常見的Ｕ盤病毒問題及解決辦法

摘要：隨著多媒體教室的大量建設和投入使用，大學課堂教學的模式發生了很大的變化，電化或網絡的多媒體教學成為教學的主要方式。尤其是Ｕ盤被廣泛使用于教學和數據交流當中，當我們享受U盤所帶來的方便時，U盤病毒也在悄悄利用系統的自動運行功能肆意傳播，給教學工作帶來了一定困難和影響。

關鍵詞：U盤；病毒；解決方法

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)15-20000-00

The Common Problems and Solutions About Computer Virus in Teaching Work

BAO Xia-lin

(The Center of Educational Technology， Anhui Agricultural University， Hefei 230036， China)

Abstract: With the large number of multimedia classroomes building and put into use， great changes about the mode of the University Teaching have taken place， electricity or network multimedia teaching become the main form of teaching. Especially， widely used in teaching and data exchange， USB drives enjoy us but the virus is quietly spread with USB drives system using automatic functionality to the education. It brought a certain degree of difficulty and impact in teaching work.

Key words: USB drives;Virus; Solution

在從事電腦維護的工作實踐中，針對遇到的各種各樣的電腦病毒的問題，嘗試和采用了不同的分析和解決方法，下面謹對最近比較流行的有鮮明特點的U盤病毒的特征和解決辦法進行簡單的分析總結。

1 AutoRun.inf

1.1 病毒特性

自動運行功能是Windows系統一種非常方便的特性，使得當光盤、U盤插入到機器即自動運行，而這種特性的實現就是通過運行磁盤根目錄下的 autorun.inf文件進行。這個文件保存在驅動器的根目錄下(一般會是一個隱藏屬性的系統文件)，它保存著一些簡單的命令，告知系統新插入的光盤或 U盤應該自動啟動什么程序等。常見的Autorun.inf文件格式大致如下：

[AutoRun]//表示AutoRun部分開始，必須輸入

icon=C:C.ico //指定給C盤一個個性化的盤符圖標C.ico

open=C:1.exe//指定要運行程序的路徑和名稱，只要在此放入病毒程序就可自動運行。

電腦中毒后，當用右鍵點擊移動盤盤符時，會發現菜單的第一項不是常規的“打開”，而變成了“auto”、“OPEN”或“自動播放”等。同時，病毒會將“顯示所有文件的選項”設置為“禁止”。U盤病毒就是這樣借助autorun.inf文件的幫助進行入侵和傳播。病毒首先把自身復制到U盤，然后創建一個autorun.inf，在你雙擊U盤時，會根據autorun.inf中的設置去運行U盤中的病毒。病毒甚至修改磁盤關聯，殺毒軟件一般只能把病毒文件清除，但對殘余的文件不會處理。這也是常見的殺毒軟件為什么常常無法將病毒清除干凈，清除病毒后雙擊無法打開磁盤或者U盤無法拔出的原因。

1.2 解決方法

（1）刪除autorun.inf文件

目前還沒有發現哪種殺毒軟件可以徹底解決這個問題。在常規的情況下，是無法刪除autorun.inf文件的。可以先將該文件的屬性進行一些改變，再用DOS命令刪除。在“命令提示符”（可通過“開始”－“運行”－“cmd”打開）下輸入以下命令：

attrib -s -h H:\\autorun.inf （去除autorun.inf的系統文件和隱藏文件的屬性）

del H:\\autorun.inf （刪除autorun.inf）

（2）阻止病毒再生成autorun.inf文件

我們可以利用在同一目錄下，同名的文件和文件夾不能共存的原理，在U盤的根目錄下建立一個文件夾，名字就叫“autorun.inf”。這樣，除非先刪除該文件夾，不然是無法再創建autorun.inf文件了。目前出現的U盤病毒尚未發現有此功能。因此，這種方法是非常有效的。

2 AdobeR.exe病毒 realplayer.exe（進程）病毒

這兩種病毒都是木馬病毒，最大的特點是隱藏性極高，與兩種教學中常用的軟件adobe acrobat reader和realplayer非常相似。

2.1 病毒特征

（1）AdobeR.exe病毒：中毒后，雙擊 u盤/移動硬盤，沒反映。等一會后彈出對話框：“Adober.exe error，請察看AdobeR.exe.log”。 右鍵點擊可移動磁盤盤符，在菜單最上面是“Auto”這一選項，查看U盤，會發現病毒生成了AdobeR.exe，AdobeR.exe.log，autorun.inf，msvcr71.dll文件。并且在進程中出現 adober進程 ，十分類似adobe進程。電腦速度緩慢，并且會使有的殺毒軟件失效。

（2）realplayer.exe（進程）病毒：注意，我們通常所用的realplayer播放器的進程是realplay.exe而不是realplayer.exe。realplayer.exe進程是Trojan-PSW.Win32.Agent.al木馬相關程序加載的進程，一般有兩個進程。病毒會釋放兩個文件，分別是：

SYSTEM\\Realplayer.exe （UPX加殼，其MD5為629d485605c05b8e7f97c 941c98fb2b9）和SYSTEM\\brlmon.dll （UPX加殼，其MD5為9b5cfff6b750e9b6bd21f25254 8e810e59）。

