CoffeeCat's IT Blog

主动防御autorun病毒

    众所周知,病毒就是一个恶意的程序,中病毒其实就是运行了恶意的程序,从而产生了恶意的结果,使得电脑出现不正常的现象,进而造成数据丢失,帐号被盗,甚至是计算机参数被修改导致计算机硬件出现问题。

    99%的病毒是通过以下两种方法运行起来的:
    1:通过IE浏览器的漏洞,利用Javascript代码远程下载病毒文件后,再利用Javascript创建ShellExec来运行病毒。
    2:在硬盘、磁盘的分区下创建autorun(自动运行),当用户双击打开分区时,系统便会自动运行程序。

    对于第1种情况,很好解决,我们只要使用Firefox或Opera上网即可,当然,为了让系统更加安全,安装IE7以升级IE的内核还是很有必要的。

    下面着重讲第2种情况的主动防御方法:   
    一:关闭Autorun功能:
      
当你插入U盘或者放入光盘的时候,系统会自动扫描U盘,并执行默认的程序,当你双击打开某个盘的时候,系统也会先自动运行某个程序。如果这个程序是木马,那就糟了,所以,我们要关闭autorun功能,达到主动防御的目的。
        1:开始->运行->gpedit.msc,打开组策略
        2:选择左边的 管理模版->系统
        3:双击右边的 关闭自动播放
        4:弹出的对话框中选择 启用,下面选择 所有设备,点击确定。
        这样,当你插入U盘或者放入光盘以后,程序就不会自动运行了。

    二:关闭Shell Hardware Detection服务
        笔者使用的是英文操作系统,但是,有一次我对D盘点右键,却发现用中文写的“打开”和“资源管理器”选项。其实,这两个选项是由病毒生成的,目的是诱惑我们点击。当我们点击了这两个选项,立刻就中毒。虽然笔者使用的是英文操作系统,但是有时操作太快,很容易误操作,更何况是使用中文操作系统的朋友们,所以,我们要关闭Shell Hardware Detection服务。
        1:开始->运行->services.msc,打开服务
        2:双击右边的 Shell Hardware Detection,在服务类型中选择 已禁用。点击确定即可。


    经过了上面的两次设置,现在病毒就不会自动运行了,我们可以放心的使用右键菜单,双击打开硬盘了。从某种意义上来说,我们已经主动防御了auto病毒。不过由于auto病毒一般都是隐藏的系统文件,所以,我们最好在文件夹选项里设置一下,让系统显示出所有文件,然后把auto病毒删除了,彻底清除auto病毒。一般的auto病毒由两个文件组成:autorun.inf和一个exe文件,至于是哪个exe文件,你可以用记事本打开autorun.inf看,这里面有写。




     另外推荐来自Achou一篇文章,他简单而深入谈了一下autorun的运作,以及在注册表中禁止自动运行的方法,写的蛮好的:
《禁止系统在双击盘符时自动运行autorun.inf》
http://www.cnitblog.com/chouyaguang/archive/2007/10/17/34985.html



Ferris Xu (CoffeeCat)
2007-10-17

posted on 2007-10-17 12:31 CoffeeCat 阅读(400) 评论(1)  编辑 收藏 引用

评论

# re: 主动防御autorun病毒 2007-12-01 17:26 daisylh

前些天用U盤時也中了  回复  更多评论   

只有注册用户登录后才能发表评论。
<2008年12月>
30123456
78910111213
14151617181920
21222324252627
28293031123
45678910

导航

统计

公告

常用链接

留言簿(203)

随笔档案

收藏夹

搜索

最新评论

阅读排行榜

评论排行榜