2024年4月25日发(作者:)

2008

年第

福建电脑

63

盘病毒及其应对策略

肖海鹏

湖南中医药高等专科学校实验与网络中心湖南株洲

412012

摘要

】【:

盘病毒又称

Autorun

病毒

是通过

AutoRun.inf

文件使对方所有的硬盘完全共享或中木马的病毒

本文详

细的介绍了

盘病毒及其应对策略

关键词

】【:

盘病毒

Autorun.inf

应对策略

引言

07

年底

国家计算机病毒处理中心发布公告称

盘已成

为病毒和恶意木马程序传播的主要途径

随着

移动硬盘

存储卡

MP3

等移动存储设备的普及

,U

盘病毒也随之泛滥起

集中

由于高校校园网网络规模大

用户活跃

盘病毒传播

得更加迅速

目前它已经逐渐成为我们高校网络管理人员最头

痛的问题之一

现将

盘病毒及其应对策略总结成文

供大家

参考使用

盘病毒及其特点

2.1U

盘病毒的概念和攻击原理

盘病毒顾名思义就是通过

盘传播的病毒

又称

Autorun

病毒

是通过

AutoRun.inf

文件使对方所有的硬盘完全共享或中

木马的病毒

Autorun.inf

文件是从

Windows95

开始被使用的

保存着一些简单的命令

告诉系统这个新插入的光盘或硬件应

因此

Autorun.inf

文件

该自动运行什么程序

用来实现自动安装

本身是正常

安全的

但是却也给病毒打开了一个可以攻击电脑

的方便之门

盘病毒就是利用

自动运行

这一漏洞来实现攻击的

攻击原理是

病毒首先向

盘写入病毒程序

建立一个

Autorun.

inf

文件

然后根据这个

AutoRun.inf

文件在注册表

变种速度快

自从发现

盘的

autorun.inf

漏洞之后

盘病毒的数量与日俱增

这些病毒有些是新病毒

而大部分都是

依靠变种得来的

椐金山毒霸网站资料显示

07

12

短短三天之时间内

被称为

安全杀手

AV

结者病毒变种数达到

500

多个

波及人群超过

10

万人

盘病毒的应对策略

目前网络上介绍关于防御

盘病毒的方法主要是关闭自

动播放功能

和使用

盘病毒专杀工具查杀病毒

个人认为防范

及时修补系统漏洞

盘病毒攻击还应该从增加系统免疫功能

养成良好的

盘使用习惯这三方面入手

3.1

关闭自动播放

在运行里面输入

"gpedit.msc",

打开组策略

在用户配置

--

管理模板

--

系统中

可以看到

关闭自动播放

选项

默认是未配

现在将它更改为已启用

关闭自动播放中选择所有驱动器

点确定关闭对话窗口

就已经启用了关闭自动播放了

重新启动

以后

插入

盘将不会自动运行

从而达到防止

盘病毒传播

的效用

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer

sion\Explorer\MountPoints2]

下建立一个

盘的关联项

使

Au-

toRun.inf

文件指向病毒程序

这样电脑用户一旦双击打开

或系统检测插入的

盘并自动运行打开

实际上就是运行了病

毒程序

用户的电脑在不知不觉间就中招了

感染

盘病毒的电脑或

盘一般有以下两个迹象

双击盘符不能打开

点鼠标右键时

右键菜单多了

动播放

"Open"

"Browser"

等项目

打开

电脑磁盘或

盘里多了些不明来历的隐藏文件

文件夹选项

"--"

