与U盘病毒作战的策略

　　随着网络科技的发展，病毒也更像幽灵一样删之不去。尤其是在企业动辄便是几十台的电脑，一旦用中毒U盘传递文件，那病毒便在电脑件传播开来。此时，我们便需要跟病毒进行一场战斗，战斗的布局也便展开了，一起来为电脑做好保卫战的布局吧。

　　第一回合：牛刀小试

　　U盘病毒的大门是Autorun.inf文件，此类病毒的特征是在U盘根目录生成Autorun.inf文件，连接一个或数个隐藏的病毒文件，一旦双击打开U盘，则首先运行Autorun.inf文件，打开了病毒的大门，然后利用Autorun.inf中的命令打开病毒，就这样你的电脑就感染了，它已经变成了一个U盘病毒的载体，一旦再有干净的U盘插入你的机子，马上该U盘就感染了……

　　针对U盘病毒的特点，很多人不直接双击打开U盘，而是点右键再点“打开……”，这样就避免了运行Autorun.inf，病毒就不会运行了。

　　道高一尺，魔高一丈，第二代U盘病毒产生了，此种病毒在Autorun.inf文件中加入了如下代码：

　　shellopen=打开(&O)

　　shellopenCommand=filename.EXE

　　shellopenDefault=1

　　shellexplore=资源管理器(&X)

　　这种迷惑性较大，右键菜单一眼也看不出问题，如果你点“打开”，依然会运行Autorun.inf文件而中招。

　　第二回合：大动干戈

　　面对这种危险，一部分人也根据自己的经验，做出了“免疫”工具。免疫工具的原理很简单，就是建立同名目录。

　　目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

　　为了防止目录被删除，后来又演变成建立autorun.inf下的非法文件名目录，有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法)，直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。现在网上流行的U盘病毒免疫程序都是用的这种方法。

　　md K:\autorun.inf

　　md K:\autorun.inf\xxxxx..\

　　道高两尺，魔高两丈，U盘病毒升级到了第三代。这种病毒可以轻易的检测出免疫文件并将其删除掉，此种病毒只是多加了一行代码：

　　rd /s /q K:\autorun.inf

　　或

　　RENAME c:\autorun.inf ttdt

　　然后再创建病毒autorun.inf就可以了，一旦病毒运行就监控它autorun.inf，这样再免疫也白费了......

　　第三回合：终极对决

　　如何建立一个病毒不能删除的具有金刚不坏之身的Autorun.inf免疫文件呢?于是基于更低层的NTFS文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。(但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备)。

　　详细步骤如下：

　　1.开始——运行——cmd，打开命令行窗口;

　　2.运行convert k: /FS:NTFS(假设U盘是K:盘)，将U盘格式转化为NTFS格式。若转换不成功，则先对U盘进行磁盘扫描一遍;

　　3.在U盘根目录下建立autorun.inf文件夹，点击右键，将其属性改为只读、隐藏，然后应用，再点“安全”选项卡，“高级”，在默认的“权限”选项卡中下面两项的勾去掉。确定。

　　通过此种方法建立的免疫文件，已经具有很强的“抗击打能力”，现在的U盘病毒基本对其无计可施。

　　同样的，可以在硬盘、移动硬盘的各盘的根目录下建立这样的免疫文件。

　　当然，在免疫以前，应该先杀掉系统中存在的U盘病毒，推荐用USBKiller这款软件，不过新版本已经收费了。

　　为了防止免疫失败，再加强一步，干脆干掉Windows的自动运行特性，这样以来Autorun文件就成为一个普通的Windows文件，再也无法启动病毒了。建议用超级巡警的U盘病毒免疫器来做这一步工作。双击运行“U盘病毒免疫器1.4”，勾上“免疫所有本地驱动器”，勾上下面的4个附加功能，点击“开始免疫”，数秒后软件状态栏会提示免疫成功，重启机子即可。

　　通过以上的USBKiller杀毒、NTFS权限法建免疫文件、“U盘病毒免疫器1.4”法阉割Windows的自动运行特性三个步骤，此时您的电脑与U盘基本上已经安全了，当然，仅仅是指截至到今天2014.04.01，

　　但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。

　　以上便是我们同病毒之间的作战部署，如果面前的你有更好的作战手法可以同我们分享哦，一起加入到保卫我们电脑安全的的战斗中来吧。