經常使用u盤的朋友可能多次遇到過u盤病毒。u盤病毒是壹種新型病毒,主要通過u盤和移動硬盤傳播。目前幾乎所有這些病毒最大的特點就是利用autorun.inf進行入侵,但實際上autorun.inf相當於壹個感染途徑,通過這個途徑入侵的病毒理論上是“任何”病毒。所以妳在網上可以發現,在搜索autorun.inf的時候,附帶的病毒往往會有不同的名字,就是這個原因。就像身體上有壹個傷口,可能進入的細菌不止壹種,不同環境下可能進入的細菌也可能不壹樣,甚至是艾滋病病毒。這個autorun.inf就是傷口。所以目前還不能簡單說u盤病毒是什麽,導致查殺混亂,因為u盤病毒不止壹個或者幾十個,具體數字誰也不要統計。
現在來說說所謂的傷口autorun.inf...
首先,autorun.inf這個文件已經存在很久了。在Win98之前的其他windows系統中(如Win98,2000等。),如果需要在機器中插入光盤或u盤自動運行,就得依靠autorun.inf,這個文件保存在驅動器的根目錄下(是壹個隱藏的系統文件)。它保存了壹些簡單的命令,告訴系統這個新插入的CD或硬件應該自動啟動什麽程序,或者告訴系統將其驅動器號圖標更改為某個路徑中的圖標。所以這本身就是壹個約定俗成的合理的文檔和技術。
但相信妳也註意到了,上面反復提到“自動化”,這才是關鍵。病毒作者可以利用這壹點,讓移動設備“自動”執行任何命令或應用程序,而用戶的系統根本不知道。所以通過這個autorun.inf文件可以放置正常的啟動程序,比如我們經常使用的各種教學光盤,只要壹插入電腦就會自動安裝或者演示;您也可以通過這種方式放置任何可能的惡意內容。
這裏說壹下計算機病毒:和生物界的情況壹樣。細菌、病毒和人類都是有機體。即使在大多數情況下,這些微生物也不是完全有害的,它們也會和人體壹起存在。計算機中的病毒和正常程序壹樣,都是使用基本原理壹致的源代碼編寫和執行的,只是軟件執行的是用戶需要的正常功能,而病毒執行的是用戶不需要的異常功能。這裏面有壹個辯證的相對性。舉個簡單的例子,比如熟悉電腦的朋友都知道Format和del這兩個DOS命令分別代表格式化硬盤和刪除文件。假設我在autorun.inf中使用了format或者del命令,那就意味著我可以格式化別人的機器或者刪除壹些文件,這其實並不需要太高深的計算機知識。
說完autorun.inf,然後說說目前u盤病毒的隱藏方式:
用啟動的方法,病毒作者肯定需要把病毒的主體放入光驅或者u盤中才能運行,但是如果公然放入u盤中,肯定會被用戶發現並刪除(即使妳不知道是病毒,即使不是自己的未知文件也會被刪除),所以病毒肯定會被隱藏並存儲在正常情況下看不到的地方。壹種是假回收站模式:病毒通常會在u盤上創建壹個名為“RECYCLER”的文件夾,然後將病毒隱藏在壹個深層目錄中。大多數人以為這是回收站,但實際上回收站的名字是“Recycled”,兩者的圖標是不同的:
還有壹種方式就是假冒殺毒軟件:病毒把壹個程序放到u盤裏,改名為“RavMonE.exe”,很容易讓人以為是瑞星的程序,其實是病毒。
也許有人會問,為什麽妳的機器上能看到上面的文件,我的機器卻看不到?很簡單,平時的系統安裝會默認隱藏壹些文件夾和文件,病毒會把自己改造成系統文件夾、隱藏文件等。壹般情況下,當然不會看出來。我該怎麽做才能讓自己看到隱藏的文件?個人操作,按照以下步驟:打開我的電腦,點擊菜單欄上的工具,點擊文件夾選項,會出現壹個對話框,選擇查看選項卡,然後對照下圖:
如果u盤攜帶了上述病毒,就會出現另壹種現象。當妳點擊u盤的時候,會有更多的東西:
