一眼看出U盘病毒

U盘病毒真是麻烦……特别是在没有很好的安全软件的电脑上。为了防止U盘中毒、你的电脑中毒,或者成为病毒的传播者,了解中毒U盘的特点及其应对方法是很必要的。在本文中,不仅可以学到一些判断方法,还可以学会在不安全的电脑环境中使用U盘时尽量减少中毒或反复中毒的机会,并做一些预防措施,养成良好的使用习惯。

中间会插播一些技巧及安全使用等知识。操作时请谨记:特别是在安全软件没有或较弱的情况下,千万别手贱,轻手轻脚,按稳键盘按准鼠标。一下运行一堆病毒文件概不负责。

如何分辨中毒U盘

这里只介绍目测法及简单的判断方法,用安全软件就不多说了。首先,插入U盘时图标不是默认的灰色图标(或者自己设置的图标,见下文),那么恭喜中招。例如有些笨病毒会把图标改成文件夹图标。右键点击U盘图标,发现有“自动播放”,就有病毒。如果双击U盘后新窗口弹出(包括点击文件夹后新窗口弹出),就说明已不幸执行病毒。

〖技巧:安全地打开U盘〗

  1. 在自动播放窗口中选择“打开文件夹以查看文件”。(推荐)
  2. 使用“资源管理器”,即在左边可以看到文件夹的树形列表的窗口,在树形列表中点击U盘来打开。
  3. 在“我的电脑/计算机”窗口中U盘盘符位置右键,点最后一个打开。(没有进行仔细测试)
  4. 用压缩软件如WinRAR、7-zip等打开。也可以用来杀毒,之后我会说到。(其他的特别是国产软件我不保证其支持无视隐藏属性。)

第二,打开U盘后,观察界面。最好的情况,显示出隐藏的autorun.inf文件,就知道中毒了。或者有RECYCLER文件夹,也是一种中毒的迹象,因为病毒经常藏身于此地,由于我们知道,U盘的“回收站”是没有意义的。

〖说明:autorun.inf〗

什么是autorun.inf?这是Windows系统中用于让系统知道对于各驱动器应该以什么方式打开。例如双击驱动器图标会运行此文件所指示的程序,图标也可以根据此文件更换。它并不是病毒,而是一种系统文件,可以加以很好的利用。就例如很多光盘插入后会有图标,并运行程序,这就是这个文件所带来的功能。但由于可以用它来规定进入驱动器时所要运行的程序,并且能更改右键菜单,恶意程序于是就利用这个功能来传播。Windows XP及以下版本都存在这个漏洞,所以病毒得以广泛传播。虽然以上版本修复了这个漏洞,但也不能大意,因为病毒还可能有别的传播途径。

以上情况都没有出现,那是很正常的,也不一定代表没有病毒,请继续听下去。第三,观察文件类型。看图。

U盘中毒范例

看出什么问题来了吗?文件类型为“应用程序”的“文件夹”,而真正的文件夹被隐藏了。另外由于各种原因,在这里像“SYSTEM”这种可疑程序显示了出来,于是即可判定为中毒,且为文件夹类型。

另外,此法还有一些引申方法。比如观察修改日期,最近修改且日期时间基本相同者,即为病毒动了手脚。特别是放在外面的应用程序(还可能有网页文件、快捷方式等),如果出现了这种情况,请不要运行,因为感染了通过修改exe传播的病毒。再比如这些“文件夹”都是几十几百KB的,也就是病毒了。此时用“打开”、“保存”对话框时打开U盘无法看见文件夹。在Windows Vista/7中,出现XP风格的文件夹图标,而不是应该有的图标,一下子就可认定为中毒了。

最后,关闭所有可能使用U盘的程序,停止安全软件扫描,尝试多次无法安全弹出的,说明病毒可能正在遍历U盘文件,感染U盘,此时应立即拔出。

如何快速减少危害

为什么不说杀毒呢?因为如果可执行文件感染了没有杀毒软件很难知道。这里不使用直接清除方法,像什么显示隐藏文件(有需要知道的自己查)之类,因为在染毒的机器上很可能无法显示隐藏文件、反复感染及隐藏。打开WinRAR、7-zip等压缩软件(其他的特别是国产软件我不保证其支持无视隐藏属性),定位到U盘根目录,删除autorun.inf文件、RECYCLER文件夹(病毒多在此地藏身)以及与已存在文件夹同名的exe文件,如果有什么十分可疑的文件一并删除(如“__D__.lnk”、“system.exe”、“MS-DOS.COM”等等,只要确知不是自己放进去的可疑文件就可以删除,或者拿压缩软件备份一下后删除)。此时可能文件夹都没有了,要修改隐藏属性。点开始,运行attrib -S -H X:\* /S /D(X为U盘盘符)后,隐藏文件即可恢复。

如何进行简易预防

在U盘建立RECYCLER文件(无后缀名)、autorun.inf文件夹,并设只读、隐藏、系统属性(系统属性不会也可以不设置)。即可以预防用自动运行传播的病毒。

〖技巧:禁止自动播放〗(仅适用于Win 2000、2003及XP)

更改注册表 “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\policies\Explorer\NoDriveTypeAutorun”键值为“241”。或者可以使用我制作的工具“自动运行分类设置”。

〖高级技巧:设置U盘个性化图标〗

autorun.inf的基本文件结构:
[autorun] open=xxx.exe icon=xxx.exe

当然还有别的用法,这里不细讲。把个性化图标(ico格式)放在U盘根目录并创建autorun.inf文件。设置U盘个性化图标时将open那句去掉,把icon那句改为图标的文件名(xxx.ico)。把图标、autorun.inf设置只读、隐藏、系统属性。这样既有了个性化的图标,又能在图标消失或改变时得知U盘的中毒情况。

推荐软件列表

使用以下软件可以更有效地手工消灭病毒木马:XueTr/PCHunterPowerTool、Wsyscheck。主要供对Windows系统较为熟悉的人使用。使用时须小心,不懂的功能选项就不要使用。前文提到的“自动运行分类设置”也不错。