當心U盤病毒和Autorun.inf文件分析 [圖]

http://www.enorth.com.cn　 2006-10-31 14:43

　　最近，有關U盤病毒的情況非常嚴重，以湛江年會為例，在各人遞交的U盤上，發現有病毒的比例可以高達90%。

　　這裡記錄一下有關此病毒的一些個人看法：
　　首先，目前幾乎所有這類的病毒的最大特征都是利用autorun.inf這個來侵入的，而事實上autorun.inf相當於一個傳染途徑，經過這個途徑入侵的病毒，理論上是『任何』病毒。因此大家可以在網上發現，當搜索到autorun.inf之後，附帶的病毒往往有不同的名稱，正是這個道理。就好像身體上有個創口，有可能進入的細菌就不止一種，在不同環境下進入的細菌可以不同，甚至可能是AIDS病毒。這個autorun.inf就是創口。因此目前無法單純說U盤病毒就是什麼病毒，也因此導致在查殺上會存在混亂，因為U盤病毒不止一種或幾十種，詳細的數字應該沒人去統計吧。

　　現在先說說autorun.inf這個所謂的創口吧……
　　首先，autorun.inf這個文件是很早就存在的，在WinXP以前的其他windows系統（如Win98，2000等），需要讓光盤、U盤插入到機器自動運行的話，就要靠autorun.inf。這個文件是保存在驅動器的根目錄下的（是一個隱藏的系統文件），它保存著一些簡單的命令，告訴系統這個新插入的光盤或硬件應該自動啟動什麼程序，也可以告訴系統讓系統將它的盤符圖標改成某個路徑下的icon。所以，這本身是一個常規且合理的文件和技術。

　　但相信你已經注意到，上面反復提到『自動』，這就是關鍵。病毒作者可以利用這一點，讓移動設備在用戶系統完全不知情的情況下，『自動』執行任何命令或應用程序。因此，通過這個autorun.inf文件，可以放置正常的啟動程序，如我們經常使用的各種教學光盤，一插入電腦就自動安裝或自動演示；也可以通過此種方式，放置任何可能的惡意內容。

　　這裡再說說計算機病毒：跟生物界的狀況是一樣的，細菌、病毒跟人類都是生物體，甚至在大部分情況下，這些微生物也並非完全有害，也會與人體共存。電腦中的病毒跟正常程序一樣，都是使用基礎原理一致的源代碼編寫、執行的，只是軟件執行的是用戶需要的、正常的功能，病毒執行的是用戶不需要的、不正常的功能，這裡有一個辯證的相對性在裡面。簡單的例子，比如稍微熟悉電腦的朋友都知道Format、del的DOS命令代表格式化硬盤和刪除文件，假設我autorun.inf中使用了Format或del命令，那麼表示我可以讓別人的機器被格式化，或者刪除了一些文件，而這其實不需要太高深的電腦知識。

　　說完autorun.inf，再說說目前相關的U盤病毒的隱藏方式：
　　有了啟動方法，病毒作者肯定需要將病毒主體放進光盤或者U盤裡纔能讓其運行的，但是堂而皇之的放在U盤裡肯定會被用戶發現而刪除（即使不知道其是病毒，不是自己的不知名文件也會刪除吧），所以，病毒肯定會隱藏起來存放在一般情況下看不到的地方了。一種是假回收站方式：病毒通常在U盤中建立一個『RECYCLER』的文件夾，然後把病毒藏在裡面很深的目錄中，一般人以為這就是回收站了，而事實上，回收站的名稱是『Recycled』，而且兩者的圖標是不同的：



　　另一種是假冒殺毒軟件方式：病毒在U盤中放置一個程序，改名『RavMonE.exe』，這很容易讓人以為是瑞星的程序，其實是病毒。

　　也許有人會問，為什麼在你的機器上能看到上面的文件，我的機器看不到呢？很簡單，通常的系統安裝，默認是會隱藏一些文件夾和文件的，病毒就會將自己改造成系統文件夾、隱藏文件等等，一般情況下當然就看不到了。要讓自己能看到隱藏的文件，怎麼辦？個人如操作，按如下步驟：打開『我的電腦』，在菜單欄上點『工具』，點『文件夾選項』，出現一個對話框，選擇『查看』標簽，然後對照下圖：



