U盤病毒專殺工具

簡(jiǎn)介

a class="ed_inner_link" href="/lemma/ShowInnerLink.htm?lemmaId=62869012" target="_blank" ss_c="ssc.citiao.link">U盤病毒顧名思義就是通過(guò)U盤傳播的 病毒。自從發(fā)現(xiàn)U盤的 autorun.inf 漏洞之后，U盤病毒的數(shù)量與日俱增。

U盤病毒

攻擊原理

病毒首先向U盤寫(xiě)入病毒程序，然后更改 autorun.inf文件。 autorun.inf文件記錄用戶選擇何種程序來(lái)打開(kāi)U盤。如果 autorun.inf文件指向了病毒程序，那么Window就會(huì)運(yùn)行這個(gè)程序，引發(fā)病毒。一般病毒還會(huì)檢測(cè)插入的U盤，并對(duì)其實(shí)行上述操作，導(dǎo)致一個(gè)新的病毒U盤的誕生。

隱藏方式

自然，病毒程序不可能明目張膽的出現(xiàn)，一般都是巧妙存在在U盤中。下面總結(jié)了一些方式，僅供參考：

1） 作為 系統(tǒng)文件隱藏。 一般系統(tǒng)文件是看不見(jiàn)的，所以這樣就達(dá)到了隱藏的效果。但這也是比較初級(jí)的。病毒一般不會(huì)采用這種方式。

2） 偽裝成其他文件。由于一般人們不會(huì)顯示文件的后綴，或者是文件名太長(zhǎng)看不到后綴，于是有些病毒程序?qū)⒆陨韴D標(biāo)改為其他文件的圖標(biāo)，導(dǎo)致用戶誤打開(kāi)。

3） 藏于 系統(tǒng)文件夾中。雖然感覺(jué)與第一種方式相同，但是不然。這里的 系統(tǒng)文件夾往往都具有迷惑性，如文件夾名是 回收站的名字。

4） 運(yùn)用Window的 漏洞。有些病毒所藏的文件夾的名字為 runauto...,這個(gè)文件夾打不開(kāi)，系統(tǒng)提示不存在路徑。其實(shí)這個(gè)文件夾的真正名字是 runauto...\。

專殺工具

USBKiller

1.獨(dú)創(chuàng)SuperClean高效強(qiáng)力 殺毒引擎,查殺auto.exe、AV終結(jié)者、rising等上百種頑固U盤病毒,保證95%以上查殺率；

2.國(guó)內(nèi)首創(chuàng)對(duì)電腦實(shí)行 主動(dòng)防御，自動(dòng)檢測(cè)清除插入U(xiǎn)盤內(nèi)的病毒，杜絕病毒通過(guò)U盤感染電腦；

3.免疫功能可以讓你制作自己的防毒U盤；　4.防止他人使用U盤、移動(dòng)硬盤盜取電腦重要資料；　5.解除U盤鎖定狀態(tài)，解決拔出時(shí)無(wú)法停止設(shè)備的問(wèn)題；　6.進(jìn)程管理讓你迅速辨別并終止系統(tǒng)中的可疑程序；　7.完美解決雙擊無(wú)法打開(kāi)磁盤的問(wèn)題；　8.兼容其它 殺毒軟件，可配合使用。

USBCleaner

U 盤病毒又稱 Autorun 病毒，是通過(guò) AutoRun.inf 文件使對(duì)方所有的硬盤完全共享或中 木馬的病毒。

隨著 U 盤，移動(dòng)硬盤，存儲(chǔ)卡等移動(dòng)存儲(chǔ)設(shè)備的普及，U 盤病毒也隨之泛濫起來(lái)。

國(guó)家 計(jì)算機(jī)病毒處理中心發(fā)布公告稱 U 盤已成為病毒和惡意 木馬程序傳播的主要途徑。

面對(duì)這一需要， U 盤病毒專殺工具- USBCleaner 應(yīng)運(yùn)而生。

USBCleaner 是一種純綠色的輔助殺毒工具，支持簡(jiǎn)體與繁體語(yǔ)言系統(tǒng),獨(dú)有的分類查殺引擎具有檢測(cè)查殺 470 余種 U 盤病毒，U 盤病毒廣譜掃描，U 盤病毒免疫，修復(fù)顯示 隱藏文件及 系統(tǒng)文件，安全 卸載移動(dòng)盤盤符等功能，全方位一體化修復(fù)殺除 U 盤病毒。同時(shí) USBCleaner 能迅速對(duì)新出現(xiàn)的 U 盤病毒進(jìn)行處理

