对最近泛滥U盘病毒有感``

   幕:下文提到的工具，由于是江民社区的连接，所以需要注册，其实可以自己自己网上搜索下载，我网盘也有~~呵呵

 

[url]http://free.ys168.com/?gudugengkekao[/url]

 

[url]http://free.ys168.com/?gudugengkekao1[/url]

 

最近例如随机数字\字母的U盘病毒相当猖狂，变种较多，如果杀软没有及时收入病毒库的话，那么可能无法清除（反被病毒干掉）。此类病毒隐蔽性高，用常规方法无法发觉，但中毒症状明显，并配合关闭杀软进程、禁安全工具服务、远程下载木马等一系列恶劣行为。由于安全工具无法运行，这时候只能手工杀毒了````下面我来针对这些U盘病毒的技术做简单介绍。

 

1、Autorun.inf

  一个暗藏杀机的文本格式，很多情况下我们把它视为敌人，经过精心设计的Autorun.inf，它会以各种方式激活病毒，不过这此之前它仅仅是个傀儡。如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。

解决方法：

 

关闭“自动播放”功能，删除Autorun.inf

关闭自动播放功能：

 

开始―运行―gpedit.msc

计算机配置―管理模板―系统―停用自动播放―设置为“已启用”―选上所有驱动器―确定

此主题相关图片如下：

删除Autorun.inf：

在此之前不要双击进入分区（C盘―Z盘），不然要激活病毒的。

  建议用Winrar（解压包工具），Winrar―文件―改变驱动器―选择对应盘―右键点Autorun.inf删除，也可以用来删除可疑的EXE（Auotun.inf指向的目标）

也可以用DOS，比较简单，开始―运行―CMD，如果要在E盘下删除Autorun.inf，输入：

E:\

(到达E盘）

dir /a

（显示所有E盘下的文件）

del autorun.inf /f/s/a/q

(强制删除附加属性的Autorun.inf)

其实网上有很多的免疫的工具，有需要的话自己去找

 

2、IFEO重定向劫持

  最近被滥用的技术，IFEO其实是位于注册表的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  这个项主要是用来调试程序（防止溢出），对一般用户意义不大。默认是只有管理员和local system有权读写修改。假设在这个项新建个“程序名字.exe”,键值为Debugger，指向的是另一个程序路径的话，那么运行A程序的时候，会执行B，这就是重定向劫持。

解决方法：

 

直接把这个项锁死！（也就是写权）

  展开到Image File Execution Options项，右键点“权限”，设置允许读取，不许写入，也可以用一些专门的注册表工具设权。

  如果遇到这种情况，那么我们只要把程序改名，就可以正常运行了。然后用Autoruns删除：

点击浏览该文件

此主题相关图片如下：

 

  PS： [url]http://gudugengkekao.ys168.com/[/url] 我网盘里也有相关修复IFEO的工具，个人觉得挺不错的。

 

3、线程插入

  简单说就是一个病毒文件(dll格式的动态连接库），插入了运行中的进程，那么除非用第三方工具，否则无法发现“驻扎”在宿主内的dll病毒，因为进程管理器毫无异常。这种技术在木马界应用比较广泛，具有一定的隐蔽性。上面提到的U盘病毒就是利用这个技术，使得无法在进程里直接发现，给查杀工作带来难度。

解决方法：

  下载第三方工具，可以查看进程模块的，推荐用冰刃。主要检测Explorer进程模块，该进程是木马最喜欢的场所，应当特别留意。最好可以配合SREng日志查看，那样会更容易辨认。

4、进程守护

  早在几年前比较流行，由于目标太大，现在比较少用。典型的进程守护应该是：两个进程常驻任务管理器，相互监视对方的存在，如不在则激活。

 

（随机7位数字病毒使用的正是这种技术）

解决方法：

  由于无法同时结束两个进程，我们可以借助冰刃之类工具，按Ctrl同时选上两个进程，然后结束掉。

此主题相关图片如下：

5、木马的自身防护

  很多木马属性都是隐藏只读的，为了保护自己不被消灭，它们会破坏安全模式和“显示隐藏”文件功能。

 

解决方法：

可以用SREng修复安全模式，也可以用注册表导入。

SREng―系统修复―高级修复―修复安全模式―确定。

 

隐藏文件的话，用注册表导入即可。

点击浏览该文件

 

另附上专杀工具：

 

[url]http://zhuansha.duba.net/259.shtml[/url]

 

瑞星的专杀。。。那个。。。就不。。

 

 

 

如果有发现专杀无法清除的，请来我博客留言，要能提供样本的``