论文部分内容阅读
摘要:随着多媒体教室的大量建设和投入使用,大学课堂教学的模式发生了很大的变化,电化或网络的多媒体教学成为教学的主要方式。尤其是U盘被广泛使用于教学和数据交流当中,当我们享受U盘所带来的方便时,U盘病毒也在悄悄利用系统的自动运行功能肆意传播,给教学工作带来了一定困难和影响。
关键词:U盘;病毒;解决方法
中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)15-20000-00
The Common Problems and Solutions About Computer Virus in Teaching Work
BAO Xia-lin
(The Center of Educational Technology, Anhui Agricultural University, Hefei 230036, China)
Abstract: With the large number of multimedia classroomes building and put into use, great changes about the mode of the University Teaching have taken place, electricity or network multimedia teaching become the main form of teaching. Especially, widely used in teaching and data exchange, USB drives enjoy us but the virus is quietly spread with USB drives system using automatic functionality to the education. It brought a certain degree of difficulty and impact in teaching work.
Key words: USB drives;Virus; Solution
在从事电脑维护的工作实践中,针对遇到的各种各样的电脑病毒的问题,尝试和采用了不同的分析和解决方法,下面谨对最近比较流行的有鲜明特点的U盘病毒的特征和解决办法进行简单的分析总结。
1 AutoRun.inf
1.1 病毒特性
自动运行功能是Windows系统一种非常方便的特性,使得当光盘、U盘插入到机器即自动运行,而这种特性的实现就是通过运行磁盘根目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。常见的Autorun.inf文件格式大致如下:
[AutoRun]//表示AutoRun部分开始,必须输入
icon=C:C.ico //指定给C盘一个个性化的盘符图标C.ico
open=C:1.exe//指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行。
电脑中毒后,当用右键点击移动盘盘符时,会发现菜单的第一项不是常规的“打开”,而变成了“auto”、“OPEN”或“自动播放”等。同时,病毒会将“显示所有文件的选项”设置为“禁止”。U盘病毒就是这样借助autorun.inf文件的帮助进行入侵和传播。病毒首先把自身复制到U盘,然后创建一个autorun.inf,在你双击U盘时,会根据autorun.inf中的设置去运行U盘中的病毒。病毒甚至修改磁盘关联,杀毒软件一般只能把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法将病毒清除干净,清除病毒后双击无法打开磁盘或者U盘无法拔出的原因。
1.2 解决方法
(1)删除autorun.inf文件
目前还没有发现哪种杀毒软件可以彻底解决这个问题。在常规的情况下,是无法删除autorun.inf文件的。可以先将该文件的属性进行一些改变,再用DOS命令删除。在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\autorun.inf (去除autorun.inf的系统文件和隐藏文件的属性)
del H:\autorun.inf (删除autorun.inf)
(2)阻止病毒再生成autorun.inf文件
我们可以利用在同一目录下,同名的文件和文件夹不能共存的原理,在U盘的根目录下建立一个文件夹,名字就叫“autorun.inf”。这样,除非先删除该文件夹,不然是无法再创建autorun.inf文件了。目前出现的U盘病毒尚未发现有此功能。因此,这种方法是非常有效的。
2 AdobeR.exe病毒 realplayer.exe(进程)病毒
这两种病毒都是木马病毒,最大的特点是隐藏性极高,与两种教学中常用的软件adobe acrobat reader和realplayer非常相似。
2.1 病毒特征
