當下“自動播放”(Autorun)技術已成為病毒木馬的“最愛”,倘若一個U盤或移動硬盤帶毒,那么這個移動毒源 “所到之處”都會對病毒進行傳播,使人防不勝防頻頻中招。從今年年初肆虐的“熊貓燒香”、“AV終結者”,到近期的 “小浩”都使用了“自動播放”(Autorun)技術來增強其傳播能力。
針對這一類利用U盤或移動硬盤帶毒進行傳播的病毒,不少用戶采取關閉Windows“自動播放”功能來進行病毒的防范,這樣防范措施真的有效嗎?對于此類病毒究竟怎樣防范才可以更為安全?
為此記者專門咨詢了微點反病毒專家,據介紹,目前,U盤的使用非常普遍,很多病毒都是利用自動播放功能來激活U盤中的病毒實現傳播,用戶的電腦一旦中了此類病毒,便很難實現對病毒的徹底查殺和清理。例如某些用戶中了AV終結者病毒后,因多種軟件無法正常使用,常會采取格式化系統分區,重裝系統的方式進行處理。但是,即使系統重新安裝后,用戶只要打開其它硬盤分區又會激活病毒,導致重新中毒。也就是說“自動播放”類病毒多將硬盤所有分區全部感染,所以一旦中毒,電腦所有硬盤分區將無一“幸免”。
針對關閉Windows“自動播放”功能是否可以有效防范此類病毒的問題,微點反病毒專家介紹說:防范通過移動存儲進行感染的病毒,單純地通過關閉“自動播放”實屬治標不治本,普通用戶通過簡單的設置根本無法防護自己的電腦安全。目前微點主動防御軟件已經捕獲了多種試圖通過自動開啟“自動播放”功能以完成自我傳播的病毒,如Trojan.Win32.Delf.bfa、Backdoor.Win32.Agent.eeg等等。
其實“自動播放”(autorun)類病毒本身是一類非常典型的病毒行為,它通過寫入惡意的autorun.inf腳本和配套的木馬程序來實現其病毒傳播目的。因此,使用具有行為殺毒能力的主動防御產品,根本無需去關閉自動播放功能即可有效防御此類病毒。這樣既可以保證用戶安全使用正常的自動播放功能,在發現有害的自動播放程序時可以準確查殺,下圖為主動防御軟件對自動播放類病毒的典型報警圖,報警提示中會明確告知用戶該木馬為帶有autorun.inf的自動播放類木馬程序。
據悉,除已具備行為殺毒能力的微點主動防御軟件、江民和卡巴斯基之外,國內最大的安全廠商瑞星公司也將在其2008新版產品中全面部署實施主動防御功能。我們有理由相信08年是反病毒行業的主動防御普及年,屆時此類“自動播放”(autorun)型病毒將得到有效的遏制。廣大用戶無需去費心思進行關閉設置,即可由主動防御技術獲得可靠的安全保證。
另外,微點專家還介紹了關于此類病毒的手工檢測的方法:由于自動播放類木馬在使用“我的電腦”打開磁盤分區的時候就會自動激活病毒,即使使用右鍵菜單打開也可能會被病毒感染。所以,在Windows下徹底手工清除該類木馬的操作難度較大,我們需要借助第三方文件管理工具來手工清除此類木馬。例如,可以使用常見的壓縮軟件WinRAR的文件管理功能來查找硬盤和U盤根目錄下的autorun.inf文件,根據autorun.inf文件內容進行分析,以徹底清除autorun.inf和其關聯的木馬文件。這樣就解除了aurorun木馬的傳播能力。但由于此種手工檢測方法對于普通用戶來說可能存在有一定的操作難度,因此還是建議廣大用戶使用帶有主動防御功能的安全軟件進行防范。