查看

选中

显示所有文件和文件夹

查看隐藏

文件

如果发现磁盘或

盘里有

Autorun.inf

文件或伪装成回收

站文件的

RECYCLER

文件夹等来历不明的文件或文件夹

是感

盘病毒的迹象

2.2U

盘病毒的特点

常见的

盘病毒很多

比如早些时候的

落雪病毒

威金

病毒

"Rose.exe

病毒

去年的

熊猫烧香病毒

和今年流行的

光标漏洞

病毒

"AV

终结者

他们都有着这样一些共同的特

自动运行性

在磁盘根目录下生成一个名为

Autorun.inf

的引导文件

能够自动执行病毒文件

隐蔽性高

盘病毒本身是以

隐藏文件

的形式存在

而且能伪装成其他正常系统文件夹和文件隐藏在文件目录

不易被察觉

破坏性大

盘病毒的破坏性包括

破坏系统稳定性

坏电脑数据

窃取用户帐号密码信息

禁用杀毒软件等

盘病

毒对高校网管人员来说最大的威胁在于其波及范围广

根据调

查显示

我校

99%

的电脑感染过

盘病毒

严重的影响了校园

网的稳健运行

3.1

关闭自动播放

当然网络上还有其他巧妙的办法

比如在磁盘里建立一个

Autorun.inf

空文件

阻止病毒创建

autorun.inf

文件

使用右键菜

单打开

盘等

3.2

增加系统免疫功能

Windows

系统本身是没有免疫功能的

但是现在很多安全

超级巡警等都有

盘免疫功能

在电脑

工具比如

360

安全卫士

上安装这样一个小工具

开启

盘免疫功能

能自动检测并清除

autorun.inf

文件

取消系统自动运行特性

修复系统磁盘关联

3.3

及时升级杀毒软件病毒库

修补系统漏洞

众所周知病毒通常都是利用系统漏洞

软件漏洞进行攻击

和破坏

因此及时修补系统和软件漏洞能从根本上抵御外来攻

而及时升级杀毒软件病毒库则更是网络安全的保障

前面提

到的

360

安全卫士

QQ

医生等工具能够方便的帮助用户修补系

统漏洞

3.4

养成良好的

盘使用习惯

防止交叉感染

由于众多电脑用户通过

盘进行数据移动

却没有在

接入电脑前进行病毒扫描

病毒便瞄上了这一空档藏身其中

盘的频繁使用而交叉感染其他电脑主机

因此只要我们养

成在

盘使用前先使进行病毒扫描的习惯

盘病毒便无机可

能减少绝大部分电脑中毒的可能性

盘病毒的专杀工具是

查杀

盘病毒的最有效的辅助工具

目前比较流

下转第

41

2008

年第

福建电脑

41

搜索表现优秀的节点

而不是搜索每个节点

对于

K-Random-

发布广播消息来实现端查找与发现功能

某个节点所发出的查

Walker

算法来说

其查

找请求将不断的在网络中扩散

最终会到达网络上所有的节点

询冗余规模为

(k-1)*p/

由于

Internet

是一种强连通的拓扑结构

泛洪算法会产生大量无

但是其查询速度相比

用的查找信息

容易产生网络广播风暴

为了避免这种情况发于单个漫游消息提高了

人们往往限制广播范围

搜索消息被设置了一个初始的

TTL

这个算法通过

(Time-To-Live)

TTL

用来控制消息在网络上存留的时间

控制查询的规模

较好

条消息将不会在网上被无限次的转发

每当消息到达一个节点的控制了查询的冗余

准备再次转发前

该节点都会检查该消息的

TTL

如果

TTL

K-Random-Walker

则抛弃该消息

反之

TTL

再向其他节点转发

这样做

算法搜索原理如图

将减小泛洪时的通信量

但是

TTL

不易设置过小

否则可能导

随机步算法算法

致查找失败

结论

通过对对等网络搜索算法的研究

发现其自身还存在着许

4.3Iterative-Deepening/Expanding-Ring

算法

迭代深入算法

(IterativeDeepening)

又被称为

Expanding

多问题

对于有结构的对等网

算法实现相对简单

查找效率高

Ring

算法

[6]

其本质上是一种广度优先的算法

采用的也是洪泛

请求的机制

该算法仍然是通过在查询过程中对查询消息的生是基于结构查找方式容易出现网络中的瓶颈

这种算法的网络

命期进行控制来实现初步的查询满足截止

该算法的前半部分扩展性差

目前大量实际应用还大都是基于无结构的拓扑和洪

Gnutella

算法完全一样

只是在后半部分加入了

睡眠激活

泛广播机制

大多采用

DHT

方式的对等网络缺乏

Internet

大规

模真实部署的实例

成功应用还比较少见

[7]

