最近一款U盘病毒修改替换包括dllcache目录下的系统Shell文件(explorer.exe)以及注册表编辑器(regedit.exe),劫持输入法、任务管理器、系统配置实用程序等文件的U盘病毒在网上传播。
( k: Q" c1 M; H' _) H" w
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。如图所示:
V5 N/ ?# l, x, b
* J8 H1 O4 G2 F3 x Q* S/ R' r' |
8 q7 m( @" S3 V* i; m修改REG文件关联到: %systemroot%\pchealth\Global.exe
: g9 `7 }5 m" ?" R1 k利用劫持阻止以下程序运行:
7 k% s% j7 h0 D4 r) P& i
" x2 f) S; |$ F. Z* |" r# T
. i a: F( J# x7 c! m, z) }
各个盘符下的autorun.inf以及MS-DOS.com
; n, l. @8 \6 p1 I9 v6 N
使用系统自动的签名验证程序检测Windows目录下的exe文件是否通过微软签名会有以下结果:
7 s* d; V) S/ V) I, L
[img]http://tech.ccidnet.com/col/attachment/2008/6/1520749.jpg
/ u* s3 s1 x+ I4 k
由于该病毒修改了注册表编辑器且将自身值键值名称设置为“默认”从而具备一定迷惑性。为防止该病毒修改了注册表编辑器打开“江民设置程序”=》“主动防御”=》“系统监控”中单击高级选项进入高级选项后勾选“严模式”如图所示:
/ l/ C" H7 D* I
: W5 f! `! ~) k& b/ J- D/ w
8 _3 Z6 o0 L! M3 p9 A
为更好的防御该病毒的入侵最好设置“移动设备存储控制”功能,江民对毒病毒真的很有一套,“移动设备存储控制”功能主要是为对付U盘病毒设计的,当用户插入U盘时会首先进行拦截,只有当用户输入正确的口令才可以继续对U盘进行操作,这样就可以防止病毒侵入了,不仅如此,此功能还可以为你的电脑保密,为什么这么说呢?我们知道电脑上的文件很容易被小小的U盘带走,如果当你不在时,别人可以很轻易将你电脑上的资料(商业机秘,个人隐私)拿走,后果不堪设想,OK,现在有了KV2008,只要开启“移动存储控制功能”,并且设置一个口令,我们就可以为我们的移动存储设备加个锁,这样既可以防病毒又可以保护资料,何乐而不为呢?
( Q; [% ~( q& A/ m8 A
# G- M4 P' }) f) V9 Z( ~' D2 g% [* \$ t( C; F5 G
9 X3 @3 y) }9 Q! G& ~
如何开启移动存储控制功能?不要着急,慢慢跟我来,我们打开江民杀毒软件主界面,单击“工具”-“设置”,在“江民设置程序”中选择“保护密码”,我们勾选“移动设备存储”选项,并且一定要注意勾选“修改密码/设置密码”选项否则不会生效,然后设置好访问U盘的密码,单击“确定”,重新启动计算机,大功告成~
8 Q$ I( T' S8 a, U' j; W/ e
