图书馆电子阅览室防范U盘病毒方法探讨

曾光中，曹冠英，郭学军

(1.湖南科技大学图书馆，湖南 湘潭 411201;2.湖南工业大学图书馆，湖南 株洲 412008)

1 U盘概述

U盘是一种新型的移动存储产品，是基于USB接口的微型高容量活动盘，主要用于存储较大的数据文件，可在电脑之间方便地交换文件。它不需要物理驱动器，也不要外接电源，可热插拔，即插即用，使用非常简单方便。U盘体积很小，重量极轻，存取速度快，约为软盘速度的15倍，容量大(现在一般可达到16GB或更大)，可靠性好，可擦写达100万次，数据可保存10年，可写保护，抗震防潮，特别适合随身携带，是移动办公及文件交换理想的存储产品［1］。除原有纯存储型U盘外，现在又有了新一代的启动型优盘，通过独有的软、硬盘开关，可以提供USB外置软驱、硬盘功能，通过模拟USB软驱及USB硬盘，直接引导系统启动［2］。

正是由于U盘有如此众多的优点，其使用已相当普及，来电子阅览室的读者可谓人手一个，有的甚至有多个。然而，恰恰是这些U盘给图书馆电子阅览室的管理带来了极大的负担——那就是U盘病毒的侵扰。

2 U盘病毒概述

顾名思义，U盘病毒就是通过U盘传播的病毒。自从发现U盘的autorun.inf漏洞以后，U盘病毒的数量就与日俱增。

常见的U盘病毒有:autorun.inf、sxs.Exe、folder.Exe等，这些病毒不只会存在于移动磁盘里，如果计算机系统中没有安装杀毒软件，也会感染到计算机的其他硬盘中，硬盘中此病毒可能难以用USB Cleaner v6.rar清除。病毒程序的隐藏方式有:①作为系统文件隐藏。因为一般系统文件是看不见的，所以这样就达到了隐藏的效果。②伪装成其他文件。由于一般人们不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。③藏于系统文件夹中［3］。

最近，一种U盘蠕虫病毒伪装成电影种子或视频文件以吸引用户下载，还利用U盘大肆传播，并会搜集电脑中的隐私和机密信息，并将全部信息发送到黑客指定地址。该病毒由以下文件组成:autorun.inf、msvcr71.dll、RavMonE.Exe、RavMonLog。当用户双击U盘盘符，会激活autorun.inf自动加载Rav-MonE.Exe，中毒之后，计算机识别U盘时会极为缓慢，病毒又会传染给新的U盘。U盘的打开方式里首选一个auto，就是用来激活被感染U盘中的病毒文件，继续感染其他电脑。这种病毒还把机器从某些端口连接指定IP，并从另外的端口向另一指定IP发送数据，还能偷偷地打开某电脑的远程登录程序，这对于个人隐私以及个人信息的保护来说存在着很大的安全隐患［4］。

目前，U盘病毒的传播方式已不像当初只在U盘根目录下生成一个autorun.inf的引导文件那么简单了。最新的U盘病毒变种方式有:首先是把U盘下所有文件夹隐藏，并把自己复制成与原文件夹名称相同的具有文件夹图标的文件，当点击时病毒就会执行且该病毒会打开该名称的文件夹;其次是在U盘的所有可执行文件里插入病毒本身。还有的是直接在每一个文件夹下面生成一个与该文件夹同名的exe文件，这就更具有混淆性。目前已经发现的有固定名称的病毒有:autorun.inf、AdobeR.Exe、bittorrent.Exe、copy.Exe、desktop.Exe、desktop2.Exe、folder.Exe、host.Exe、msinfmgr.Exe、msvcr71.dll、Rav-MonE.Exe、RavMonLog、RECYCLER〔.*、RECYCLER、SHE.Exe、sxs.Exe、SYSTEM.VER、toy.Exe、setup.pif、WORM_SILLYDC等［5］。

在系统中发现有wuauserv.Exe这个进程时，则可能已经中毒了，表现的方式是无法显示计算机中隐藏的文件和文件夹，即使在文件夹选项中选择了“显示所有文件和文件夹”，确定后又会自动改回去。感染病毒后，U盘里会带一个desktop.Exe的病毒文件，有一个folder.Exe文件，还可能有desktop2.Exe文件，都为隐藏状态。有一些伪装成受系统保护的文件，感染到电脑后会生成SVCHOST.EXE病毒母本。

一种名为“随机8位数”的木马病毒，也可通过U盘、MP3、移动硬盘等移动存储设备疯狂传播。该病毒采用“映像劫持”技术，病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，使系统运行速度变慢，并且尝试关闭杀毒软件、防火墙和安全工具进程，造成杀毒操作困难，无法升级病毒库，危害较大。

网络上流行的“rose.Exe”病毒，也通过U盘等移动存储设备传播。它最初的表现为右键单击电脑里各个盘符时，第一项由原来的“打开”变成了“自动播放”，然后在系统进程里会出现若干个“rose”进程，占用电脑的CPU资源。在移动存储设备内文件无法剪切、移动存储设备无法移出等，尤其在公用电脑上表现极为明显，传播更为迅速。

