李荥森的论文1.docx
《李荥森的论文1.docx》由会员分享,可在线阅读,更多相关《李荥森的论文1.docx(10页珍藏版)》请在冰豆网上搜索。
李荥森的论文1
中国人民解放军高等教育自学考试信息安全与网络管理专业
毕业论文
论文标题
作者姓名考号
工作单位职务
通信地址邮编
指导教师职称
完成时间年月日
信息安全与网络管理专业主考学校办公室制
U盘病毒的研究与防范
考号:
111110120589姓名:
李荥森
〔内容提要〕
现如今,U盘已经成为军队日常工作中计算机用户最为常用的文件交换工具。
然而,U盘在带来极大便利的同时,也为病毒寄生和繁衍提供了天然的温床。
本论文由此出发,阐述了U盘病毒的危害,深入分析了U盘病毒的危害机理,并从技术和非技术两个方面介绍了U盘病毒的防范措施,为军队U盘的日常使用提供了一定的借鉴,具有较高的参考价值。
〔关键词〕U盘病毒安全防范
U盘作为使用最为广泛的存储设备,如果将其作为病毒的载体,轻则破坏计算机文件或者系统,重则还可以破坏和瘫痪计算网络。
U盘病毒是指利用U盘(移动存储设备)作为载体来传播病毒,其主要特征是在被感染的U盘中生成Autorun.inf文件,并附带有一个可执行程序。
1.U盘病毒危害
早期的U盘病毒仅仅是恶作剧,被感染计算机往往出现打不开文件,或者显示一些具有搞笑性质的东西。
随着U盘容量的不断扩大和广泛使用,U盘成为传输文件等数据资料的主要存储介质之一,日常使用和交换的文件,包括涉密文件均是通过U盘来进行传输的。
U盘病毒具有交叉感染的特点,即感染了U盘病毒的计算机,在插入一个未感染的U盘到感染计算机中时,病毒会自动感染U盘,当将已经感染U盘病毒的U盘插入未感染计算机中时,未感染病毒的计算机将感染U盘病毒。
在对U盘病毒分析研究中我们发现,U盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到U盘中,当U盘插入到具有上网条件的计算机中使用时,U盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。
U盘病毒作为一种传染性病毒,其危害如下:
(1)破坏软件系统,影响工作。
对于一般性U盘病毒将会破坏系统文件的完整性,导致系统不能正常打开文件,其危害程度较轻。
(2)删除或者更改文件。
这种U盘病毒往往带有恶作剧,例如将系统中所有的word等文件全部删除,或者将Word文件的默认后缀更改为其它名称导致文件打不开,其危害程度中等。
(3)盗取系统中各种密码帐号,实施远程控制。
目前很多个人计算机大多具备上网条件,一旦连接上网络,病毒就会主动连接控制端,将系统中的密码和帐号发到指定邮箱,并实施远程控制将其作为僵尸网络的木马端。
(4)平时窃取资料,战时破坏系统。
U盘病毒平时蛰伏在计算机中,当具备互联网条件时将平时复制的资料通过网络传输到指定邮箱,当发生战争时可以破坏和瘫痪计算机系统或者计算机网络,其危害程度最大。
2.U盘病毒危害机理
2.1病毒的传播原理
U盘病毒主要通过U盘与计算机的交互来进行传播。
近年来,在“黑色”产业链利益驱动下,利用U盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的网站“挂马”来实现,网站“挂马”主要利用的是IE等安全漏洞,当用户没有安装补丁程序而访问被“挂马”的网站中的网页时,系统就会“偷偷”地执行网页中指定的程序,从而达到控制等目的。
此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行U盘病毒的传播。
2.2U盘病毒传播阶段
U盘对病毒的传播主要借助的就是autorun.inf文件,主要分为2个阶段。
第一阶段:
感染病毒,当用户将一块没有任何病毒的U盘插入一台潜伏了病毒的主机上,通过一些常用的操作后,可能就会激发病毒程序。
病毒首先会将自身复制到U盘中,同时创建一个名为autorun.inf的文件。
此时,这块U盘就被病毒感染了。
第二阶段:
传播病毒,当这块U盘插入到一台没有任何病毒的电脑上后,使用者双击打开U盘文件浏览时,Windows默认会以autorun.inf文件中的设置去运行U盘中的病毒程序,此时Windows操作系统就被感染了。
2.3autorun.ini文件运行机理
autorun.inf是设备自动运行的设置文件,比如当插入某些驱动光盘后,Windows就会自动运行驱动安装程序,这就是靠autorun.inf文件里面设置。
其中的filename就是木马程序。
其文件格式有以下几种:
(1)自动运行的程序
Open=filename.exe
(2)修改上下文菜单,把默认项改为病毒的启动项
ShellAutocommand=filename.exeShell=Auto
(3)只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行
Shellexecute=filename.exeShellExecute=……
(4)伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。
