警惕！隐藏在右键“打开”中的病毒！！！

yyjjyt

最近，发现周围的人对病毒的防范意识有了很大的提高，比较明显的一点就是：打开U盘时，很少有人再直接双击U盘图标，而是用鼠标右键U盘，看看有没有“Auto”之类的选项，从而确定U盘是不是中了病毒。（这个好习惯还得归功于近来的U盘病毒都喜欢用“Auto”作为自启选项名称……）不过，与此同时，发现很多人产生了一个错误的认识，即右键U盘后，只要看到“打开”就放心选“打开”，认为用这个方式打开U盘就不会感染病毒。这个错误认识的直接后果就是为其它以“打开”作为启动选项的病毒创造了条件。
所以，写篇文章提醒大家：即使右键U盘出现“打开”也不一定就可以放心地选“打开”来打开U盘。
1、   U盘病毒的工作原理：
U盘病毒的启动程序一般分为两个文件：一个autorun.inf，一个隐藏的病毒文件。当然现在看到的下载型病毒有的是由三个文件组成：一个autorun.inf，一个auto.EⅩE，一个病毒文件。但无论U盘病毒怎么变花样，其中autorun.inf是必要的文件，这个文件控制着U盘右键菜单的项目，也是决定了鼠标双击U盘时，运行何种程序。如果autorun.inf被删除，那病毒的自启动能力就会消失。这就是时下那些所谓的“U盘免疫工具”的工作原理，即插入U盘后自动扫描U盘中的文件，检查其中有没有叫“autorun.inf”这个文件，有的话，直接删除。
注意：这类工具只是简单地判断文件名，不会分析文件中的代码，只要有autorun.inf就直接删除，哪怕那个文件是自己建的无毒文件。从实用的角度说，这个功能的确可以起到防范U盘病毒的作用。不过对于已经装了杀毒软件，并开启实时保护的情况下，这个功能的用处并不大。因为杀毒软件会自动检查文件中的代码，并在发现病毒时会删除病毒文件，包括autorun.inf文件。而且对于性能好的杀毒软件，一般都可以正确地判断出autorun.inf文件是否带毒，如果没有毒，就保留文件，不会一并删除，这个作用更为人性化，可以保留个人自己做的autorun.inf文件。
2、   autorun.inf代码的简单介绍：
造成认为“打开”选项不是病毒的主要原因归根结底还是对autorun.inf代码认识不足。目前发现很多人都以右键菜单中有无“Auto”来判断是否中毒，殊不知“Auto”项本身不过是autorun.inf代码中自行命名的，只要编的人愿意，他可以随意改变这个名字，甚至是“打开”、“资源管理器”。因此，在说明“打开”型病毒之前，有必要介绍一下autorun.inf中的代码。
autorun.inf原先用于光盘的自启动，随着U盘的普及，目前以U盘为目标建立autorun.inf来达到传播目的的病毒已经很常见。网上有一些关于autorun.inf代码的中文介绍，但个人看法，中文的介绍都不是很完整。推荐文章“Autorun.inf Entries(MSDN)”的英文版本。这是目前看到的最好最全的版本。以下根据英文版的内容加上个人的一些实践说明一下病毒常用代码的格式。
autorun.inf代码下[Autorun]分支有控制自启动、右键菜单选项等各种命令，病毒常用的命令有open、shellexecute、shell、shell\verb
open命令格式：
open=[exe文件路径] exe文件 [参数]
shellexecute命令格式
shellexecute=[文件路径文件名 [参数]
open命令和shellexecute命令都用于程序启动，不同的是open只能加exe、com、bat三种类型的文件，而shellexecute可以加数据文件，依靠文件关联打开相关程序播放。
由于目前没有找到一个版本的说明中有open和shellexecute的区别，所以这里再说说个人试验后的一些结果，以便对open和shellexecute命令有所区分：
1）如果代码中只有open没有shellexecute，那open命令和shell命令作用重合，如果代码中存在shell命令，那没有open也可以。
2）如果代码中只有shellexecute没有open，那在右键菜单选项的第一项将自动出现一个“自动播放”的默认选项。
3）如果代码中同时存在open和shellexecute，那右键菜单选项中凡是有autorun.inf内shell命令指定的选项按照其在autorun.inf中的标签（verb）字母顺序排列，不是指定的选项按原来顺序排列，排在首位的选项将成为默认选项。
以上结果仅仅是个人通过试验autorun代码得到的结果，仅供参考。
shell命令格式与shell\verb命令格式
这两个命令用于控制右键菜单项目，其中shell\verb用于增加自定义右键菜单项目，shell用于把shell\verb定义条目提升为默认项目。
格式：
shell\verb=自定义右键菜单名，其中verb是一个标签，可以自定义名称，用于shell中识别。
Shell\verb\Command=要运行的程序名，即指定自定义菜单项所指向的程序。
Shell=verb，将verb标签中指定的项目提升为默认项目。
经过以上步骤后，此时双击U盘会自动打开verb标签指向的程序，这就是为什么双击U盘会激活病毒的原因。
3、“打开”型U盘病毒的特征
了解了autorun.inf代码后，可以发现实际上右键菜单中的自定义项目完全可以随意更换名字，那也就不奇怪如果是“打开”，同样可以是病毒的启动项。现在举一些比较典型的利用“打开”作为启动项目的例子：
1）   第一种情况：两个“打开”
autorun.inf代码如下：
[AutoRun]
open=virus.com
shell=run
shell\run=打开(&O)
shell\run\Command=virus.com
shell\explore=资源管理器(&X)
shell\explore\Command=virus.com
这种情况下，右键会出现两个“打开”（如图），其中第一个“打开”为病毒的自启动选项，点第二个“打开”，可以安全地打开U盘。这种情况需要在右键时仔细查看。

