當(dāng)下“自動(dòng)播放”(Autorun)技術(shù)已成為病毒木馬的“最愛(ài)”,倘若一個(gè)U盤(pán)或移動(dòng)硬盤(pán)帶毒,那么這個(gè)移動(dòng)毒源 “所到之處”都會(huì)對(duì)病毒進(jìn)行傳播,使人防不勝防頻頻中招。從今年年初肆虐的“熊貓燒香”、“AV終結(jié)者”,到近期的 “小浩”都使用了“自動(dòng)播放”(Autorun)技術(shù)來(lái)增強(qiáng)其傳播能力。
針對(duì)這一類利用U盤(pán)或移動(dòng)硬盤(pán)帶毒進(jìn)行傳播的病毒,不少用戶采取關(guān)閉Windows“自動(dòng)播放”功能來(lái)進(jìn)行病毒的防范,這樣防范措施真的有效嗎?對(duì)于此類病毒究竟怎樣防范才可以更為安全?
為此記者專門(mén)咨詢了微點(diǎn)反病毒專家,據(jù)介紹,目前,U盤(pán)的使用非常普遍,很多病毒都是利用自動(dòng)播放功能來(lái)激活U盤(pán)中的病毒實(shí)現(xiàn)傳播,用戶的電腦一旦中了此類病毒,便很難實(shí)現(xiàn)對(duì)病毒的徹底查殺和清理。例如某些用戶中了AV終結(jié)者病毒后,因多種軟件無(wú)法正常使用,常會(huì)采取格式化系統(tǒng)分區(qū),重裝系統(tǒng)的方式進(jìn)行處理。但是,即使系統(tǒng)重新安裝后,用戶只要打開(kāi)其它硬盤(pán)分區(qū)又會(huì)激活病毒,導(dǎo)致重新中毒。也就是說(shuō)“自動(dòng)播放”類病毒多將硬盤(pán)所有分區(qū)全部感染,所以一旦中毒,電腦所有硬盤(pán)分區(qū)將無(wú)一“幸免”。
針對(duì)關(guān)閉Windows“自動(dòng)播放”功能是否可以有效防范此類病毒的問(wèn)題,微點(diǎn)反病毒專家介紹說(shuō):防范通過(guò)移動(dòng)存儲(chǔ)進(jìn)行感染的病毒,單純地通過(guò)關(guān)閉“自動(dòng)播放”實(shí)屬治標(biāo)不治本,普通用戶通過(guò)簡(jiǎn)單的設(shè)置根本無(wú)法防護(hù)自己的電腦安全。目前微點(diǎn)主動(dòng)防御軟件已經(jīng)捕獲了多種試圖通過(guò)自動(dòng)開(kāi)啟“自動(dòng)播放”功能以完成自我傳播的病毒,如Trojan.Win32.Delf.bfa、Backdoor.Win32.Agent.eeg等等。
其實(shí)“自動(dòng)播放”(autorun)類病毒本身是一類非常典型的病毒行為,它通過(guò)寫(xiě)入惡意的autorun.inf腳本和配套的木馬程序來(lái)實(shí)現(xiàn)其病毒傳播目的。因此,使用具有行為殺毒能力的主動(dòng)防御產(chǎn)品,根本無(wú)需去關(guān)閉自動(dòng)播放功能即可有效防御此類病毒。這樣既可以保證用戶安全使用正常的自動(dòng)播放功能,在發(fā)現(xiàn)有害的自動(dòng)播放程序時(shí)可以準(zhǔn)確查殺,下圖為主動(dòng)防御軟件對(duì)自動(dòng)播放類病毒的典型報(bào)警圖,報(bào)警提示中會(huì)明確告知用戶該木馬為帶有autorun.inf的自動(dòng)播放類木馬程序。
據(jù)悉,除已具備行為殺毒能力的微點(diǎn)主動(dòng)防御軟件、江民和卡巴斯基之外,國(guó)內(nèi)最大的安全廠商瑞星公司也將在其2008新版產(chǎn)品中全面部署實(shí)施主動(dòng)防御功能。我們有理由相信08年是反病毒行業(yè)的主動(dòng)防御普及年,屆時(shí)此類“自動(dòng)播放”(autorun)型病毒將得到有效的遏制。廣大用戶無(wú)需去費(fèi)心思進(jìn)行關(guān)閉設(shè)置,即可由主動(dòng)防御技術(shù)獲得可靠的安全保證。
另外,微點(diǎn)專家還介紹了關(guān)于此類病毒的手工檢測(cè)的方法:由于自動(dòng)播放類木馬在使用“我的電腦”打開(kāi)磁盤(pán)分區(qū)的時(shí)候就會(huì)自動(dòng)激活病毒,即使使用右鍵菜單打開(kāi)也可能會(huì)被病毒感染。所以,在Windows下徹底手工清除該類木馬的操作難度較大,我們需要借助第三方文件管理工具來(lái)手工清除此類木馬。例如,可以使用常見(jiàn)的壓縮軟件WinRAR的文件管理功能來(lái)查找硬盤(pán)和U盤(pán)根目錄下的autorun.inf文件,根據(jù)autorun.inf文件內(nèi)容進(jìn)行分析,以徹底清除autorun.inf和其關(guān)聯(lián)的木馬文件。這樣就解除了aurorun木馬的傳播能力。但由于此種手工檢測(cè)方法對(duì)于普通用戶來(lái)說(shuō)可能存在有一定的操作難度,因此還是建議廣大用戶使用帶有主動(dòng)防御功能的安全軟件進(jìn)行防范。