金山工具

前面所列出的專殺工具已經(jīng)不能清除最新出現(xiàn)的U盤病毒，金山安全實(shí)驗(yàn)室分析了眾多U盤病毒的規(guī)律，開(kāi)發(fā)出新版U盤病毒專殺工具，可以 智能分析，啟發(fā)判斷，通殺未知U盤病毒。同時(shí)，可以提供病毒免疫功能，阻止新U盤病毒的再次感染。對(duì)主要通過(guò)U盤傳播的conficker病毒有很好的清除能力。

鵬瞰軟件

軟件介紹

鵬瞰是“pre-scan”的音譯，意為搶先掃描，即在啟動(dòng)計(jì)算機(jī)但未登錄計(jì)算機(jī)時(shí)，在Native環(huán)境下運(yùn)行的病毒專殺工具。不同于普通的專殺，這是一款全新模式的病毒專殺工具，能比較好的解決頑固病毒在計(jì)算機(jī)啟動(dòng)后無(wú)法清除的問(wèn)題。

在Native環(huán)境下，病毒一般不會(huì)啟動(dòng)，此時(shí)處理具有一定優(yōu)勢(shì)，國(guó)內(nèi)反病毒廠商第一家應(yīng)用這項(xiàng)技術(shù)的是江民科技的BootScan，其次是 瑞星的Bsmain，但都不免費(fèi)，為此，我們把此功能和通用反病毒引擎的一些重要功能獨(dú)立出來(lái)做一個(gè)工具免費(fèi)提供大家使用。它有以下幾個(gè)特點(diǎn)：

1. 完全免費(fèi)，放心使用。

2. 運(yùn)行平臺(tái)為32位Win2000,Win2003,WinXP,Vista,Win7。

3. 搶先掃描，優(yōu)勢(shì)不言而喻，能有效解決普通專殺對(duì)系統(tǒng)級(jí)病毒查殺不徹底的弱點(diǎn)。

4. 優(yōu)良的引擎架構(gòu)。編寫(xiě)之初，我們翻閱了很多反病毒引擎方面的資料，最終確定了模式。事實(shí)上專殺工具即是反病毒引擎的裁剪版本，這使得我們的專殺擁有和通用反病毒引擎同樣強(qiáng)勁的功能，并且更加靈活。

5. U盤專殺模塊。我們專門針對(duì)U盤病毒設(shè)計(jì)了專殺模塊，這個(gè)模塊的功能日臻完善，通過(guò)基準(zhǔn)庫(kù)、啟發(fā)庫(kù)、黑名單等一系列手段，比較徹底的清除病毒。我們的專殺模塊是遞增的，之后添加的專殺模塊和之前的模塊捆綁發(fā)布，不會(huì)裁剪。

6. 針對(duì)專業(yè)級(jí)的用戶，我們提供了黑名單功能。對(duì)于 未知病毒，允許用戶添加自己認(rèn)為是病毒的樣本。是在新病毒突然爆發(fā)時(shí)，應(yīng)對(duì) 病毒庫(kù)升級(jí)滯后的應(yīng)急措施。

7. 為了防止誤報(bào)，增加 隔離區(qū)功能。在殺毒之前，備份病毒樣本，目的是一旦發(fā)現(xiàn)誤報(bào)則可以還原為殺毒之前的狀態(tài)，防止用戶數(shù)據(jù)丟失。一般而言，反病毒 軟件廠商的誤報(bào)率在萬(wàn)分之五以下，但誤報(bào)是無(wú)法避免的，即便是最優(yōu)秀的 殺毒軟件。

8. 實(shí)時(shí)查殺。引擎在掃描時(shí)會(huì)自己學(xué)習(xí)病毒樣本，實(shí)現(xiàn)邊查殺邊學(xué)習(xí)再查殺功能，此功能為我們獨(dú)創(chuàng)，運(yùn)行良好。