2）   第二种情况：看似正常的“打开”
autorun.inf代码如下：
[AutoRun]
open=virus.com
shell\open=打开(&O)
shell\open\Command=virus.com
shell\explore=资源管理器(&X)
shell\explore\Command=virus.com
这种情况具有很强的迷惑性，单从右键菜单看，与正常的右键菜单没什么差别。这时第一个选项“打开”与后面的选项“资源管理器”都是病毒的启动选项，无论点哪个都会激活病毒程序。

3）   第三种情况：“Auto”迷惑性“打开”
[AutoRun]
open=virus.com
shell\open=打开(&O)
shell\open\Command=virus.com
shell\explore=资源管理器(&X)
shell\explore\Command=virus.com
shellexecute=virus.com
shell\Auto\command=virus.com
通常当右键U盘时看到有“Auto”时，会很自然的选下面的“打开”，而恰恰“Auto”、“打开”、“资源管理器”都是病毒的启动选项。病毒利用一般人的心理，明摆着告诉你，U盘里有毒，让你选“打开”。这种情况往往有一定经验的人也会中招。

4、   防范“打开”型病毒的方法：
网上有很多种介绍防范U盘病毒的方法，如在“组策略”中“关闭自动播放”功能。但如果中的是“打开“型病毒的话，即使右键U盘也很难判断是否中了毒。这里推荐几个个人实践后的安全进入方法，仅作为参考。
1）   插入U盘时会弹出“自动播放”选项框，这时选“打开文件夹以查看文件”进入U盘。
2）   在“资源管理器”的左栏中选中U盘打开
3）   在上方地址栏选择U盘进入
5、   常见问题：
1）为什么打开带毒的U盘后看不到autorun.inf和病毒文件？
病毒会为autorun.inf和自身加上“系统”属性，此时仅仅选择“显示所有文件和文件夹”是不会显示“系统”属性的文件。
要显示病毒需要以下步骤：
“工具”—“文件夹选项”—“查看”，去掉“隐藏受保护的操作系统文件”前的勾，再选择“显示所有文件和文件夹”即可看到病毒文件和autorun.inf文件。
2）U盘杀毒后，为什么双击U盘打不开，弹出“打开方式”对话框？
这种情况是因为U盘杀毒后，病毒文件被删除，导致双击后找不到autorun.inf中指定的文件。这里要提一下的是，即使杀毒后，autorun.inf和病毒文件都被删除，右键菜单也不会立即恢复原样。此时要重新插拔一次Ｕ盘才能恢复。
如果是硬盘中毒的话，需要在杀毒后重启一次计算机才能恢复。
另外，还有一种情况就是某些U盘免疫工具，在插入U盘后，仅仅只是删除autorun.inf文件，在这种情况下，由于右键菜单没有恢复原样，依然需要重新插拔一次U盘，如果双击的话，同样还会中毒。
3）磁盘中的隐藏系统文件太多，如何判断病毒文件是哪个？（黑基论坛邀请码：b2717420eaXrm946）
像系统分区有很多隐藏的系统文件，误删会导致系统无法进入。这时可以通过打开autorun.inf查看其中的代码行，找到如open、shellexecute后对应的程序，将其删除。
如果实在不敢删，那直接删除autorun.inf文件，使病毒失去启动能力就可以防止双击运行病毒.

拿什么做网名

学习了，学习了