[中国反病毒网转载]U盘病毒免疫方案

Simen.Resh@d

U盘病毒免疫方法

目前病毒入侵局域网主要有两个途径：一是通过网页木马的方式入侵，另一个就是通过U盘的方式传播，可以说，只要控制好了这两个病毒入口点，就可以避免很大一部分病毒的入侵，下面就说说如何应对这两个病毒入侵的问题。

网页木马免疫方法

这里指的U盘，是一个广义的概念，包包括U盘、MP3/MP4、移动硬盘，数码相机/数码摄像机等产品。U盘病毒的表现形式很有特点，一般寄生再U盘和硬盘各个分区的跟目录下。包含一个名为 autorun.inf 的文件，和一个病毒主体文件，该文件可以是任意可执行文件。

U盘病毒是利用Windows系统自动播放功能来实现自运行的。Windows系统自动播放功能是为了方便用户而设计的一种功能，当一些光盘放入光驱的时候，光驱会先自动查找光盘中的autorun.inf文件，然后读取该文件，并运行该文件中所指向的*.exe格式的可执行文件。但是现在该功能已经被病毒所利用，当病毒寄生在U盘跟目录时，这是如果用户双击打开U盘时，就自动播放功能会先运行autorun.inf文件文件，然后该文件在执行制定的可执行文件，最终导致病毒传播进入电脑。



U盘病毒的免疫办法

   既然U盘病毒是通过autorun.inf文件激活运行的，那么我们就可以建立一个名字为autorun.inf来占取这个文件，实现U盘病毒的免疫，这叫“占位文件法”免疫。即在U盘中建立一个名字为autorun.inf的的文件夹。

当然，这样做的 autorun.inf 文件夹很容易被删除，因此可以使用命令行下用特殊文件名来建立，

         md X:\autorun.inf

         md X:\autorun.inf\"antiautorun../"



删除方法可以使用   rd X:\autorun.inf\antiautorun..\

                                rd X:\autorun.inf

其中X代表盘符，可以替换成任何盘符，也可以用批处理文件来实现以上操作。这样建立的autorun.inf文件夹是不容易被删除的。

当然，可以做成批处理程序：Autorun.bat 的

@echo off
echo *************************************************
echo ----   正在进行autorun病毒免疫       ----
echo ----       请稍后。。。                      ----
echo *************************************************
color 0a

for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\autorun.inf & md %%a:\autorun.inf\antiautorun..\ & attrib +h +r +s +a %%a:\autorun.inf



解除的: del-Autorun.bat

@echo off
echo *************************************************
echo ----   正在解除autorun病毒免疫       ----
echo ----       请稍后。。。                      ----
echo *************************************************
color 0a

for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do rd %%a:\autorun.inf\antiautorun..\ & attrib -h -r -s -a %%a:\autorun.inf & rd %%a:\autorun.inf



当然，这样做并非终极解决方案，病毒仍然可以先删除该文件夹，然后建立自己的autorun.inf文件。



其他方法：

1.使用SystemSword来清除autorun.inf和关闭自动播放

还有一个很简便的方法－直接修改注册表来禁用自动播放。可以将以下文件保存成reg格式双击导入。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:0000009D

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:0000009D   

当然，也可以使用批处理来实现，以下为脚本，需要注意的是，该批处理脚本适合WindowXP系统，要是Windows2000 的系统，需要reg.exe 文件的支持。  

Rem 无条件禁止自动运行特性防范病毒

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0000009D /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x0000009D /f                                                                                                      

可以将以上bat脚本转化成exe格式的可执行文件，然后用PatchLink 这样补丁网络管理软件来统一下发执行。

Simen.Resh@d

SystemSword 利剑发布 2007年11月18号发布。
作者：少爷
下载地址：http://www.china-antivirus.com/Html/ruanjianfabu/15206921.html
SystemSword 是一款新一代的斩断黑手的利剑。它适用于Windows 2000/XP/2003/Vista操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，


进程页：
  红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。




服务页：
  红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。



显示隐藏文件



当前活动文件




临时文件清除，文件查找。



文件强行批量删除



关于进程的结束后的反复创建
  可以使用进程页的“禁止程序运行”，这个功能就是流行的IFEO劫持功能，我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能，,所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。
  另外，软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动，反复创建文件，反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。
  开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页，取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是，如果木马插入系统进程，则反映的日志是阻止系统进程的动作，你需要自我分辨该动作是否有害并分析该进程的模块文件。
  要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。
  针对上面的情况,你还可以使用进程中的“线程信息”功能，从线程与模块对应关系中挂起相应的线程，然后结束守护程序或挂起守护程序，再执行直接删除文件功能。

关于如何清理木马的简单方法：
  最简单的方法是：驱动加载成功的情况下,对于木马文件可以直接使用systemSword中各页中的删除文件功能（即先用强删除功能消灭木马文件）,执行完后重启系统，，再清除它的启动项，注册表项等加载途径。
  如果遇到较难处理的木马，以下步骤可以作为一个参考：
  a.如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。
  b.如果结束木马进程后反复发现木马启动，可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。
   还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。
  c.有些木马利用服务启动，请注意一下并判断一下服务页中的红色显示程序。如果状态是STOP，而类型是Auto，则它已运行过一次，所以有可能启动了别的木马程序。
   d.强烈建议注意一下“禁用程序管理”，目前利用IFEO禁用杀软或启动木马程序的木马是比较流行的。
   e.活动文件页列出了可能的启动途径，所以耐心一点检查一下是否有木马的启动项目。
   f.文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。
   g.对于检测出的启动项，如果不是十分肯定，可以定位到注册表，将这个启动程序的路径前加上“；”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。
   h.对于以Autorun.inf方式启动的木马，可以用工具下的“清除Autorun.inf”功能（可配合“禁止进程与文件创建”使用以取得最好的效果）。如果手动清理，操作中尽量使用systemSword内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用systemSword的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。
   i.使用“禁止进程与文件创建”注意一下新增的日志页，以便找到木马的根源。如果在日志页观察到反复写创建文件，反复写注册表，反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程，需要手动分析一下该进程的模块（配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块）。清理文件注册表完成后不要退出“禁止进程与文件创建”，而应直接使用工具下的“重启计算机”，以确保我们的清理成功。
   j.对于已确定的木马文件，能直接删除就删除，不能直接删除就找到它的启动项删除启并重启系统让系统不再加载此程序后再做文件删除。如果木马保护的比较好，上述方式失效,可以用DOS删除功能先删文件再清理启动项。

Simen.BlooM

很好，很翔实。。。。。。。

东风破

PY，你看完了，

SiMen.abner.L

好啊 很全面
我估计能看完的人不多

我都是用360的

SiMen.Angel

很好,很强大.
先收了,慢慢看.

幻梦浮云

那个占位法免疫好像……
如果恶意程序作者知道有这招，相信也没什么太大作用了