(1)AdobeR.exe病毒:中毒后,双击 u盘/移动硬盘,没反映。等一会后弹出对话框:“Adober.exe error,请察看AdobeR.exe.log”。 右键点击可移动磁盘盘符,在菜单最上面是“Auto”这一选项,查看U盘,会发现病毒生成了AdobeR.exe,AdobeR.exe.log,autorun.inf,msvcr71.dll文件。并且在进程中出现 adober进程 ,十分类似adobe进程。电脑速度缓慢,并且会使有的杀毒软件失效。
(2)realplayer.exe(进程)病毒:注意,我们通常所用的realplayer播放器的进程是realplay.exe而不是realplayer.exe。realplayer.exe进程是Trojan-PSW.Win32.Agent.al木马相关程序加载的进程,一般有两个进程。病毒会释放两个文件,分别是:
SYSTEM\Realplayer.exe (UPX加壳,其MD5为629d485605c05b8e7f97c 941c98fb2b9)和SYSTEM\brlmon.dll (UPX加壳,其MD5为9b5cfff6b750e9b6bd21f25254 8e810e59)。
如果系统中没有安装QQ或者QQ没安装在Program Files\Tencent\QQ,那么病毒会自己建立Program Files\Tencent\QQ目录。临时文件夹中TEMP会有病毒生成的文件v20060825.rar,实际上这个就是那个Realplayer.exe,扩展名不同罢了。中毒后会使电脑运行变得非常缓慢。
2.2 解决办法
这两个病毒,手工清除比较繁琐,且效果不好。用卡巴斯基升级后即可杀除,效果较好。
3 MMS病毒
3.1 病毒特征
mms.exe是当前流行最广的病毒,在很多常连接U盘的电脑中都有所发现,且还原卡对其没有阻挡作用。病毒程序名为Troj_ADWARE.MMS,进程名为mms.exe或mms是一种恶意广告木马病毒。该病毒修改注册表创建系统服务mms-up实现自启动,属于弹出广告类木马病毒,一般是下载、安装软件时捆绑感染。是一种“尼姆达”病毒,“尼姆达”病毒是一种通过e-mail电子邮件进行传播的恶意蠕虫,随U盘到处传播。当用户邮件的正文为空时,似乎没有附件,实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收取邮件,在预览邮件时,病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下,再运行在临时目录中的副本。该病毒危害性极大,中毒后,其启动优先级被排在系统之前,扫描内存时就开始运行,所占CPU资源在50%到97%左右,电脑运行非常缓慢,且无法上网。
关键词:U盘;病毒;解决方法
中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)15-20000-00
The Common Problems and Solutions About Computer Virus in Teaching Work
BAO Xia-lin
(The Center of Educational Technology, Anhui Agricultural University, Hefei 230036, China)
Abstract: With the large number of multimedia classroomes building and put into use, great changes about the mode of the University Teaching have taken place, electricity or network multimedia teaching become the main form of teaching. Especially, widely used in teaching and data exchange, USB drives enjoy us but the virus is quietly spread with USB drives system using automatic functionality to the education. It brought a certain degree of difficulty and impact in teaching work.
Key words: USB drives;Virus; Solution
在从事电脑维护的工作实践中,针对遇到的各种各样的电脑病毒的问题,尝试和采用了不同的分析和解决方法,下面谨对最近比较流行的有鲜明特点的U盘病毒的特征和解决办法进行简单的分析总结。
1 AutoRun.inf
1.1 病毒特性
自动运行功能是Windows系统一种非常方便的特性,使得当光盘、U盘插入到机器即自动运行,而这种特性的实现就是通过运行磁盘根目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件),它保存着一些简单的命令,告知系统新插入的光盘或 U盘应该自动启动什么程序等。常见的Autorun.inf文件格式大致如下:
