大東話安全之「隱形」的病毒

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網路病毒，講述54個不同的網路病毒和網路安全故事，以及如何進行針對性防禦的建議。

一、讖曰

《哈利·波特》：隱身斗篷是波特家族代代相傳的寶物，能讓使用者「完全隱形」。

東哥：AutoRun 是U盤病毒代代相傳的套路，能在受害電腦上「隱形「。

小白：掀起你的頭蓋骨，讓我看看你的臉~

二、病毒通緝令

小白：這！難道就是傳說中的血！滴！子！以革為囊，內藏快刀數把，控以機關，用時趁人不備，囊罩其頭，撥動機關，首級立取……

大東：看不出來，咱小白還是個武俠迷啊。

小白：嘿嘿，一點點，一點點~所以大東東，這到底是啥呀？

大東：這血，歐不，AutoRun 是一種利用可移動存儲介質進行傳播的蠕蟲分類，能夠在磁碟根目錄和插入的可移動存儲介質的根目錄下創建一個 autorun.inf 的文件，並將蠕蟲本體複製過去，在雙擊磁碟時，自動運行 autorun.inf 指定的蠕蟲本體。

小白：不明覺厲……

大東：別急，咱繼續說。

三、U盤流行病毒

小白：大東東，AutoRun 到底是啥？

大東：你有沒有遇到過u盤打不開的問題？就是那種，雙擊後提示拒絕訪問，右鍵單擊菜單的前幾項都是英文。

小白：有哇，我同學也遇到過呢~

大東：這就是U盤中了 AutoRun 的癥狀。

小白：啊！原來是中毒了啊！

大東：不少人都跟你一樣，不明白這是病毒，對此置之不理，覺得也就是麻煩一點，用U盤時得使用右鍵打開。但其實這就是 AutoRun 病毒，有的也叫 rose 病毒。

小白：可是，除了這點，AutoRun 好像也沒找我啥麻煩。

大東：恐怕是找了你還不知道。大部分 AutoRun 病毒通過U盤、移動硬碟等存儲設備傳播，感染系統後會佔用大量 CPU 資源，可能會引起部分操作系統崩潰，開機後又反覆重啟，無法進入系統。此外，它還有可能刪除你盤中的 word 文檔等文件。

小白：不說不知道，一說嚇一跳啊！

隱身術

大東：此病毒作用機理是在各個盤的回收站中複製 autorun.exe 病毒體，同時創建 autorun.inf 自運行文件。

小白：這倆都是病毒幹壞事兒用的嗎？

大東：其實啊，autorun.inf 這個文件是很早就存在的。在 WinXP 以前的其他 Windows 系統，比如 Win98，2000，需要讓光碟、U盤插入到機器自動運行的話，就得靠 autorun.inf。這個文件是保存在驅動器的根目錄下的，是一個隱藏的系統文件，它保存著一些簡單的命令，告訴系統這個新插入的光碟或硬體應該自動啟動什麼程序，也可以告訴系統將它的盤符圖標改成某個路徑下的 icon。這本身是一個常規且合理的文件和技術。

U盤裡的 autorun.inf 文件

小白：原來它本身是個好東西呀~

大東：病毒作者正式利用了 autorun.inf 的自動功能，讓移動設備在用戶系統完全不知情的情況下，「自動」執行任何命令或應用程序。因此，通過這個 autorun.inf 文件，可以放置正常的啟動程序，也可以放置任何可能的惡意內容。

小白：原來是這樣啊~~

大東：有了啟動方法，病毒作者肯定需要將病毒主體放進光碟或者U盤裡才能讓其運行的，但是堂而皇之地放在U盤裡肯定會被用戶發現而刪除。

小白：即使不知道其是病毒，不是自己的不知名文件我也會把它刪除的！

大東：所以，病毒肯定會隱藏起來存放在一般情況下看不到的地方了。

小白：怎麼個手法？

大東：它有兩種辦法。一種是假回收站——病毒通常在U盤中建立一個「 RECYCLER 」的文件夾，然後把病毒藏在這裡很深的目錄中。一般人以為這就是回收站了，而事實上，真回收站的名字是「 Recycled 」，而且兩者的圖標是不同的。

