病毒太可恶了居然假扮"回收站"传播


CNET中国·ZOL 【原创】 作者：中关村在线 马克西西 责任编辑：任仲 07年12月28日

诞刚过，元旦转瞬既至，年终岁末正值病毒“扎堆儿”发作期，节假日期间人们上网休闲娱乐明显增多，聊天、下载电影，玩网络游戏的同时，也为黑客们提供了更多的“作战”机会，用户一不小心，就会落入黑客们精心准备好的“陷阱”之中。近日，微点主动防御软件即捕获了一假扮“回收站”的病毒（Worm.Win32.AutoRun.nn），微点反病毒专家提醒广大网友，U盘下默认是没有回收站的，如果您打开U盘时发现有回收站样式的图标，请一定要格外留心，以免不慎激活病毒造成损失。


图为伪装成回收站的病毒程序图标

    据微点反病毒专家介绍，回收站对于大家来说太常见了，以至于病毒会利用U盘中没有回收站这个细节去欺骗网友运行。这个“假回收站”病毒在隐蔽手法上非常特别，使得一般用户难以发觉，从黑客角度讲可以有效延长病毒的存活时间。根据Windows的相关机制，硬盘和移动硬盘等大容量存贮器设置有回收站，而U盘等小容量存储器一般都没有回收站。所以广大网友如果在U盘下发现有回收站，在磁盘根目录下发现有两个回收站，一定要格外警惕，建议广大网友遇到异常情况可以尝试用右键属性来判断回收站的真伪，“假回收站”的属性中会明确显示其文件类型为应用程序，而“真回收站”的类型则显示为文件夹。

    微点反病毒专家介绍，由于圣诞、元旦等节日相距很近，国务院调整假期安排后，2008年的节假日会更多，节假日期间上网用户数激增，休闲娱乐的同时，用户往往会放松自我保护意识，所以节假日反而很可能成为电脑病毒的高发期。微点反病毒专家建议广大网友，为使您节日期间能够轻松愉快地进行网上冲浪，建议使用微点主动防御软件，根本无需关闭自动播放功能，就可以有效防御“回收站”这类典型的Autorun病毒。这样既可以保证用户安全使用正常的自动播放功能，又可以在发现有害的自动播放程序时准确查杀。（如图1、2）。

图1为主动防御软件的报警图


图2为微点升级后已知特征报警图

对于还未安装使用微点主动防御软件的网友，微点反病毒专家建议：

    1. 不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统；

    2. 建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"己启用"；

    3. 尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持；
    4. 开启windows自动更新，及时打好漏洞补丁。

假扮回收站的东西多了去了。。。。

晕,真是讨厌死病毒了......

原帖由 可爱的天 于 2008-1-14 20:51 发表
晕,真是讨厌死病毒了......

可我就很喜欢，楼主有样本的话丢一个给我。。。嘿嘿

我的回收站图标修改过，所以一眼就可以看出是有问题的。。。

而且，我用组策略阻止了所有根目录的可执行文件，不怕这个病毒，他释放的 1.Exe 根本无法运行。 若干种 U 盘病毒也会被拦截

要养成一插U盘就用杀软扫描的习惯，否则，吃亏的还是自己。

回：襄樊君

原帖由 流浪的基督徒 于 2008-1-14 21:07 发表
要养成一插U盘就用杀软扫描的习惯，否则，吃亏的还是自己。

看来，让系统显示已知文件类型的扩展名是必需的。

另外，文中似乎对回收站的设置的说法似乎不准确。我有一个朗科512M的优盘，我把它格式成USB－HDD，它在电脑中显示的就是硬盘的图标，如果系统是独立配置回收站，那么我的优盘插入后就会产生回收站。如果开启系统还原，优盘中还有系统还原的文件夹呢！

不过，喜欢直接双击回收站文件夹的人似乎不多。