办公杀手优盘病毒安全隐患及防范研究

核心提示： 第二阶段：传播病毒，当这块优盘插入到一台没有任何病毒的电脑上后，办公杀手优盘病毒安全隐患及防范研究(3)，使用者双击打开优盘文件浏览时，Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序，有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开，系统

第二阶段：传播病毒，当这块优盘插入到一台没有任何病毒的电脑上后，使用者双击打开优盘文件浏览时，Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序，此时Windows操作系统就被感染了。

2.3 autorun.ini文件运行机理

autorun.inf是设备自动运行的设置文件，比如当插入某些驱动光盘后，Windows就会自动运行驱动安装程序，这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种：

（1）自动运行的程序

Open=filename.exe

（2）修改上下文菜单，把默认项改为病毒的启动项

ShellAutocommand=filename.exe
Shell=Auto

（3）只要调用ShellExecuteA/W函数试图打开优盘根目录，病毒就会自动运行

Shellexecute=filename.exe
ShellExecute=……

（4）伪装成系统文件，迷惑性比较大，较为常见的就是伪装成垃圾回收站。

Shellopen=打开（&O）
ShellopenCommand=filename.exe
ShellopenDefault=1
Shellexplore=资源管理器（&X）

2.4优盘病毒程序隐藏方式

（1）作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。但这也是比较初级的，现在的病毒一般不会采用这种方式。

（2）伪装成其他文件。由于一般计算机用户不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。

（3）藏于系统文件夹中。这些系统文件夹往往都具有迷惑性，如文件夹名是回收站的名字。

（4）运用Windows的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开，系统提示不存在路径，其实这个文件夹的真正名字是 runauto...。