[AutoRun]//表示AutoRun部分开始,必须输入
icon=C:C.ico //指定给C盘一个个性化的盘符图标C.ico
open=C:1.exe//指定要运行程序的路径和名称,只要在此放入病毒程序就可自动运行。
电脑中毒后,当用右键点击移动盘盘符时,会发现菜单的第一项不是常规的“打开”,而变成了“auto”、“OPEN”或“自动播放”等。同时,病毒会将“显示所有文件的选项”设置为“禁止”。U盘病毒就是这样借助autorun.inf文件的帮助进行入侵和传播。病毒首先把自身复制到U盘,然后创建一个autorun.inf,在你双击U盘时,会根据autorun.inf中的设置去运行U盘中的病毒。病毒甚至修改磁盘关联,杀毒软件一般只能把病毒文件清除,但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法将病毒清除干净,清除病毒后双击无法打开磁盘或者U盘无法拔出的原因。
1.2 解决方法
(1)删除autorun.inf文件
目前还没有发现哪种杀毒软件可以彻底解决这个问题。在常规的情况下,是无法删除autorun.inf文件的。可以先将该文件的属性进行一些改变,再用DOS命令删除。在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H:\autorun.inf (去除autorun.inf的系统文件和隐藏文件的属性)
del H:\autorun.inf (删除autorun.inf)
(2)阻止病毒再生成autorun.inf文件
我们可以利用在同一目录下,同名的文件和文件夹不能共存的原理,在U盘的根目录下建立一个文件夹,名字就叫“autorun.inf”。这样,除非先删除该文件夹,不然是无法再创建autorun.inf文件了。目前出现的U盘病毒尚未发现有此功能。因此,这种方法是非常有效的。
2 AdobeR.exe病毒 realplayer.exe(进程)病毒
这两种病毒都是木马病毒,最大的特点是隐藏性极高,与两种教学中常用的软件adobe acrobat reader和realplayer非常相似。
2.1 病毒特征
(1)AdobeR.exe病毒:中毒后,双击 u盘/移动硬盘,没反映。等一会后弹出对话框:“Adober.exe error,请察看AdobeR.exe.log”。 右键点击可移动磁盘盘符,在菜单最上面是“Auto”这一选项,查看U盘,会发现病毒生成了AdobeR.exe,AdobeR.exe.log,autorun.inf,msvcr71.dll文件。并且在进程中出现 adober进程 ,十分类似adobe进程。电脑速度缓慢,并且会使有的杀毒软件失效。
(2)realplayer.exe(进程)病毒:注意,我们通常所用的realplayer播放器的进程是realplay.exe而不是realplayer.exe。realplayer.exe进程是Trojan-PSW.Win32.Agent.al木马相关程序加载的进程,一般有两个进程。病毒会释放两个文件,分别是:
SYSTEM\Realplayer.exe (UPX加壳,其MD5为629d485605c05b8e7f97c 941c98fb2b9)和SYSTEM\brlmon.dll (UPX加壳,其MD5为9b5cfff6b750e9b6bd21f25254 8e810e59)。
如果系统中没有安装QQ或者QQ没安装在Program Files\Tencent\QQ,那么病毒会自己建立Program Files\Tencent\QQ目录。临时文件夹中TEMP会有病毒生成的文件v20060825.rar,实际上这个就是那个Realplayer.exe,扩展名不同罢了。中毒后会使电脑运行变得非常缓慢。
2.2 解决办法
这两个病毒,手工清除比较繁琐,且效果不好。用卡巴斯基升级后即可杀除,效果较好。
3 MMS病毒
3.1 病毒特征
mms.exe是当前流行最广的病毒,在很多常连接U盘的电脑中都有所发现,且还原卡对其没有阻挡作用。病毒程序名为Troj_ADWARE.MMS,进程名为mms.exe或mms是一种恶意广告木马病毒。该病毒修改注册表创建系统服务mms-up实现自启动,属于弹出广告类木马病毒,一般是下载、安装软件时捆绑感染。是一种“尼姆达”病毒,“尼姆达”病毒是一种通过e-mail电子邮件进行传播的恶意蠕虫,随U盘到处传播。当用户邮件的正文为空时,似乎没有附件,实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收取邮件,在预览邮件时,病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下,再运行在临时目录中的副本。该病毒危害性极大,中毒后,其启动优先级被排在系统之前,扫描内存时就开始运行,所占CPU资源在50%到97%左右,电脑运行非常缓慢,且无法上网。