U盘病毒的变化

1.关键文件Autorun.inf

Autorun.inf文件本身并不是病毒，它是自动运行的一个配置文件。这个文件通常在驱动器的根目录下(是一个隐 藏的系统文件)，文件的内容包含着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路 径下的图标，它的格式通常是下面这样：

插播：军事级别加密U盘Qkey 使用简单方便

[AutoRun]

open=auto.exe

//自动运行auto.exe程序

shellexecute=auto.exe//启动指定的auto.exe

shell\Auto\command=auto.exe//定义设备右键菜单执行命令行，右键U盘的时候会出现auto菜单

2.披着各种伪装的U盘病毒

唉，又是Windows 缺省设置在帮助病毒传播者欺骗用户，缺省情况下windows 不显示文件扩展名。

U盘病毒伪装者利用社会工程学成功的入侵了超过50万台PC。

U盘病毒的清除

需要指出，如果仅在U盘、移动硬盘、数码存储卡、手机内存卡中发现伪装成文件夹图标的EXE文件，或者仅看到autorun.inf，这并不表示你的电脑已经中了U盘病毒。而只能表示，这个存储介质曾经中过U盘病毒，或者曾经安装过某个U盘免疫工具。

我们可以使用金山清理专家的进程管理器分析可疑进程

或者使用金山系统急救箱扫描系统，看看是否有可疑的加载项，来检查系统是否已经中了U盘病毒。在急救箱把U盘病毒的加载项禁用之后，我们就可以搜索系统中的异常文件(修改文件夹选项，选择查看隐藏文件和受保护的操作系统文件，显示文件扩展名)，当我们发现一个伪装成文件夹图标的exe文件时，可以观察其大小，生成日期，然后使用windows 的查找功能，将同样大小，同样生成日期的exe文件全部找出来，确认无误后，直接删除。

在排除系统中毒的情况下，只需要简单的删除U盘上的病毒文件就可以了。发现和识别U盘病毒非常简单：

我们可以用记事本打开autorun.inf(你可以先运行notepad打开记事本，再把autorun.inf拖进去查看，不用担心会中毒)。

根据open=的值，如果没有检查到对应的EXE文件，表示这个U盘上曾中过毒，但病毒已经被清除了。如果我们根据open=的值，找到对应的EXE文件，当然就可以直接将其删除。

某些情况下会出现删除失败，这可能是病毒修改了该文件的访问权限。

有时候病毒作者会创建一个畸形的文件，导致简单的删除操作会失败。

你只需要把以下命令保存为扩展名为.bat的文件，将该畸形文件拖放到这个bat文件的图标上即可完成删除(特别提醒：因该操作非常危险，会无条件删除任何文件或文件夹，请一定不要误操作。)

DEL /F /A /Q \\?\%1

RD /S /Q \\?\%1

U盘病毒的防御

(1) 运用组策略，关闭windows的自动播放功能

在开始、运行中输入gpedit.msc后回车。会出现组策略的控制窗口，在该窗口中选择

计算机设置->管理模板->系统->关闭自动播放，双击关闭自动播放，然后选择已启用，选择关闭所有驱动器。

需要注意的是windows xp的home版不支持编辑组策略，可以打开金山清理专家的U盘防火墙来实现。

(2) 可以在U盘根目录下新建一个免疫文件夹

(可以保存以下内容为bat文件然后保存到U盘根目录运行就行了)

md autorun.inf

cd autorun.inf

md nodel...\

cd ..

attrib autorun.inf +s +r +h

后续

我一直认为自动播放功能是重大安全隐患，曾经建议杀毒软件在安装时直接将该功能禁用，很遗憾该建议一直未被采纳，理由是操作系统的缺省值不宜修改。

在我们即将迎来Windows 7时，有个好消息和大家分享：Windows 7中会修改自动播放功能，修改后，只有光盘可以执行自动运行功能，其它可移动媒体的自动运行功能均被关闭。也就是说，U盘病毒至少不会因为插入U盘的动作就触发了。