真假回收站

小白：狡猾的病毒！

大東：另一種是假冒殺毒軟體——病毒在U盤中放置一個程序，其名為「 RavMonE.exe 」，這很容易讓人以為是瑞星的殺毒程序，但其實是病毒。

小白：噢~這都是病毒的套路！不過啊大東東，我咋沒在我的電腦上看到這些文件咧？

大東：剛才不是說，病毒會隱藏自己嘛。要想看到隱藏的文件，也非常簡單，按照下邊步驟：

打開「我的電腦」，在菜單欄上選擇「工具」，點擊「文件夾選項」；

在出現的對話框中選擇「查看」；

在高級設置一欄中，選中「隱藏文件和文件夾」的「顯示文件和文件夾」。

這樣就可以啦。

顯示隱藏文件

小白：good job~

不要auto要手動

小白：誒，現在病毒這麼聰明，讓我們普通用戶怎麼活啊~~

大東：慌啥，目前的U盤病毒都是通過 autorun.inf 傳播的，一般情況下，U盤不應該有 autorun.inf 文件，如果發現U盤有 autorun.inf，且不是你自己創建生成的，就刪除它，並且儘快查毒。如果有貌似回收站、瑞星文件等的文件，而你又能通過對比硬碟上的回收站名稱、正版的瑞星名稱，同時確認該內容不是你創建生成的，就刪掉它。

小白：看到U盤裡的 autorun.inf 文件就得當心！

大東：有些U盤製造商可能也會利用 autorun.inf 來進行特色設計，目的是為了讓用戶可以使用廠商的特色程序。所以呀，你也別看到 autorun.inf 就緊張，在購買U盤時問問銷售人員吧。

小白：還有這種操作！

大東：U盤使用方便，但也很容易因為插入陌生電腦而感染上病毒。我有個使用U盤的小技巧，想知道不~

小白：大東東，快說！

大東：以後你在插入U盤前，先按住 Shift 鍵，然後再插入U盤，按鍵的時間長一點。插入後，也不要雙擊U盤，用右鍵點擊U盤，選擇「資源管理器」來打開U盤。

小白：漲姿勢了！

大東：除此之外，你還也可以通過下面的步驟來關閉自動播放設置來預防病毒的感染。

點「開始」「運行」；

在對話框中輸入「gpedit.msc」，「點擊確定」；

在組策略「計算機配置」「管理模板」「系統」，雙擊「關閉自動播放」；

在「設置」中選「已啟用」，「關閉自動播放：所有驅動器」，最後點擊「確定」。

關閉自動播放設置

小白：回去就弄~

大東：當然，最重要的是，對外來優盤、下載的文件查殺病毒後再使用，避免訪問非法網站、個人網站等危險站點。

小白：記住啦~~

四、小白內心說

小白：大東東，這個隱藏病毒聽你說來，還真可怕。

大東：不可怕的病毒不是好病毒~

小白：那有什麼方法預防這個 rose 病毒么？

大東：他是通過什麼傳播的？

小白：主要通過U盤。

大東：然後呢？怎麼預防？

小白：我問你的耶。

大東：你自己想想。

小白：我知道了別到處亂插U盤就好了啊。

大東：真聰明。

小白：哈哈~

五、話說漫威

大東：話說滿大人……

小白：大東東也看古裝劇啊~

大東：我說的是漫威世界裡的超級反派滿大人，他是鋼鐵俠的頭號死敵。

小白：哦哦，您說~

大東：他是含著金湯匙出生的富家大少爺，錢多得下輩子都花不完。而在他最風光的時刻，他選擇隱居，投入到蠕蟲研究中。

滿大人

小白：（小聲）大東東又來開腦洞了。

大東：你說啥？

小白：沒沒沒~

大東：經過千辛萬苦，滿大人研製出一種利用可移動存儲介質進行傳播的蠕蟲 AutoRun，能夠在磁碟根目錄和插入的可移動存儲介質的根目錄下創建一個 autorun.inf 的文件。

小白：還能將蠕蟲本體複製過去，在用戶雙擊磁碟時，自動運行 autorun.inf 指定的蠕蟲本體。

大東：小白腦子越來越好使啦。

小白：本來就很好使~~

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！