[手工清除新型Ｕ盘病毒水牛] U盘病毒

　　今天一个同事拿U盘插到我的电脑上，一不小心中招，经查，在他的U盘根目录下有二个文件，分别是：ShuiNiu.exe、AutoRun.inf，如图1所示。由于我的机器上安装了卡巴欺基，把病毒库升级到最新，对ShuiNiu.exe进行扫描，卡巴欺基报告称没有发现威胁，看来卡巴欺基也有马失前蹄的时候。
　　由于开启了主动防御，可以观察到病毒的执行过程，感染ShuiNiu.exe后有这些现象：
　　1．能感染到插入机器的其它U盘；
　　2．停止防毒软件的保护；
　　3．映像档劫持（让另外下载的多款防毒软件无法救援）；
　　4．病毒修改系统时间让防毒软件的授权（序号）失效（这招真狠对每个防毒都有效）。
　　AutoRun.inf的内容如下：
　　[AutoRun]
　　Open=ShuiNiu.exe
　　Shell\Open=打开(&O)
　　Shell\Open\Command=ShuiNiu.exe
　　Shell\Open\Default=1
　　Shell\Explore=资源管理器(&X)
　　Shell\Explore\Command=ShuiNiu.exe
　　从以上内容看，插入U盘之后，在“我的电脑”中点鼠标右键选“打开(&O)”与“资源管理器(&X)”均能中招。病毒首先在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]下修改"Seed"值，如图2所示；同时把自身复制到系统文件夹SYSTEM32下，如图3所示。
　　把自身注入到系统进程SVCHOST.EXE中。而进程SVCHOST.EXE是系统启动时必须运行的，如图4所示。卡巴欺基报告有风险软件Trojan.qeneric注入IEXPLORE.EXE，注入的目的是注册它的副本为开机自动运行程序，如图5所示。
　　在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]以及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]下增加字符串DsNiu，值为系统文件夹下的ShuiNiu.exe，手工删除字符串DsNiu，病毒程序由于采取了自身保护技术立刻就被恢复，如图6所示。删除系统文件夹SYSTEM32下ShuiNiu.exe时报告无法删除，如图7所示。
　　正确的做法是运用系统配置实用程序或WINDOWS优化大师等软件把系统自启动项中的DsNiu前面的勾去掉。重新启动计算机，再删除相关的项目，如图8所示。系统默认自动弹出的运行选择窗口也助长了中毒的危险。利用组策略设置，可以禁止光盘U盘自动运行，再加上避用双击打开盘符的办法，可以大大降低U盘病毒的中招可能性。
　　下面来看看如何用组策略设置禁止光盘U盘自动运行：
　　1、点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口，如图9所示。
　　2、在左栏的“本地计算机策略”下，打开“计算机配置-管理模板-系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；弹出窗口如图10所示。
　　3、选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。注销即可。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文