手机U盘,别让病毒暗渡陈仓
如今很多新潮手机,都通过内置通用的USB接口来实现无驱U盘的功能,简化用户上传资料至手机的操作,这些手机也因此常被作为转储磁盘来使用。然而,往往被人忽视的是,手机U盘的便利性,也给电脑病毒的传播造就了可乘之机。
本人在使用支持无驱U盘的波导D720手机过程中,就曾遭遇RavMonE病毒来袭。虽然这类U盘病毒目前还不至于引起手机损坏,但却大有机会把手机U盘当作转储中介进行大肆传播。为促使人人自警,下面我介绍一下该病毒的发现、清除过程,并谈一谈如何加强防范、防止计算机病毒利用手机进行传播的经验。
一、手机U盘中毒症状
波导D720手机和电脑通过USB充电/数据线连接交换数据资料的时候,插入连接线后,Windows“我的电脑”中显现出两个可移动磁盘(其中之一为外加的 MiniSD 卡,另一个磁盘为手机固化的存储空间),双击其中任何一个时,发现打开磁盘的速度明显变慢,有时候还无法正常弹出手机U盘(即:通过Windows系统任务条中的绿箭头无法卸载手机U盘)。然而,通过右键菜单中的“打开”功能或Windows资源浏览器来察看磁盘内容时,开盘速度正常。
此时,按 Ctrl+Alt+Del 组合键呼出 Windows 任务管理器,可发现名为 RavMonE.exe 的可疑进程(如图1-1,也有叫做 AdobeR.exe 的病毒变种,如图1-2),在手机U盘上点击鼠标右键,会发现多出一个 Auto 菜单项(如图2)。
图1-1:内存中的 RavMonE 病毒 图1-2:内存中的 AdobeR.exe 病毒
图2:中毒后的鼠标右键菜单多出一个Auto项
二、病毒现身
出于减少用户误操作的顾虑,Windows系统在缺省情况下是不会把系统文件、隐藏文件显示出来给用户看的。所以,之前我们打开手机U盘后,表面上所见的文件并无异常,这时就需要我们“透过现象看本质”了。通过修改资源管理器的“工具 — 文件夹选项”的属性,我们才得以看清磁盘内容的背后乾坤。照图3操作就可以给资源管理器打开“天眼”了(安上“照妖镜”,呵呵)。
图3-1:给资源管理器打开“天眼”的方法
图3-2:资源管理器装好“照妖镜”时的设置
图4是装好“照妖镜”后,所见隐藏着的病毒。根目录下的三个文件:RavMonE.exe,RavMonLog,msvcr71.dll。RavMonE.exe 这个病毒体主程序就是通过autorun.inf 告知Windows系统得以运行的。
图4:病毒文件的真实面目
后注:病毒体程序也可能不放在根文件夹下,而是放在貌似回收站英文名的文件夹内,可能还层层深入躲避查杀,总之,我们可利用Windows记事本来打开 autorun.inf(不可双击 autorun.inf,切记)找出病毒的藏身之所。
四、防患于未然
很明显,U盘类病毒是利用了Windows内置的自动播放功能进行传播,使 autorun.inf 成为了其帮凶。插入光盘或U盘时,Windows 总是自作多情地自动弹出一个浏览/播放窗口,招人讨厌,如果能关闭这个功能,大家不仅耳根子清静,而且还可以有效地阻断U盘病毒的传播途径。下面我介绍一下操作方法(图6):
图6:在组策略中关闭磁盘的自动播放功能
1、单击“开始→运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口;
2、在左窗格的“本地计算机策略”下,展开“计算机配置→管理模板→系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”;
3、单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭“组策略”窗口。
附带说明一下,如上操作后插入音乐CD仍会搜索媒体播放,此时可把光盘驱动器的自动播放属性设置为“不执行操作”加以解决(图7)。
图7:在设备管理器中修改光驱的自动播放属性
最后,请阅读本文的电脑新手注意:
1、注册表编辑 Regedit 以及组策略更改 gpedit.msc 须谨慎操作,不要改动其他无关之处。
2、为了杀毒,我们给资源管理器开“天眼”装上了“照妖镜”,最好能恢复原状,以防失手破坏 Windows 的重要系统文件。
wtpublic 2006年10月1日