Shellopen=打开(&O)ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器(&X)
2.4U盘病毒程序隐藏方式
(1)作为系统文件隐藏。
一般系统文件是看不见的,所以这样就达到了隐藏的效果。
但这也是比较初级的,现在的病毒一般不会采用这种方式。
(2)伪装成其他文件。
由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。
(3)藏于系统文件夹中。
这些系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。
3.U盘病毒发展趋势
据软件监测结果表明,目前至少存在288种U盘病毒,U盘病毒由过去功能单一,逐渐演变为功能众多,且技术水平越来越高。
目前的U盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及Windows安全中心,高级一点的会修改防火墙和病毒设置,使其安全穿透个人防火墙,还有一些未公布的U盘病毒,已经做到感染PE文件,计算机一旦被感染这种病毒很难根除。
目前世界上大多数病毒都具备U盘病毒感染功能,使其成为内网和外网沟通的桥梁,U盘病毒已经成为一种顽疾。
由于U盘病毒的巨大危害性,很多杀毒软件都会查杀以Autorun.inf文件为主要特征的U盘病毒,因此新型的U盘病毒将向硬件以及驱动程序发展。
可以将U盘病毒直接嵌入到一些硬件设备,例如手机、mp3等,需要激活时只需要通过网络发送一个密码指令即可。
另外一种趋势就是将U盘病毒做成驱动级,任何系统都离不开驱动程序,通过驱动程序来进行病毒的传播和控制。
4.U盘病毒防范措施
安全只是相对的安全,没有绝对的安全,对于移动存储设备主要通过两个层面来进行防范,一个是技术层面,另外一个是非技术层面。
技术层面主要从数据的完整性、准确性及排他性等方面进行考虑;非技术层面针对培训、思想意识以及组织管理方面进行考虑。
4.1技术防范
(1)及时更新安全漏洞补丁和病毒库
对于个人和部队来说,每人都是安全专家肯定不现实,杀毒软件是安全领域的卫士,能够查杀市面大多数病毒,因此及时更新安全漏洞补丁、应用程序漏洞补丁及其病毒库可以有效的降低安全风险。
目前市面上销售的正版杀毒软件都带有漏洞扫描功能,通过漏洞扫描生成的报告,可选择自动修复功能修复系统所存在的漏洞。
(2)禁止移动设备自动播放
很多木马病毒都是通过自动运行来执行的,因此在打开移动存储设备时,尽量不使用自动运行,而通过浏览器或者资源管理器来打开。
如果设备具有可读写保护功能,则在从设备复制资料到计算机时,可使用可读保护开关,杜绝感染系统通过U盘进行病毒传播。
对WindowsXp操作系统,单击“开始”-“运行”,在运行中输入gpedit.msc进入组策略编辑器,依次选择“用户配置”-“管理模板”-“系统”-“关闭自动播放”,在“关闭自动播放”属性窗口选择“已启用”,关闭自动播放中选择“所有驱动器”,单击“应用”按钮禁用系统中所有驱动器的自动播放功能。
(3)实时监控,杀毒先行
对杀毒软件和个人防火墙要实时监控,确保杀毒软件及其个人防火墙都在正常运行。
在使用移动存储设备时,首先查杀移动存储设备中的文件,在确定无病毒的情况下,再进行其他操作。
Windows操作系统默认不显示隐藏文件和系统保护文件,病毒往往利用这一点进行病毒隐藏和传播,因此需要通过“文件夹”-“查看”选项,选择“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”复选框,方便查看U盘以及系统其它盘中是否隐藏病毒文件。
(4)在所有磁盘中创建Autorun.inf文件夹
U盘病毒一般都是利用Autorun.inf文件来进行传播,根据Windows操作系统文件以及文件夹名称唯一性原则,系统仅存在唯一名称文件,因此可以在系统所有磁盘中建立一个名称为“Autorun.inf”的文件夹,使U盘病毒不能创建Autorun.inf文件而达到防范U盘病毒的目的。
(5)谨慎下载,安全运行
在需要软件时,尽量到正规大型网站进行下载,下载后对软件进行查杀毒处理,防止软件被捆绑木马程序。
如果需要运行在重要计算机上面,必须进行安全性测试,确保该软件对系统不会造成危害。
(6)做好系统和数据备份
近年来,计算机木马病毒往往带有较强的商业利益目的,尤其是以U盘为传播介质的病毒。
例如熊猫病毒、AV病毒,会对所有可执行文件进行感染,如果处理不好,将会带来巨大的经济损失。
因此平时对重要数据和系统一定要做好备份,做到随时可以恢复系统,并正常运行。
(7)使用一些移动存储专用管理软件
根据数据资料的价值,安装移动存储专用管理软件来进行U盘资料的保护,这些软件往往具有文件加密等功能,U盘资料只能在指定计算机和指定网络中使用,到其它计算机上无法读取,即使读取也是乱码,从而保证数据的安全。
(8)对移动存储设备的一切权限变更和一切文件操作,全部都有日志记录和审计。
(9)非法U盘,进不来。
所有能在内部使用的U盘、移动硬盘必需通过授权认证,没有经过授权的U盘和移动硬盘无法使用。
(10)授权U盘,拿不走。
即使是经过认证的移动存储设备,其保存的机密文件都进行了高强度加密存储,并完全隐藏。
