U盘病毒防护技术研究

周海峰

（国网江苏省电力有限公司南通供电分公司 江苏 南通 226499）

1 引言

随着计算机技术与网络通信技术的高速发展，计算机在人们的工作生活中得到了广泛的应用，在给人们带来便利的同时，计算机病毒随着信息技术的发展，病毒的传播，给计算机信息系统的数据安全带来了极大的安全隐患，同时移动U盘、移动硬盘等移动存储载体，因其容量大、便于携带、便于使用，在各行各业中使用率很高。与此同时，U盘已成为恶意木马和U盘病毒传播的主要介质。通过分析U盘病毒的特征、传播方式、以及防范措施，希望为大家在日常的计算机使用、维护过程中，提供帮助。

2 计算机U盘病毒

计算机病毒是非法组织或个人利用计算机软件或硬件漏洞编制的一组指令集或程序代码[1]。U盘病毒，不是特定的某个病毒，是存在于电脑硬盘或者移动存储介质中或者网络上，可以通过U盘等存储介质来传播的病毒。U盘因其小巧方便，被大众广泛用来数据存储、数据交换，与此同时，U盘病毒的数量同比上升，国家计算机病毒处理中心发布公告称U盘已成为病毒和恶意木马程序传播的主要途径。U盘病毒主要通过打开U盘时自动播放和Autorun文件来执行病毒程序，将病毒程序复制到计算机系统中从而使计算机中毒，同时中毒的计算机也会感染插入该计算机的移动盘。

3 计算机U盘病毒的特征和传播方式

归纳起来，计算机病毒有如下特征：

3.1 攻击隐蔽性

计算机病毒跟其他计算机程序一样，是一段可执行程序，计算机病毒在运行后攻击计算机，与用户争夺系统或数据的控制权，不易被人发现。

3.2 传染性

病毒可通过各种渠道从受感染计算机复制到其他计算机、存储设备上。

3.3 传染渠道广

病毒可以通过移动存储设备（U盘）、互联网、电子邮件以及即时通信软件比如微信、腾讯QQ等方式入侵计算机系统并不断传播。

3.4 潜伏性

病毒可以潜伏在计算机系统而不造成破坏，等满足一定条件(比如打开某一特定程序、到达某一时间点等)后，就启动病毒程序对系统进行攻击。

3.5 破坏力强

计算机U盘病毒一旦发作，轻则造成系统卡顿、影响用户正常使用，造成系统死机、无法正常操作计算机；重则造成数据丢失、数据损坏、或者被非法加密，用户无法正常使用计算机中的数据，对企业来讲，有可能造成机密数据丢失、大量用户信息的泄露，从而对企业正常运营造成影响、对个人生命财产安全带来危害。

3.6 针对性强

部分U盘病毒的编制有针对性，潜伏在个人或企业的计算机系统中，等待时机进行攻击，进而获取特定数据或者入侵信息系统。

根据江民病毒疫情监测预警中心2021年7月的统计数据，病毒种类：655种，病毒发现数量：10784个，病毒感染计算机数量：1848台，新病毒种类：167种，新病毒发现数量：384个，新病毒感染计算机数量：260台，其中排名前10的病毒感染情况如图1。

图1 2021年7月江民病毒疫情监测预警中心月度病毒排名前十数据

图1中，可通过U盘传播的Trojan木马病毒占比达60%。如何防范和处理U盘病毒成为个人和企业计算机使用中必须面对的工作。

U盘病毒的自动播放方式：U盘病毒一般利用操作系统的自动播放功能来运行，U盘病毒也称Autorun病毒，通过更改AutoRun.inf文件，从而运行计算机中的程序。一般经由修改U盘自带的AutoRun.inf文件，从而自动运行和传播内置在U盘中的非法程序的病毒，都可以称为U盘病毒。随着U盘、各种SD卡、移动硬盘等各种移动存储介质的普及，U盘病毒也开始猖獗。病毒首先在U盘中注入病毒程序、更改autorun.inf文件。autorun.inf文件记录了用户选择哪种方式来打开U盘。如果autorun.inf文件指向了病毒木马，那么运行后，就会激活病毒。有的病毒还会检测U盘插入操作，检测到之后会新建一个autorun.inf文件，一个新的带毒U盘就诞生了。用户的U盘插入受感染的计算机、拷贝带毒U盘，都可能感染U盘病毒。用户使用带毒U盘时，只要插上U盘，通过计算机系统自动播放或者用户双击打开，就会自动运行病毒编制者预设的程序，从而对计算机系统和数据造成破坏[2]。

4 U盘病毒的防范措施

在了解了U盘病毒的传播特征和运行原理后，我们可以使用安全移动存储介质加密工具，普通的U盘或者移动硬盘内数据经过高强度加密处理，用户在授权计算机使用安全U盘时，输入安全密码可以读取或写入安全U盘中的数据[3]，这种方式杜绝了用户双击U盘时计算机感染病毒的风险，降低了U盘和计算机之间相互复制传播病毒的几率，维护了企业计算机网络系统的安全，预防和控制了计算机病毒的感染、传播和扩散的途径，保证了企业信息系统的正常运行。

