運行。

除了使用U盤加密來降低病毒感染率，針對U盤的特點和傳播方式，我們還可以使用以下防護措施來防止U盤病毒的入侵：

4.1 關閉系統自動播放功能

操作系統默認情況下，會自動打開插入的光盤或U盤，用戶插入U盤后，會自動運行U盤中autorun指定的程序，病毒通過插入U盤這個簡單的動作，在用戶沒有其他任何操作的情況下，悄悄地運行自帶的惡意程序。為了防范這種傳播方式，我們可以關閉系統在插入U盤時的自動播放功能，關閉后，插入即運行的操作就被阻止了。

關閉自動播放功能：WindowsXp系統用戶可以直接在“開始-運行”中輸入“gpedit.msc”后打開“本地組策略編輯器”。在“計算機配置”或者“用戶配置”下，找到“管理模板”下面的“系統”，在“設置”中找到并配置“關閉自動播放”設置為對所有驅動器“已啟用”即可。

Win7用戶可以在“控制面板”中直接找到并打開“自動播放”選項，把前面的√去掉即可。

我們還可以通過關閉系統相關服務來停止自動播放功能：在“計算機管理”下面的“服務”中找到“Shell Hardware Detection”項，直接改為“已禁用”即可。

4.2 修改注冊表鍵值/備份注冊表

在關閉U盤自動播放功能后，用戶雙擊U盤盤符后，病毒依然會自動運行感染系統，這個時候用戶可以通過修改注冊表鍵值來阻止雙擊操作時U盤內置程序自動運行：在“開始”--“運行”中輸入“regedit”，打開注冊表編輯器，直接查找鍵值“MountPoints2”，找到后右鍵單擊“MountPoints2”；設置權限：把“組或者用戶名”中所有的組或者用戶分別設置“RESTRICTED的權限”為“拒絕”。這樣設置后，系統即便讀取了Autorun.inf文件，相關運行U盤的程序也不會出現在系統的右鍵菜單中，雙擊盤符不會運行Autorun.inf文件，而是直接打開其中的內容，從而阻止了病毒程序的運行。

部分病毒攻擊系統時會通過更改注冊表來運行病毒程序，我們還可以在系統純凈的狀態下，備份注冊表數據，當系統出現異常時，可以通過恢復注冊表來阻止病毒的破壞。

4.3 為磁盤創建Autorun.inf文件夾

因為U盤病毒的傳播離不開Autorun.inf文件，我們可以給磁盤創建一個“Autorun.inf”文件，當U盤病毒嘗試復制時，病毒因無法創建autorun.inf文件，這時就算沒有關閉自動播放功能，雙擊磁盤也不會運行病毒程序[4]。

4.4 使用鼠標右鍵打開U盤

很多用戶在使用U盤時，在插入U盤后直接雙擊盤符打開U盤，如果U盤存在病毒，用戶的雙擊操作，有可能直接被認定為運行U盤中的病毒程序，從而導致用戶的數據遭到破壞。因此，我們在插入U盤后，可以采用在“我的電腦”鼠標右擊盤符打開U盤，或者在“我的電腦”的地址欄中直接輸入U盤盤符，這些操作，避免了雙擊U盤運行U盤內置程序的隱患，這樣操作即使U盤中有病毒程序也不會運行。也可以在插入U盤前，按住“Shift”鍵，再插入U盤，過幾秒后松開，這樣也可以阻止U盤在插入計算機后自動運行U盤內的程序。

4.5 清除U盤病毒

如果用戶在使用中發現計算機中了U盤病毒，我們可以重新啟動計算機，開機時按“F8”，選擇進入安全模式。在“開始”--“運行”中輸入regedit，打開注冊表編輯器，找到“計算機HKEY_CLASS_ROOTDriveShell”，如果下面有鍵值“Autorun”就刪除。如果中毒比較嚴重，就需要專用U盤病毒清除工具：例如USBKiller、USBCleaner等工具來清除，同時檢查計算機是否及時安裝操作系統補丁，殺毒軟件的病毒庫是否升級到最新等。

5 結語

為了維護企業計算機計算機系統以及用戶數據的安全，預防和控制計算機病毒的傳播和擴散，保障企業各項應用系統的穩定以及用戶數據的安全，可以使用一些安全移動存儲介質加密工具對U盤進行加密，能較好地降低U盤病毒傳播的問題，計算機用戶要確保計算機安裝了殺毒軟件并定期查殺病毒、木馬、更新病毒定義碼[5]；使用安全U盤并為操作系統和各個應用系統設置足夠安全的密碼；在使用外來U盤進行數據交換前，首先查殺病毒、木馬；在存儲重要數據的計算機上，專盤專用并使用經過數據加密安全盤，保證數據傳輸的安全性；為防止感染病毒造成數據丟失，涉密的U盤還應做好數據備份、控制使用區域等措施。計算機用戶養成良好的U盤使用習慣，提升企業、個人用戶的病毒防范意識，有助于提升企業、個人用戶數據的安全水平。