安全

1 post

中病毒后U盘文件消失的分析和解决办法

今日,一朋友的U盘中毒,在杀毒软件把病毒干掉之后,发现原来的正常文件都没有了。点击盘符查看属性,所占的空间还在,使用常规的办法查看隐藏文件无法看到,应该是所有东西都被隐藏起来。

解决办法

  1. 杀毒:其实这种病毒的流行时间已经很长,变种已经发展到一定程度。光删掉木马本体很难做到治本。因为还有一大群的downloader随时生成新的病毒体。所以,如果自己没有能力用hips类软件分析,普通杀毒软件和专杀软件难以清除干净,最佳办法是备份系统后立刻从干净U盘上安装最新杀毒软件。普通杀毒软件推荐使用东方微点可牛(卡巴斯基)Avast!,有能力的朋友使用EqsecureMalware Defender等hips类软件手动清毒。
  2. 用批命令修改文件属性:清除病毒之后其实还是不能用常规手法把被隐藏的文件改回。通过google搜索,发现可以用dos命令attrib来改变属性。大家可以到依默博客下载小批量处理命令,点击下载之后解压ok.bat到U盘目录下运行即可。

分析和思考

其实这个病毒并不可怕,技术上完全没有任何创新之处,依旧是最简单的Autorun.ini运行方式。基本上任何安装了杀毒软件的机器都不会中毒,但是很显然,很多朋友还是喜欢裸奔,而且很多人还是没有良好的操作习惯。下面就是我对这件事的一些反思,可以视为建议:

  1. 良好的操作习惯:尽量不要双击打开盘符。一般我建议打开文件夹的方法是,WIN+E键,然后单击左侧目录树的盘符,而不是直接双击盘符进入一个盘。因为双击盘符很有可能就直接运行了Autorun.ini及其附带的木马。
  2. 显示文件名后缀和隐藏文件夹:能更好地区分伪装成各种文件/文件夹的病毒木马。如果U盘里无缘无故多出一个Autorun.ini,然后一个文件夹后边是.exe后缀,那就1000%有问题,直接删除掉一点也不冤枉。更为明显的是,所有东西都变成两份儿,基本上都会看出有问题的吧?
  3. 使用freecommander等工具替代Explorer:以前熊猫烧香横行的时候,我的机器始终没有染毒,甚至到后来在虚拟机上想捕捉病毒样本进行研究的时候,发现pif根本无法运行。当时用的是xplorer破解版,而且100%的U盘病毒都失效了。原因就是这些工具跳过Autorun.ini,病毒没法运行。而且很多这些软件一般都默认显示隐藏文件和文件名后缀,基本上一眼就能看出哪些是病毒哪些不是。当然,免费的freecommander显然更值得推荐,而且功能上一点儿也不逊色。更多freecommander的介绍
  4. 权威网站下载软件:官方下载的软件是最为可靠的,其次是各大下载网站。而其它一些乱七八糟的网站建议最好不要去用。如何区分呢?好吧,最简单的办法,用google输入软件名称,基本上第一个就是官方网站。
  5. 尽量少用盗版软件:盗版软件不仅对作者是极大的伤害,对使用者本身也有诸多不安全的因素。盗版软件中经常带有恶意软件甚至是病毒木马,有些则根本就直接是病毒木马,连一个原装软件都不放。所以,珍惜生命,尽量远离盗版。那一些软件我要用怎么办呢?其实一些免费的甚至开源软件(暂且把开源软件当作免费来看吧)已经完全可以替代常见的盗版软件了。如果您有需要,请多多关注古博悠游绿洲,留言询问,相信您会得到满意的答复。
  6. 使用一个好的杀软:这个没什么说的,杀软就像衣服(内衣裤),人手必备(非win系统的请无视)。如果一定有朋友耍个性,要裸奔,请您尝试一下到最繁华地段脱光衣服昂头挺胸的走一段路,然后再回来考虑一下。个性需要资本,没有资本的过度个性就是zhuangbility,子曾经曰过:装逼被雷劈。没有那个技术就别学高手裸奔,我所知道的一些高手,裸奔的很少,基本上都会有杀软、影子系统、hips软件甚至组策略。因为现在的病毒发展程度已经令人发指,普通个人系统中毒之后手工清除的成本太高,甚至不如直接还原方便,但是之前的系统数据会有丢失的风险。好的免费杀软推荐:东方微点可牛(卡巴斯基)Avast!
  7. 使用小众浏览器:Firefox在我这个圈子里已经成为主流。我只有1%左右的时间在用IE。但是国内,IE6就是网民的首选。缓慢、低效、安全性差、对网页标准支持差(png竟然不透明)让我吃尽了苦头。曾经看到一位女生的IE工具栏,5~8个的乱七八糟的工具条颇为壮观,基本上一打开IE必死,而另外一个浏览器是腾讯TT,orz… 推荐浏览器:chromeplusoperafirefox

其实,计算机、病毒、木马并不是多么的复杂。花一个月的时间上一个电脑基础培训班,了解一下什么是硬件,什么是软件,基本上就能知道个大概。当然,一般的电脑培训教师是没有耐心告诉你这些具体的安全操作技巧和良好的操作习惯的。