☆ 趙世偉

（武威市體校，甘肅武威 733000）

Autorun.inf類U盤病毒的攻防策略

☆ 趙世偉

（武威市體校，甘肅武威 733000）

一、總述

說起Autorun.inf文件，相信大家一定不陌生，它被廣泛地應(yīng)用到光盤制作中。它的主要作用就是能夠?qū)崿F(xiàn)光盤自動(dòng)播放，但是這一項(xiàng)應(yīng)用卻被一些居心叵測的病毒所利用，導(dǎo)致我們的硬盤尤其是U盤深受其害。

U盤對(duì)病毒的傳播要借助autorun.inf文件的幫助，病毒首先把自身復(fù)制到U盤，然后創(chuàng)建一個(gè)autorun.inf文件,在你雙擊U盤時(shí)，會(huì)根據(jù)autorun.inf中的設(shè)置去運(yùn)行U盤中的病毒，我們只要可以阻止autorun.inf文件的創(chuàng)建，那么U盤上就算有病毒也只能望塵莫及。大家可能也想到這個(gè)，但在通常情況下不管給autorun.inf設(shè)置了什么屬性，病毒都會(huì)更改它，我想到的方法就是，在根目錄下刪除autorun.inf文件，然后，在根目下建立一個(gè)文件夾，名字就叫autorun.inf，這樣一來，因?yàn)樵谕荒夸浵虏《揪蜔o能為力，創(chuàng)建不了autorun.inf文件了，以后會(huì)不會(huì)出新病毒，自動(dòng)去刪文件夾，然后再建立文件就不知道了，但至少現(xiàn)階段，這種方法是非常有效的。但是，由于這個(gè)文件夾可以被改名，因此許多新的木馬和病毒采用改名后再創(chuàng)建autorun.inf文件來達(dá)到感染U盤的目的。不過對(duì)于安全意識(shí)強(qiáng)的用戶，用這種方法來判斷自己的U盤是否遭到感染也未嘗不可。

二、現(xiàn)狀分析

事實(shí)表明，目前已經(jīng)有新的病毒能夠有意識(shí)地檢測autorun.inf的存在，對(duì)于能直接刪除的則刪之，對(duì)于“無法刪除”的則用重命名的方式毀之；還有一種很早就出現(xiàn)的以文件名誘騙用戶點(diǎn)擊的病毒（如：一封情書.exe）。對(duì)于以上這兩種傳播方式的病毒，僅僅建立autorun.inf文件夾是抵御不了的。

三、應(yīng)對(duì)策略

（1）在插入U(xiǎn)盤時(shí)按住鍵盤 shift鍵直到系統(tǒng)提示“設(shè)備可以使用”，然后打開U盤時(shí)不要雙擊打開，也不要用右鍵菜單的打開選項(xiàng)打開，而要使用資源管理器(打開我的電腦，按下上面的“文件夾”按鈕，或者開始－所有程序－附件－windows資源管理器)將其打開，或者使用快捷鍵winkey＋E打開資源管理器后，一定通過左側(cè)欄的樹形目錄打開可移動(dòng)設(shè)備（要養(yǎng)成這樣的良好習(xí)慣）。

（2）如果盤內(nèi)有來路不明的文件，尤其是文件名比較誘惑人的文件，必須多加小心；需要特別提示的是，不要看到圖標(biāo)是文件夾就理所當(dāng)然是文件夾，不要看到圖標(biāo)是記事本就理所當(dāng)然是記事本，偽裝圖標(biāo)是病毒慣用的伎倆。

（3）要有顯示文件擴(kuò)展名的習(xí)慣。方法：打開“我的電腦”，工具——文件夾選項(xiàng)——查看，去掉“隱藏已知文件類型的擴(kuò)展名”的勾，建議選擇顯示擴(kuò)展名同時(shí)選上“顯示隱藏文件”，去掉“不顯示系統(tǒng)文件”的勾，這樣可以對(duì)病毒看得更清楚。有圖標(biāo)的誘人的病毒文件基本都是可執(zhí)行文件，顯示文件擴(kuò)展名之后，通過文件名后的 “.exe”即可判斷出一個(gè)文件可執(zhí)行文件，從而不會(huì)把偽裝的病毒可執(zhí)行文件誤認(rèn)為是正常文件或文件夾。

（4）最后不管你用什么辦法，或者用什么軟件，插入U(xiǎn)盤然后用這個(gè)方法檢驗(yàn)?zāi)阌袥]有中Autorun.inf型病毒的風(fēng)險(xiǎn)。

下面這個(gè)批處理可以檢驗(yàn)?zāi)悴迦牖虼蜷_U盤時(shí)是否有激活病毒的風(fēng)險(xiǎn)。運(yùn)行這個(gè)批處理，然后按提示操作。注，批處理使用方法：打開開始菜單－附件－記事本，復(fù)制批處理內(nèi)容進(jìn)去，文件－另存為－文件名：xxxxxxx.bat，保存類型：所有文件－保存。然后找到你保存的位置，會(huì)出現(xiàn)一個(gè)批處理文件，雙擊運(yùn)行即可。

四、推薦的其他方法

1.推薦一種徹底拒絕Autorun.inf類型病毒的方法

運(yùn)行下面這個(gè)批處理,就可以保證插入以及打開磁盤時(shí)不中病毒（不會(huì)占用計(jì)算機(jī)資源，運(yùn)行一次即可對(duì)當(dāng)前用戶名生效）：

2.對(duì)于偽裝型病毒，可以通過它的可執(zhí)行屬性判斷出來

除通過選擇文件夾選項(xiàng)“不隱藏?cái)U(kuò)展名”外，不喜歡顯示所有為文件擴(kuò)展名的用戶還可以通過這種方式將可執(zhí)行文件的特征——“.exe”擴(kuò)展名顯示出來，這樣病毒偽裝成的文件或文件夾會(huì)多出一個(gè)“.exe”。

以管理員身份運(yùn)行下面的批處理:

五、簡單處理辦法

電腦硬盤個(gè)個(gè)分區(qū)下都出現(xiàn)了“autorun.inf”文件，也不知道是什么時(shí)候染上的病毒“遺孀”，用粉碎文件都不行，怎么刪也刪不掉。

這時(shí)我們可以用以下dos命令進(jìn)行清除，方法如下：假設(shè)autorun.inf文件夾是在D盤，操作如下：打開“開始”，選擇“運(yùn)行”，輸入“CMD”，打開命令行窗口，在命令行窗口中輸入一下命令：

第一步，輸入D:然后回車。

第二步，輸入rmdir／s autorun.inf然后回車。

第三步，當(dāng)出現(xiàn)提示時(shí)，按“Y”，并回車。

其他盤照此方法執(zhí)行即可！

總之，我們在使用U盤的時(shí)候要多加注意，自覺養(yǎng)成先檢查再使用的習(xí)慣，這樣就會(huì)做到遠(yuǎn)離病毒，防患于未然的效果。

于翼楠]