当下“自动播放”(Autorun)技术已成为病毒木马的“最爱”,倘若一个U盘或移动硬盘带毒,那么这个移动毒源 “所到之处”都会对病毒进行传播,使人防不胜防频频中招。
当下“自动播放”(Autorun)技术已成为病毒木马的“最爱”,倘若一个U盘或移动硬盘带毒,那么这个移动毒源 “所到之处”都会对病毒进行传播,使人防不胜防频频中招。从今年年初肆虐的“熊猫烧香”、“AV终结者”,到“小浩”都使用了“自动播放”(Autorun)技术来增强其传播能力。
针对这一类利用U盘或移动硬盘带毒进行传播的病毒,不少用户采取关闭Windows“自动播放”功能来进行病毒的防范,这样防范措施真的有效吗?对于此类病毒究竟怎样防范才可以更为安全?
为此记者专门咨询了微点反病毒专家,据介绍,目前,U盘的使用非常普遍,很多病毒都是利用自动播放功能来激活U盘中的病毒实现传播,用户的电脑一旦中了此类病毒,便很难实现对病毒的彻底查杀和清理。例如某些用户中了AV终结者病毒后,因多种软件无法正常使用,常会采取格式化系统分区,重装系统的方式进行处理。但是,即使系统重新安装后,用户只要打开其它硬盘分区又会激活病毒,导致重新中毒。也就是说“自动播放”类病毒多将硬盘所有分区全部感染,所以一旦中毒,电脑所有硬盘分区将无一“幸免”。
针对关闭Windows“自动播放”功能是否可以有效防范此类病毒的问题,微点反病毒专家介绍说:防范通过移动存储进行感染的病毒,单纯地通过关闭“自动播放”实属治标不治本,普通用户通过简单的设置根本无法防护自己的电脑安全。目前微点主动防御软件已经捕获了多种试图通过自动开启“自动播放”功能以完成自我传播的病毒,如Trojan.Win32.Delf.bfa、Backdoor.Win32.Agent.eeg等等。
其实“自动播放”(autorun)类病毒本身是一类非常典型的病毒行为,它通过写入恶意的autorun.inf脚本和配套的木马程序来实现其病毒传播目的。因此,使用具有行为杀毒能力的主动防御产品,根本无需去关闭自动播放功能即可有效防御此类病毒。这样既可以保证用户安全使用正常的自动播放功能,在发现有害的自动播放程序时可以准确查杀,下图为主动防御软件对自动播放类病毒的典型报警图,报警提示中会明确告知用户该木马为带有autorun.inf的自动播放类木马程序。
据悉,除已具备行为杀毒能力的微点主动防御软件、江民和卡巴斯基之外,国内最大的安全厂商瑞星公司也将在其2008新版产品中全面部署实施主动防御功能。我们有理由相信08年是反病毒行业的主动防御普及年,届时此类“自动播放”(autorun)型病毒将得到有效的遏制。广大用户无需去费心思进行关闭设置,即可由主动防御技术获得可靠的安全保证。
另外,微点专家还介绍了关于此类病毒的手工检测的方法:由于自动播放类木马在使用“我的电脑”打开磁盘分区的时候就会自动激活病毒,即使使用右键菜单打开也可能会被病毒感染。所以,在Windows下彻底手工清除该类木马的操作难度较大,我们需要借助第三方文件管理工具来手工清除此类木马。例如,可以使用常见的压缩软件WinRAR的文件管理功能来查找硬盘和U盘根目录下的autorun.inf文件,根据autorun.inf文件内容进行分析,以彻底清除autorun.inf和其关联的木马文件。这样就解除了aurorun木马的传播能力。但由于此种手工检测方法对于普通用户来说可能存在有一定的操作难度,因此还是建议广大用户使用带有主动防御功能的安全软件进行防范。