来进一步控制查询规模

对于无结构的对等网

需要考虑查询截止问题

迭代深入算法的具体实现为

查询时节点先发起一个较小当用户需要

TTL

当查询消息到达最外层的节点时

消息的生命期正好为

P2P

网络中获取信息时

他们预先并不知道这些信息会在那

此时将所有的查询消息都暂时休眠

等待查询结果返回给查

个节点上存储

因此

在无结构

P2P

网络中

信息搜索的算法难

询请求点

请求点先判断收到的结果是否己满足要求

若已满

免带有一定的盲目性

还要考虑冗余开销

由于算法没有提供有

就停止查询

若不满

效的查询截止算法

不能及时地停止查询

带来了大量的查询冗

就沿着原来的路径洪

余开销

目前已有了等级制的组成结构

或者还可以采用分组搜

并将相应的休眠节点索的思想

总之

搜索算法应有效地改进了资源搜索的盲目性

减少查

激活同时增加该节点查询

询带来的网络流量

提高了查询成功率

网络应该控制用户共享

的生命期

从而进行进一

步的查询

当这一轮的查

的信息

提高用户获得有用信息的效率

询又完成的时候

所有的

参考文献

外层节点再次休眠

等待

1.

周文莉

吴晓非

.P2P

技术综述

[J].

计算机工程与设计

.2006.1

77 ̄78

查询请求点判断查询结果

2.JordanRitter.WhyGnutellacan'tscale.Inhttp

//www.org/gnutella.

是否己经满足

如此循环

html

直到找到满意的结果结

3.ZhaoB.y

HuangL

Stribling.J

Rhea.S.C.JosePh

A.D

KubiatowiczJ.

搜索原理如图

所示

迭代深入泛洪算法

"Tapestry

AResilientGlobal-ScaleOverlayforServiceDeployment"

4.4K-Random-Walker

算法

SelectedAieasinCommunications

IEEEJournalon

Volume

22

Issue

随机步算法

(K-Random-Walker)

算法

该算法是盲搜索算法

Jan.2004Pgaes

41-53

在这种算法中请求节点开始时可

中采用了漫游类策略的典范

[6]

4.K.Sripanidkulchai

B.Maggs

andH.Zhang

EfficientContentLocation

以决定发送查询信息的数量

并且在每一次查询时都可以控制

UsingInterest-BasedLocalityinPeer-to-PeerSystems.InProc.ofthe

每轮的查询规模不会改变

K-Random-Walker

算法中

通过

INFOCOM'2003

将查询请求只发送给一小部分邻居节点

随机步算法能够大大

5.Q.Lv

P.Cao

E.Cohen

K.Li

andS.Sheker

"Searchandreplicationin

减少查询的对等点个数

另外

随机步算法选择的是以往表现优

unstructuredPeer-to-PeerNetworks.inProc.ofthe16thACMinterna-

秀的节点

减少的是以往表现不优秀的节点

因此查询的结果数

tionalconferenceonSupercomputing

2002

查询的响应时间等在很大程度上能够得到保障

随机步算法

6.A.CrespoandH.Garcia-Molina.Routingindicesforpeer-to-peersys-

假设过去表现优秀的节点将来也会表现优秀

但是

这个假设不

tems.InProc.ofthe28thConferenceonDistributedComputingSystems

是永远都成立的

而且

如果资源恰恰存放在过去表现不好的节

July2002

唐辉

张国杰等

一种混合

P2P

网络模型研究与设计

[J].

计算机应用

点上

采用随机步算法就会搜索不到资源

因为随机步算法只会

7.

2005.3

522 ̄524

4.2Gnutella

洪泛算法

Gnutella

洪泛算法是典型的无结构对等网络的盲搜索算法

之一

P2P

网络中

对等点通过泛洪算法向网络中其它对等点

上接第

63

行的专杀工具有

360

安全卫士

USBcleaner

结束语

防范

盘病毒的攻击

关键点在

Autorun.inf

文件身上

要用户养成良好的

盘使用习惯

关闭自动播放或增加系统免

疫功能

及时修补系统漏洞

更新杀毒软件病毒库

相信你能远

盘病毒的侵害

参考文献

1.

全面认识并防范

盘病毒

计算机与网络

[J].2007

11

P32

2.

刘强

揭开

AutoRun

功能的神秘面纱

电子制作

电脑维护与应用

[J].

2005

P24-25