授权U盘、移动硬盘在内部如常使用,但在外部计算机看不见任何信息。
(11)其他常见U盘病毒症状及防范方法。
①.rose.exe专杀
症状:
右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。
防范办法:
将U盘插入电脑,当出现操作提示框时,不要选择任何操作,直接关掉;进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。
②.doc.exe病毒(即:
word病毒)
症状:
U盘插入后,即被写入win32.exe、win33.exe以及很多.exe的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为doc.exe的进程。
此病毒名为:
Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体。
中毒后可用专杀工具查杀。
③.U盘破坏者(Worm.vb.hy)
病毒介绍:
它是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。
它会将自身复制到优盘、移动硬盘等移动存储设备上,试图通过它们传播。
该病毒运行后会在后台破坏硬盘数据,致使中毒电脑重新启动时完全崩溃,无法进入系统。
症状:
如果点击U盘中的“我的电脑”图标后,硬盘灯频频闪动,则很有可能是受到该病毒的攻击,应该立刻关闭计算机,阻止病毒对硬盘数据的进一步破坏。
④.RavMonE.exe、RavMonLog病毒
症状:
虽然这个东西没有什么危害,只是另到你打开移动硬盘的速度变得很慢,双击U盘等好几秒就弹出任务管理器模式的文件夹,而不是直接打开。
中毒后:
优盘不能正常退出;读取优盘内容速度变慢;查看所有文件,发现多了RavMonE.exe,RavMonLog。
该病毒由如下文件组成:
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog。
当用户双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe
解决方法:
Step1.开机时按F8键,进入【安全模式】
我的电脑--工具--文件夹选项--【查看】分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”
Step2.用任务管理器(Ctrl+Alt+Del)终止RavMonE.exe进程
1)在开始菜单--搜索--所有文件和文件夹(记得在【更多高级选项】中勾选“搜索
隐藏的文件和文件夹”),检索以下文件:
RavMonE.exe、RavMonLog,删除它们
2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一
文件夹内的,其余的则保留。
3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒
Step3.在开始菜单--运行--输入regedit,删除注册表的键值:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]C:
WINDOWSRavMonE.exe
⑤.不知名的病毒
症状:
右键打开U盘,第一项是非正常的“打开”,在第三个位子上是正常的打开。
U盘使用者会很轻易的点击最上方的“打开”,即病毒激活。
在点击第一个“打开”时,会出现第二个对话框。
杀毒:
用木马杀客扫描U盘,将木马隔离,在隔离区删除即可。
4.2非技术防范、
(1)从制度上加强管理。
对于部分有必要的计算机,才允许使用U盘、移动硬盘;其他计算机禁止使用U盘、移动硬盘等移动存储设备,凡涉密U盘禁止接触上网计算机,凡涉密U盘,在数据处理完毕后,要采取安全删除文件或者低级格式U盘等安全技术措施,严防从U盘中泄漏涉密文件,从源头上保证安全。
(2)专盘专用。
交流使用模式U盘仅对外使用,每次使用完毕后进行安全处理,做到外盘专用专处理。
(3)加强U盘安全意识培训,定期进行安全检查。
安全重在安全意识和安全措施的执行力度,定期对安全措施的落实情况进行安全检查,结合安全违规取证系统对计算机进行涉密文件的安全检查并进行相应的安全处理,降低和减少安全隐患。
5.结束语
U盘病毒看似普通,如果管理监控不好,将会给个人、企业乃至国家造成重大损失,本文通过对U盘病毒的特点、传播原理等进行了分析,最后从技术和非技术的角度给出了U盘病毒的防范措施,对于U盘安全管理和病毒防范有一定的借鉴和参考价值。
〔参考文献〕
1毕超群:
U盘病毒原理分析及设计与实现[J];计算机安全;2010年03期
2徐玮:
U盘病毒的分析与防治[J];科技信息;2010年15期
3阎纲:
U盘病毒的传播与预防[J];信息系统工程;2010年04期
4杨丽锦:
浅析局域网病毒的特点及防范策略[J];科技信息(学术研究);2008年13期
指导教师评语
指导教师职称任教单位
年月日
答辩委员会意见
成绩评定答辩委员会主席职称
主考院校审核意见
(盖章)年月日
备
注
升级会员 