除了使用U盘加密来降低病毒感染率，针对U盘的特点和传播方式，我们还可以使用以下防护措施来防止U盘病毒的入侵：

4.1 关闭系统自动播放功能

操作系统默认情况下，会自动打开插入的光盘或U盘，用户插入U盘后，会自动运行U盘中autorun指定的程序，病毒通过插入U盘这个简单的动作，在用户没有其他任何操作的情况下，悄悄地运行自带的恶意程序。为了防范这种传播方式，我们可以关闭系统在插入U盘时的自动播放功能，关闭后，插入即运行的操作就被阻止了。

关闭自动播放功能：WindowsXp系统用户可以直接在“开始-运行”中输入“gpedit.msc”后打开“本地组策略编辑器”。在“计算机配置”或者“用户配置”下，找到“管理模板”下面的“系统”，在“设置”中找到并配置“关闭自动播放”设置为对所有驱动器“已启用”即可。

Win7用户可以在“控制面板”中直接找到并打开“自动播放”选项，把前面的√去掉即可。

我们还可以通过关闭系统相关服务来停止自动播放功能：在“计算机管理”下面的“服务”中找到“Shell Hardware Detection”项，直接改为“已禁用”即可。

4.2 修改注册表键值/备份注册表

在关闭U盘自动播放功能后，用户双击U盘盘符后，病毒依然会自动运行感染系统，这个时候用户可以通过修改注册表键值来阻止双击操作时U盘内置程序自动运行：在“开始”--“运行”中输入“regedit”，打开注册表编辑器，直接查找键值“MountPoints2”，找到后右键单击“MountPoints2”；设置权限：把“组或者用户名”中所有的组或者用户分别设置“RESTRICTED的权限”为“拒绝”。这样设置后，系统即便读取了Autorun.inf文件，相关运行U盘的程序也不会出现在系统的右键菜单中，双击盘符不会运行Autorun.inf文件，而是直接打开其中的内容，从而阻止了病毒程序的运行。

部分病毒攻击系统时会通过更改注册表来运行病毒程序，我们还可以在系统纯净的状态下，备份注册表数据，当系统出现异常时，可以通过恢复注册表来阻止病毒的破坏。

4.3 为磁盘创建Autorun.inf文件夹

因为U盘病毒的传播离不开Autorun.inf文件，我们可以给磁盘创建一个“Autorun.inf”文件，当U盘病毒尝试复制时，病毒因无法创建autorun.inf文件，这时就算没有关闭自动播放功能，双击磁盘也不会运行病毒程序[4]。

4.4 使用鼠标右键打开U盘

很多用户在使用U盘时，在插入U盘后直接双击盘符打开U盘，如果U盘存在病毒，用户的双击操作，有可能直接被认定为运行U盘中的病毒程序，从而导致用户的数据遭到破坏。因此，我们在插入U盘后，可以采用在“我的电脑”鼠标右击盘符打开U盘，或者在“我的电脑”的地址栏中直接输入U盘盘符，这些操作，避免了双击U盘运行U盘内置程序的隐患，这样操作即使U盘中有病毒程序也不会运行。也可以在插入U盘前，按住“Shift”键，再插入U盘，过几秒后松开，这样也可以阻止U盘在插入计算机后自动运行U盘内的程序。

4.5 清除U盘病毒

如果用户在使用中发现计算机中了U盘病毒，我们可以重新启动计算机，开机时按“F8”，选择进入安全模式。在“开始”--“运行”中输入regedit，打开注册表编辑器，找到“计算机HKEY_CLASS_ROOTDriveShell”，如果下面有键值“Autorun”就删除。如果中毒比较严重，就需要专用U盘病毒清除工具：例如USBKiller、USBCleaner等工具来清除，同时检查计算机是否及时安装操作系统补丁，杀毒软件的病毒库是否升级到最新等。

5 结语

为了维护企业计算机计算机系统以及用户数据的安全，预防和控制计算机病毒的传播和扩散，保障企业各项应用系统的稳定以及用户数据的安全，可以使用一些安全移动存储介质加密工具对U盘进行加密，能较好地降低U盘病毒传播的问题，计算机用户要确保计算机安装了杀毒软件并定期查杀病毒、木马、更新病毒定义码[5]；使用安全U盘并为操作系统和各个应用系统设置足够安全的密码；在使用外来U盘进行数据交换前，首先查杀病毒、木马；在存储重要数据的计算机上，专盘专用并使用经过数据加密安全盘，保证数据传输的安全性；为防止感染病毒造成数据丢失，涉密的U盘还应做好数据备份、控制使用区域等措施。计算机用户养成良好的U盘使用习惯，提升企业、个人用户的病毒防范意识，有助于提升企业、个人用户数据的安全水平。