目前病毒木马的主要传播通道是两个:一是网页挂马,浏览器或浏览器插件存在漏洞的电脑访问被黑客挂马的网页即可中毒;另一个传播病毒的主要通道就是U盘、移动硬盘、数码存储卡,因使用U盘的用户大都遇到过这类病毒,用户统称这类病毒为“U盘病毒”。
U盘病毒并不是一种新型的病毒,就象最初的病毒主要通过软盘传播一样,用户经常用来交换数据的媒介,会成为病毒传播的载体。如今的U盘病毒传播力远强过早期通过软盘传播的文件型病毒和引导型病毒,一个重要的原因在于Windows 系统配置的自动播放功能存在重大安全隐患——Windows提供自动播放功能的初衷是插入光盘时自动运行指定的程序,该功能对移动硬盘和U盘同样有效,用户将U盘、移动硬盘、数码相机存储卡、手机内存卡等连接到计算机的USB口时,特殊配置的U盘病毒就会自动运行。然后,这个U盘病毒会试图将同样的配置信息和病毒程序写入到任意一个新连接的移动存储设备,再伺机感染其它电脑。
早期的U盘病毒是依赖Windows 的自动播放功能的,任何病毒都可以通过这种途径入侵电脑。而最近的U盘病毒则利用社会工程学欺骗用户去执行病毒程序。全新数据统计,伪装成文件夹图标的U盘病毒的感染量一直占据病毒排名的前五位。
最新U盘病毒特征:U盘原来存在的文件夹全部被隐藏,取而代之的是伪装成相同文件夹图标的EXE文件。
因为操作系统缺省情况下,并不显示已知文件类型的文件扩展名,也就是说类似于“我的文件.exe”的程序,缺省情况下我们只看到“我的文件”,并且这个文件看上去就是个文件夹,很多人就会去直接双击访问。当你双击访问这个“我的文件”文件夹时,病毒会跳到被隐藏的真实文件夹中(原文件夹可以打开,不过常会弹出出错警告)!就这样不知不觉你已经执行了病毒程序。如果你修改了文件夹选项,配置了显示文件的扩展名,这个文件夹伪装者就会露出真面目。
“U盘病毒”的清除方案:
如果仅在U盘、移动硬盘、数码存储卡或手机内存卡中发现伪装成文件夹图标的EXE文件,或者仅看到autorun.inf,这并不表示你的电脑已经中了U盘病毒,而只能表示,这个存储介质曾经中过U盘病毒,或者曾经安装过某个U盘免疫工具。
首推使用金山系统急救箱扫描系统,看看是否有可疑的加载项,检查系统是否已经中了U盘病毒?让其自动修复系统异常项目。
然后利用相关专杀工具查杀病毒:推荐 U盘病毒克星-USBKiller 2.2 特别版(可升级病毒库)
U盘病毒详解及专杀工具推荐
U盘病毒最大祸首还是自动播放功能,建议关闭。方法步骤:开始、运行中输入gpedit.msc后回车。会出现组策略的控制窗口,在该窗口中选择计算机设置->管理模板->系统->关闭自动播放,双击关闭自动播放,然后选择已启用,选择关闭所有驱动器。
U盘病毒后遗症:病毒文件清理后这时才发现我们的原文件不见了,查看下u盘内存发现似乎文件还在。这是为什么呢?呵呵这是病毒修改了文件属性使其设置成了隐藏的系统文件(打开属性对话框,发现隐藏属性被选中并变为灰色不可更改)我们该如何恢复文件属性呢?
文件夹隐藏属性为灰色,无法修改的解决方案如下
其实很简单,具体操作如下:
方法一:开始——运行——cmd
输入盘符(例U盘是 j:)回车,进入该盘符
输入 attrib -s -h *.* /s /d 回车(将该盘下所有文件夹及文件属性设为可见)
方法二:利用以下批处理来修改文件夹属性!(不要双击使用,用的时候直接把要改属性的文件或文件夹拖到.bat文件图标上
如果你是U盘根目录被感染,直接把U盘盘符拖上去,根据选项操作即可!)
@echo off
setlocal enabledelayedexpansion
title 修改系统属性和隐藏属性
color 2f
mode con: cols=50 lines=25
if "%~1"=="" (
echo 青松提示:
echo 你没有拖入任何磁盘或文件或文件夹
echo 请把要处理的磁盘或文件或文件夹拖到批处理文件图标
echo 不要双击启动批处理哦!
echo.
pause
)
:loop
cls
if "%~1"=="" goto :eof
if not exist "%~1" (echo 路径不存在)&pause&shift&goto loop
echo 当前处理的磁盘或文件或文件夹:
echo %~1
echo.
echo 请选择要进行的操作,然后按回车
echo.
echo 加系统和隐藏属性……………………………1
echo 减系统和隐藏属性……………………………2
echo 不处理…………………………………………3
echo.
set /p "c1=选择 (1,2,3) (不输入为!c1!,默认为2):"
if "!c1!"=="1" (set "d=+") else if "!c1!"=="3" (pause&shift&goto loop) else set "d=-"
set "a=%~a1"
if /i "!a:~0,1!"=="d" (
echo.
echo 这是一个文件夹,请选择要进行的操作,然后按回车
echo.
echo 只对该文件夹本身……………………………1
echo 只对该文件夹中的文件夹和文件……………2
echo 对该目录下的一切的文件夹和文件…………3
echo.
set /p "c2=选择 (1,2,3) (不输入为!c2!,默认为1):"
if "!c2!"=="2" (
pushd "%~1"
for /f "delims=" %%i in (''''''''''''''''dir /a /b "%~1"'''''''''''''''') do attrib.exe !d!s !d!h "%%i"
popd
) else if "!c2!"=="3" (
for /f "delims=" %%i in (''''''''''''''''dir /a /b /s "%~1"'''''''''''''''') do attrib.exe !d!s !d!h "%%i"
) else (
attrib.exe !d!s !d!h "%~1"
)
) else (
attrib.exe !d!s !d!h "%~1"
)
echo.
pause&shift&goto loop
介绍下attrib命令:
外部命令:Attrib.exe
attrib指令的格式和常用参数为
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
[drive:][path][filename]
指定要处理的文件属性。
/S 处理当前文件夹及其子文件夹中的匹配文件。
/D 也处理文件夹。
attrib指令用于修改文件的属性.文件的常见属性有:只读.存档.隐藏和系统.
只读属性是指文件只可以做读的操作.不能对文件进行写的操作.就是文件的写保护.
存档属性是用来标记文件改动的.即在上一次备份后文件有所改动.一些备份软件在备份的时候会只去备份带有存档属性的文件.
隐藏属性顾名思义即为隐藏文件.在通常情况下.在资源管理器中不显示带有隐藏属性的文件.
系统属性是指标注文件为系统文件.是系统需要调用的文件.系统属性包括隐藏和只读属性,且在WINDOWS GUI模式下不能更改。