上圖左邊是壹個帶病毒的u盤,右鍵菜單多了“自動播放”、“打開”、“瀏覽器”等項目。右邊是殺毒之後,沒有這些項目。這裏請註意:所有帶有Autorun.inf的手機媒體,包括光盤,都會有壹個“自動播放”菜單右鍵,這是正常功能。
總而言之:
引用
目前u盤病毒都是通過Autorun.inf進入;
Autorun.inf本身是壹個正常文件,但是它可以被用於其他惡意操作。
不同的人可以通過Autorun.inf放不同的病毒,所以不能簡單的說是什麽病毒,可以是所有的病毒,木馬,黑客程序等等。
壹般情況下,u盤不應該有Autorun.inf文件;
如果發現u盤有Autorun.inf,並且不是自己創建的,請盡快刪除並查毒;
如果有看起來像回收站和瑞星文件的文件,並且通過對比回收站名稱和硬盤上正版瑞星名稱可以確認內容不是妳創建的,請刪除;
同時,壹般建議插入u盤時不要雙擊。另外,還有壹個更好的技巧:在插入u盤之前,按住Shift鍵,然後插入u盤。建議長時間按鍵。插入後,右擊u盤,選擇“Explorer”打開u盤。
註意:有些u盤廠商可能也會使用Autorun.inf來設計自己的功能,目的是為了讓用戶執行廠商的特色程序。經證實,確實有部分廠商采用這種方式,建議先鑒別u盤,或者咨詢銷售人員。
讓我們來談談RavMon.exe病毒的解決方案:
昨天有人在她的u盤上發現了病毒,KV報了壹個RavMonE.exe文件,也是最經典的u盤病毒...
引用
RavmonE.exe病毒運行後,會有壹個同名的進程,看起來危害不大。程序大小3.5M,好像是用Python寫的。壹般占用19-20M左右的資源,作為系統文件隱藏在Windows目錄下,自動添加到系統啟動項中。其生成的日誌文件往往包含不同的六位數字,估計可能存在竊取賬號密碼等危害。但由於疑似病毒文件過於龐大,壹般會借助移動存儲進行傳播。
解決方案:
1.打開任務管理器(ctrl+alt+del或右鍵單擊任務欄)終止所有ravmone.exe進程。
2.輸入C: \ Windows並從中刪除ravmone.exe。
3.輸入C: \ Windows,運行regedit.exe,點擊左邊的HK _ loa cal _ machine \ software \ Microsoft \ Windows \ current version \ run \右邊可以看到C:\ Windows \ ravmoney.exe的壹個值,刪除。
4.完成後,病毒被清除。
如何查殺u盤裏的病毒:
對於移動存儲設備,如果中毒了,勾上隱藏在文件夾選項中的受保護的操作系統文件,點擊顯示所有文件和文件夾,點擊確定,就會看到移動存儲設備中有以下文件:autorun.inf,msvcr71.dl,ravmone.exe,全部刪除,還可以刪除壹個後綴為tmp的文件。完成後,病毒將被刪除。
不過,對於上述處理u盤中病毒的方法,我在親身體驗後做壹點補充:刪除autorun.inf、msvcr71.dl、RavMonE.exe三個文件時,可能不會直接刪除。妳應該先去進程管理,然後在刪除這三個文件之前完成RavMonE.exe。如果不夠,妳可以在安全模式下刪除它們,這樣就可以了。
總結:
不要以為這是壹個小病毒,它是無意識的在後臺運行,它會長時間占用妳差不多20M的內存,它會從系統開始。它會莫名其妙地讓妳的電腦在沈默中死去。我相信這種病毒在學校、公司等公共電腦中非常流行。這個病毒格式化不了u盤,用很多殺毒軟件也沒問題。壹般是看不出來的。如果妳不相信我,妳可以將u盤插入妳的電腦,然後“勾掉隱藏在文件夾選項中的受保護的操作系統文件”。看…妳可能會看到三個未知文件,那麽妳已經中招了!有空檢查壹下妳的u盤!祝妳好運!註意:如果進程是Ravmon.exe,這應該是壹個瑞星程序,而不是病毒!
妳可以看看這個。