使用介紹

1. 軟件解壓到目錄后，運(yùn)行pre-scanUSB.exe，如圖：

2. 根據(jù)提示的使用說(shuō)明，安裝即可。如果計(jì)算機(jī)上安裝有監(jiān)控 軟件，可能會(huì)被攔截，請(qǐng)?jiān)试S安裝。本 軟件需要寫(xiě)注冊(cè)表System\\CurrentControlSet\\Control\\SessionManager\\BootExecute鍵值設(shè)置啟動(dòng)殺毒，并且在System\\CurrentControlSet\\Control下創(chuàng)建pre-scan鍵值并設(shè)置一些必要參數(shù)，最后將pre-scan.exe拷貝到系統(tǒng)目錄system32下。

3. 安裝成功后插入U(xiǎn)盤。

4. 重新啟動(dòng)后，會(huì)出現(xiàn)以下界面：

按’A’鍵 掃描所有盤

按’B’鍵 掃描關(guān)鍵目錄，例如c:\windows

按’C’鍵 掃描C盤，以此類推，按’D’鍵掃描D盤等待，這個(gè)系統(tǒng)顯示只存在C,E盤，而E盤是USB盤。

按’U’鍵 掃描U盤。注意，如果重啟之前沒(méi)有插入U(xiǎn)盤時(shí)，不會(huì)出現(xiàn)此鍵?！甎’鍵是專門為清除U盤病毒設(shè)計(jì)的。此時(shí)，按’U’鍵和’E’鍵查殺效果相同。

按’Esc’鍵 退出程序。

技術(shù)參數(shù)

1. 基準(zhǔn)庫(kù)

用于病毒特征碼的添加?；鶞?zhǔn)庫(kù)特征碼為智能添加，在控制誤報(bào)率的基礎(chǔ)上實(shí)現(xiàn)了自動(dòng)添加和引擎的無(wú)縫結(jié)合。

2. 啟發(fā)庫(kù)

用于類似U盤病毒的啟發(fā)。

3. 黑名單庫(kù)

即Md5值庫(kù)，用戶添加后根據(jù)Md5值查殺，Md5值誤報(bào)率極低，所以采取此方法，但添加黑名單時(shí)需要特別注意防止添加 系統(tǒng)文件。

4. 脫殼庫(kù)

因?yàn)樾枰闅d5值，所以會(huì)盡量保證 脫殼后和脫殼前的Md5值相同。

5. 解壓庫(kù)

可以解壓常見(jiàn)的 文件格式。

6. 實(shí)時(shí)庫(kù)

配合實(shí)時(shí)查殺技術(shù)設(shè)計(jì)。

7. 清除庫(kù)

針對(duì)感染類病毒。對(duì)一般的感染類病毒，一條特征碼即可解毒；對(duì)復(fù)雜的感染類病毒，則通過(guò)專門的清除模塊處理。

8. 云查殺功能

設(shè)計(jì)之初，我們充分考慮了面向互聯(lián)網(wǎng)的引擎設(shè)計(jì)要求，云不用md5是可以實(shí)現(xiàn)的，使之更適應(yīng)互聯(lián)網(wǎng)的發(fā)展。

9. 移植性

優(yōu)良的引擎構(gòu)架，使我們能輕而易舉的把引擎移植到各種平臺(tái)，無(wú)論是手機(jī)、windows，Native，Linux，還是非x86系統(tǒng)。事實(shí)上我們的第一個(gè)版本是運(yùn)行在PocketPC手機(jī)上，運(yùn)行平臺(tái)為WinCE系統(tǒng)，可以參考：免費(fèi) 手機(jī)殺毒軟件V1.0。

10. 誤報(bào)率

經(jīng)嚴(yán)格測(cè)試，誤報(bào)率在萬(wàn)分之五以下。

。。。。。。

還有很多的方面的技術(shù)，恕不一一指出。引擎的發(fā)展是多元化的，感興趣的朋友可以參考Clamav的引擎設(shè)計(jì)，其 病毒庫(kù)類型豐富多彩，特征碼變化萬(wàn)千，引擎設(shè)計(jì)的本質(zhì)就是變化，不斷適應(yīng)新的互聯(lián)網(wǎng)環(huán)境。