如果系統中沒有安裝QQ或者QQ沒安裝在Program Files\\Tencent\\QQ，那么病毒會自己建立Program Files\\Tencent\\QQ目錄。臨時文件夾中TEMP會有病毒生成的文件v20060825.rar，實際上這個就是那個Realplayer.exe，擴展名不同罷了。中毒后會使電腦運行變得非常緩慢。

2.2 解決辦法

這兩個病毒，手工清除比較繁瑣，且效果不好。用卡巴斯基升級后即可殺除，效果較好。

3 MMS病毒

3.1 病毒特征

mms.exe是當前流行最廣的病毒，在很多常連接U盤的電腦中都有所發現，且還原卡對其沒有阻擋作用。病毒程序名為Troj_ADWARE.MMS，進程名為mms.exe或mms是一種惡意廣告木馬病毒。該病毒修改注冊表創建系統服務mms-up實現自啟動，屬于彈出廣告類木馬病毒，一般是下載、安裝軟件時捆綁感染。是一種“尼姆達”病毒，“尼姆達”病毒是一種通過e-mail電子郵件進行傳播的惡意蠕蟲，隨U盤到處傳播。當用戶郵件的正文為空時，似乎沒有附件，實際上郵件中嵌入了病毒的執行代碼。只要用戶用OUTLOOK、OUTLOOK EXPRESS（沒有安裝微軟的補丁包的情況下）收取郵件，在預覽郵件時，病毒的執行代碼就已經在不知不覺中執行了。執行時會將自身復制到臨時目錄下，再運行在臨時目錄中的副本。該病毒危害性極大，中毒后，其啟動優先級被排在系統之前，掃描內存時就開始運行，所占CPU資源在50%到97%左右，電腦運行非常緩慢，且無法上網。

3.2 解決方法

（1）卡巴斯基2006年以后的版本都可以殺除。瑞星等也可以使用。

（2）手動殺除：在任務管理器中結束該進程，進入注冊表找到系統服務mms-up項，刪除掉，在臨時文件夾中刪除mms.exe即可。

4 VBS腳本病毒

4.1 病毒特性

VBS腳本病毒是用VB Script編寫而成，當前一段時間在許多教師的U盤中都出現了這類病毒，致使U盤無法打開，并報錯“VBS腳本無法運行”。該腳本語言功能非常強大，它們利用Windows系統的開放性特點，通過調用一些現成的Windows對象、組件，可以直接對文件系統、注冊表等進行控制。

VBS腳本病毒編寫簡單，感染力卻極強，可以直接通過自我復制的方式感染其他同類文件，并且自我的異常處理變得非常容易，變種很多，稍微改變一下病毒的結構，或者修改一下特征值，很多殺毒軟件可能就無能為力。這類病毒主要通過感染廣大網民時時接觸的htm、asp、jsp、php文檔，Email附件、IRC聊天通道或其它方式進行快捷的傳播。并且其欺騙性很強，腳本病毒為了得到運行機會，往往會采用各種讓用戶不大注意的手段，譬如，郵件的附件名采用雙后綴，如.jpg.vbs，由于系統默認不顯示后綴，這樣，用戶看到這個文件的時候，就會認為它是一個jpg圖片文件。

這類病毒文件感染正常文件的方式：首先將病毒自身代碼賦給字符串變量vbscopy，然后將這個字符串覆蓋寫到目標文件，并創建一個以目標文件名為文件名前綴、vbs為后綴的文件副本，最后刪除目標文件。VBS腳本病毒修改windows啟動自動加載注冊表項HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run各鍵值指向病毒程序、映射dll、exe文件執行方式、隱藏.vbs后綴名欺騙用戶點擊、desktop.ini和folder.htt互相配合觸發等非常有效多變的方式獲取控制權。

4.2 解決辦法

VBS腳本病毒可以隨機選取密鑰自加密、通過修改殺毒軟件檢查腳本的聲明代碼為字符串并通過Execute(String)函數執行或直接關閉反病毒軟件等方式來躲避和反抗殺毒軟件，從而給殺毒帶來很多困難。

除了及時升級殺毒軟件之外，以下總結了一些有針對性防范措施：

（1）禁用文件系統對象FileSystemObject。用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象，其中regsvr32是Windows\\System下的可執行文件。也可以直接查找scrrun.dll文件刪除或者改名或者在注冊表中HKEY_CLASSES_ROOT\\CLSID\\下找到一個主鍵的項，刪除即可；

（2）刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射。 點擊［我的電腦］→［查看］→［文件夾選項］→［文件類型］，然后刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射；

（3）在Windows目錄中，找到WScript.exe，更改名稱或者刪除；

（4）要徹底防治VBS網絡蠕蟲病毒， 要在“Internet 選項”安全選項卡里的［自定義級別］里把“ActiveX控件及插件”的一切設為禁用；

（5）禁止OE的自動收發郵件功能。

參考文獻：

[1]趙亮.防治電腦病毒[M].人民郵電出版社.2005.

[2]韓筱卿，王建鋒.計算機病毒分析與防范大全[M].北京:電子工業出版社，2006.

收稿時間：2008-03-20