　　如果U盤帶有上述病毒，還會一個現象，當你點擊U盤時，會多了一些東西：



　　上圖左側是帶病毒的U盤，右鍵菜單多了『自動播放』、『Open』、『Browser』等項目；右側是殺毒後的，沒有這些項目。這裡注明一下：凡是帶Autorun.inf的移動媒體，包括光盤，右鍵都會出現『自動播放』的菜單，這是正常的功能。　

　　綜上所述：
　　引用
　　目前的U盤病毒都是通過Autorun.inf來進入的；
　　Autorun.inf本身是正常的文件，但可被利用作其他惡意的操作；
　　不同的人可通過Autorun.inf放置不同的病毒，因此無法簡單說是什麼病毒，可以是一切病毒、木馬、黑客程序等；

　　一般情況下，U盤不應該有Autorun.inf文件；
　　如果發現U盤有Autorun.inf，且不是你自己創建生成的，請刪除它，並且盡快查毒；
　　如果有貌似回收站、瑞星文件等文件，而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱，同時確認該內容不是你創建生成的，請刪除它；

　　同時，一般建議插入U盤時，不要雙擊U盤，另外有一個更好的技巧：插入U盤前，按住Shift鍵，然後插入U盤，建議按鍵的時間長一點。插入後，用右鍵點擊U盤，選擇『資源管理器』來打開U盤。

　　注：部分U盤制造商可能也會利用Autorun.inf進行自己的特色設計，目的是為了讓用戶執行廠商的特色程序。已確認部分廠商確實使用了這種方式，因此建議購買U盤是先做識別，或諮詢銷售人員。

　　下面說說RavMon.exe病毒的解決辦法吧：
　　昨天某人發現她的U盤有病毒，KV報出一個RavMonE.exe文件，這個也是最經典的一個U盤病毒了……
　　引用
　　RavmonE.exe病毒運行後，會出現同名的一個進程，該程序並貌似沒有顯著危害性。程序大小為3.5M，貌似用Python寫的，一般會佔用19-20M左右資源，在Windows目錄內隱藏為系統文件，且自動添加到系統啟動項內。其生成的Log文件常含有不同的六位數字，估計可能在有竊取帳號密碼之類的危害吧，不過由於該疑似病毒文件過於巨大，一般隨移動存儲器傳播。

　　解決方法：
　　1、打開任務管理器（ctrl+alt+del或者任務欄右鍵點擊也可），終止所有ravmone.exe的進程。
　　2、進入c：\windows，刪除其中的ravmone.exe。
　　3、進入c：\windows，運行regedit.exe，在左邊依次點開HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項數值是c：\windows\ravmone.exe的，把他刪除掉。
　　4、完成後，病毒就被清除了。

　　殺掉U盤中的病毒的方法：
　　對移動存儲設備，如果中毒，則把文件夾選項中隱藏受保護的操作系統文件鉤掉，點上顯示所有文件和文件夾，點擊確定，然後在移動存儲設備中會看到如下幾個文件，autorun.inf，msvcr71.dl，ravmone.exe，都刪除掉，還有一個後綴為tmp的文件，也可以刪除，完成後，病毒就清除了。

　　但對於上面的處理U盤中的病毒的方法，經過我的親身經歷後作小小補充：就是在刪除autorun.inf，msvcr71.dl，RavMonE.exe這三個文件時，直接刪可能會刪不掉的，要先到進程管理那了先結束RavMonE.exe再刪除這三個文件，如果還不行就到安全模式裡刪，這樣就一定行。

　　小結：
　　不要以為這個是小小的病毒，它是不知不覺的在後臺運行的，它長期會佔用你差不多20M內存，它隨系統啟動。它會莫名奇妙的使你的計算機在沈默中死亡。相信這病毒在公共的計算機中非常流行，例如學校，公司等。這個病毒任你格式化U盤也格不掉，用很多殺毒軟件也奈它不何。一般讓你看不出來，不信你可以把U盤插入電腦中再把『文件夾選項中隱藏受保護的操作系統文件鉤掉』，看看……你可能見到多出了三個不明的文件，那你就是中招了！有空檢查一下你的U盤吧！祝你好運！注意：如果進程是Ravmon.exe ，這個應該是瑞星的程序而不病毒！