病毒名称：USBKiller U盘病毒专杀工具

病毒中文名：USBKiller U盘木马病毒专杀工具

病毒描述：USBKiller是一款专业预防及查杀U盘、移动硬盘病毒、Auto病毒的工具，具有以下特点：
1.独创SuperClean高效强力杀毒引擎,查杀auto.exe、AV终结者、rising等上百种顽固U盘病毒,保证95%以上查杀率
2.国内首创对电脑实行主动防御，自动检测清除插入U盘内的病毒，杜绝病毒通过U盘感染电脑
3.免疫功能可以让你制作自己的防毒U盘
4.解除U盘锁定状态，解决拔出时无法停止设备的问题
5.进程管理让你迅速辨别并终止系统中的可疑程序
6.完美解决双击无法打开磁盘的问题
7.兼容其它杀毒软件，可配合使用

U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒,随着U盘,移动硬盘,存储卡等移动存储设备的普及,U盘病毒也随之泛滥起来。近日,国家计算机病毒处理中心 发布公告称U盘已成为病毒和恶意木马程序传播的主要途径。面对这一需要,U盘病毒专杀工具USBCleaner应运而生了.USBCleaner是一种纯绿色的辅助杀毒工具,具有检测查杀70余种U盘病毒,U盘病毒广谱扫描,U盘病毒免疫,修复显示隐藏文件及系统文件,安全卸载移动盘盘符等功能,全方位一体化修复杀除U盘病毒.同时USBCleaner能迅速对新出现的U盘病毒进行处理.USBCleaner是你学习,工作,娱乐的好帮手!昔日我们深信不疑的存储助手——U盘，如今为何却成为危害我们的“敌人”呢？双击无法打开驱动器、无法显示隐藏文件、任务管理器失效，以上这些由于U盘病毒导致的现象您是否遇到过而又深受其害呢？对此本站特别收集整理了众多针对U盘病毒的相关知识及解决方法，希望会对广大使用者有实际的帮助。

防范U盘病毒Autorun.inf的五大绝招:目前，U盘病毒的情况非常严重。几乎所有带病毒的U盘,根目录里都有一个autorun.inf，右键菜单多了“自动播放”、“Open”、“Browser”等项目。由于我们习惯用双击来打开磁盘，但现在我们双击，通常不是打开U盘，而是让autorun.inf里所设的程序自动播放。只需采用鼠标右键单击打开就不会激活病毒。但若你的机子有很多人，又不能保证他们不会双击打开U盘，那就可以采用下面的方法。

U盘病毒招一、组策略关闭AutoRun功能（适合不熟悉电脑者）
如果你想一次全部禁用Windows XP的自动播放功能，那么请按下述步骤操作：
1、单击“开始→运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口；
2、在左窗格的“本地计算机策略”下，展开“计算机配置→管理模板→系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”；
3、单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭“组策略”窗口。

U盘病毒招二、注册表关闭AutoRun功能
在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer 主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
双击 “NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到 “NoDriveTypeAutoRun”默认键值为95,00,00,00，附件上传了抓图。其中第一个值“95”是十六进制值，它是所有被禁止自动运 行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示： 保留 7180h 未指定的驱动器类型
在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。

U盘病毒招三、修改权限法
1. 点开始->运行 输入 regedit.exe 回车 2. 打开注册表编辑器后展开项，也是进入
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 3. 右键点MountPoints2 选择权限 4. 依次点击“安全中的用户和组”，在下面的权限中都改成拒绝 5. 刷新一遍，此后即使U盘有病毒也不会激活，双击U盘会正常进入U盘。

U盘病毒招四、隐藏驱动器法（适合U盘使用频繁者，如打印工作室）
如果上面的方法都不够彻底，还有一招就是把驱动器隐藏了，而用一个批处理文件来打开U盘。

1、打开注册表编辑器，还是进入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，新建二进制值“NoDrives”，缺省值是00000000，表示不隐藏任何驱动器。键值由4个字节组成，每个字节的每一位（bit）对应从A到Z的一个盘，当相应位为1时，“我的电脑”中的相应驱动器就被隐藏了。第一个字节代表从A到H的八个盘，即01为A、02为B、04为C……依此类推，第二个字节代表I到P；第三个字节代表Q到X；第四个字节代表Y和Z。U盘的盘符是接着现有盘符往下推。若你现在已经使用了C、D、E、F，那么U盘采用G：着盘符，再插入一个U盘就用H：。此时只需将G：和H：隐藏，则插入U盘也不会在“我的电脑”里显示。当然，用注册表编辑器修改注册表操作起来较为复杂， 现在有很多专门修改注册表的软件，如WINDOWS优化大师中展开“系统性能优化/系统安全优化/更多设置/选择要隐藏的驱动器”，将要隐藏的盘符前的"□"里打"√",确定即可。
2、在桌面新建一个文本文件，输入“start （你的盘符）:”，如：“start f:\”,另存为“进入U盘.bat”，之后就通过双击该批处理文件来打开U盘，不仅可防病毒，使用也很方便。

U盘病毒招五、禁止创建autorun.inf（保护自己的U盘）
在根目录下建立一个文件夹，名字就叫autorun.inf。由于Windows规定在同一目录中，同名的文件和文件夹不能共存，这样病毒就无法创建autorun.ini文件，即使您双击盘符也不会运行病毒。

Autorun.inf等U盘病毒的攻防查杀经验总结:“RavMonE.exe”、“rose.exe”、“sxs.exe”、“copy.exe”、“setup.exe”……根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。
Autorun.inf被病毒利用一般有4种方式
U盘病毒A. OPEN=filename.exe 自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。
U盘病毒B.shellAutocommand=filename.exe
shell=Auto 修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？
U盘病毒C. shellexecute=filename.exe
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
U盘病毒D.

一、同名目录
目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

二、Autorun.inf下的非法文件名目录
有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。
在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非 法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内 容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。

三、NTFS权限控制
病毒制造 者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问 "dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手，删除该特殊目录。
因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。
但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。
这三步可谓是一步比一步精彩。但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。

◆结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把 ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源 ISO中。
◆提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内Windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。

预防为主

面对如此恐怖的东西，对付的办法已经不多了。但是它们其实是一切Windows安全问题的基本解决方案。
一、一定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。

二、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。

三、 某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗 号程序，盗取账号，获得人民币。这条黑色产业链中，IE其实是最容易剪断的一环。珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱 上各种小型下载站、色情网站等高危站点，如果有可能，使用非IE引擎的浏览器。

四、恶意捆绑软件，现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而一些恶意软件本身就是一个病毒木马的下载器。因此，不要让流氓接近你的机器。

Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展。