Worm/AutoRun.cbm“U盘寄生虫”变种cbm是“U盘寄生虫”蠕虫家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。病毒长度为49，781字节。与“卡拉蜜”(Packed.Krap.ju)类似，该病毒是由其他恶意程序释放出来的DLL病毒文件，一般会被注入到几乎所有用户级权限的进程中运行，隐藏自身以蒙蔽用户和防止被查杀，影响平台包括Win 9X/ME/NT/2000/XP/2003。

“U盘寄生虫”变种cbm是一个专门盗取即时聊天工具“腾讯QQ”账号信息的木马程序，会在被感染计算机的后台秘密监视用户打开的所有应用程序窗口标题，一旦发现“腾讯QQ”的登录窗口便会强行破坏其“键盘保护锁”，然后利用键盘钩子、内存截取或封包截取等技术盗取“QQ”的账号信息，并在后台将窃取到的内容发送到黑客指定的远程服务器站点上，给用户造成了一定程度上的损失。“U盘寄生虫”变种cbm还会修改系统注册表，实现开机自动运行。

有一种在局域网内流传的U盘病毒，能在磁盘内建立page file等自动运行文件，使磁盘无法双击打开，并能自动关闭杀毒软件的运行，阻止安全软件的安装，甚至修改或删除.exe和.doc文件，给用户带来麻烦。

3 U盘病毒的防范

现在电子阅览室所有电脑都有USB接口，U盘等移动存储设备似乎已成为读者的生活必需品，读者进入电子阅览室上机几乎必用U盘。然而，由于现有杀毒软件的缺陷，读者使用U盘等设备传播的病毒已成为电子阅览室乃至图书馆局域网安全的重大隐患。病毒通过U盘入驻电脑后，会占用大量资源，导致CPU使用率极高，系统运行困难。一些病毒通过互联网自动下载病毒程序，包括一些木马或流氓插件等，一旦一台电脑感染了病毒，整个局域网也因感染U盘传播的病毒而受到大量垃圾数据信号攻击，流量阻塞而导致网络瘫痪。如何防范U盘病毒已成为电子阅览室乃至图书馆计算机及其网络安全维护工作的又一重点。以下介绍防范U盘病毒的方法:①使用正版软件，并对系统软件及时升级，弥补漏洞，努力保持系统的完整性、安全性，从系统层面杜绝外部不安全因素的入侵。②安装杀毒软件包括防火墙，并要及时升级。③建立严格的上机制度，严格控制读者浏览不良网站，并要求读者使用U盘时要先查杀病毒。④建议插入U盘时，不要双击U盘。一个更好的技巧是:插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。U盘插入后，用右键点击U盘，选择“资源管理器”来打开U盘。⑤关闭自动播放封杀病毒传播。一般来说当我们把光盘或者U盘插到员工计算机后系统会马上出现一个自动播放的对话框，让我们选择打开方式，这种自动播放功能很容易造成病毒的入侵，关闭系统的自动播放功能可以封杀病毒传播途径。方法是:通过系统左下角的“开始”“运行”“输入gpedit.msc”，单击“确定”按钮，打开“组策略”窗口，在左窗格的“本地计算机策略”下，展开“计算机配置管理模板系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”。⑥采取趋势科技推出的网络安全专家(TIS)2008产品中提供的针对U盘病毒的解决方案，即免疫、查杀、启发式检测三项防范技术，形成有效的主动防御应对方案。这其中的“免疫”技术专门针对U盘插入电脑后的自运行功能，而这个本是方便使用者的功能经常会被病毒制造者利用，使病毒在用户完全不知情的情况下自动执行。这项“免疫”技术能自动禁用包括U盘在内的所有移动设备的自动播放功能，让U盘病毒无法自动激活，封锁了病毒侵入计算机的通路。由于该解决方案是嵌入到杀毒软件内部的，与系统防火墙同步运行，所以用户不用单独执行任何操作，即可避免从插入U盘到查杀病毒之间的防御“真空”。“查杀”技术会自动搜索并删除所有磁盘根目录下的autorun.inf文件，并根据这个文件的信息反向查杀已知和未知的病毒体文件和进程，使病毒无处藏身。“启发式检测”可以检测可疑autorun.inf文件，并阻止对该文件的访问，以阻止U盘病毒通过autorun.inf激活，抑制U盘病毒的传播。

总之，要多管齐下，多项技术互相支撑，使电子阅览室尽可能地避免或减少U盘病毒的侵袭，以全方位保障电子阅览室和图书馆的网络安全。

［1］ 什么叫U盘?.http：//iask.sina.com.cn/b/369003.html.2004-12-13.

［2］ SilveryMoon910.U盘是什么?.http：//zhidao.baidu.com/question/30280453.html.2007-7-10.

［3］ tieshashi.常见的u盘病毒有哪些.http：//zhidao.baidu.com/question/28038030.html.2007-6-11.

［4］ 最近流行的U盘病毒有哪些.http：//shequ.qihoo.com/q/shopping/14397219.html.2008-08-16.

［5］ monyer.手把手地教你干掉目前所有的U盘病毒.http：//publish.it168.com/2007/0621/20070621003301.shtml.2007-06-21.