手機U盤，別讓病毒暗渡陳倉

    如今很多新潮手機，都通過內置通用的USB接口來實現無驅U盤的功能，簡化用戶上傳資料至手機的操作，這些手機也因此常被作為轉儲磁盤來使用。然而，往往被人忽視的是，手機U盤的便利性，也給電腦病毒的傳播造就了可乘之機。
    本人在使用支持無驅U盤的波導D720手機過程中，就曾遭遇RavMonE病毒來襲。雖然這類U盤病毒目前還不至于引起手機損壞，但卻大有機會把手機U盤當作轉儲中介進行大肆傳播。為促使人人自警，下面我介紹一下該病毒的發現、清除過程，并談一談如何加強防范、防止計算機病毒利用手機進行傳播的經驗。

    一、手機U盤中毒癥狀
    波導D720手機和電腦通過USB充電/數據線連接交換數據資料的時候，插入連接線后，Windows“我的電腦”中顯現出兩個可移動磁盤（其中之一為外加的 MiniSD 卡，另一個磁盤為手機固化的存儲空間），雙擊其中任何一個時，發現打開磁盤的速度明顯變慢，有時候還無法正常彈出手機U盤（即：通過Windows系統任務條中的綠箭頭無法卸載手機U盤）。然而，通過右鍵菜單中的“打開”功能或Windows資源瀏覽器來察看磁盤內容時，開盤速度正常。
    此時，按 Ctrl+Alt+Del 組合鍵呼出 Windows 任務管理器，可發現名為 RavMonE.exe 的可疑進程（如圖1-1,也有叫做 AdobeR.exe 的病毒變種，如圖1-2），在手機U盤上點擊鼠標右鍵，會發現多出一個 Auto 菜單項（如圖2）。

圖1-1：內存中的 RavMonE 病毒          圖1-2：內存中的 AdobeR.exe 病毒

圖2：中毒后的鼠標右鍵菜單多出一個Auto項

    二、病毒現身
    出于減少用戶誤操作的顧慮，Windows系統在缺省情況下是不會把系統文件、隱藏文件顯示出來給用戶看的。所以，之前我們打開手機U盤后，表面上所見的文件并無異常，這時就需要我們“透過現象看本質”了。通過修改資源管理器的“工具 — 文件夾選項”的屬性，我們才得以看清磁盤內容的背后乾坤。照圖3操作就可以給資源管理器打開“天眼”了（安上“照妖鏡”，呵呵）。

                    圖3-1：給資源管理器打開“天眼”的方法

                   圖3-2：資源管理器裝好“照妖鏡”時的設置

    圖4是裝好“照妖鏡”后，所見隱藏著的病毒。根目錄下的三個文件：RavMonE.exe，RavMonLog，msvcr71.dll。RavMonE.exe 這個病毒體主程序就是通過autorun.inf 告知Windows系統得以運行的。

圖4：病毒文件的真實面目   

    后注：病毒體程序也可能不放在根文件夾下，而是放在貌似回收站英文名的文件夾內，可能還層層深入躲避查殺，總之，我們可利用Windows記事本來打開 autorun.inf（不可雙擊 autorun.inf，切記）找出病毒的藏身之所。

    四、防患于未然
    很明顯，U盤類病毒是利用了Windows內置的自動播放功能進行傳播，使 autorun.inf 成為了其幫兇。插入光盤或U盤時，Windows 總是自作多情地自動彈出一個瀏覽/播放窗口，招人討厭，如果能關閉這個功能，大家不僅耳根子清靜，而且還可以有效地阻斷U盤病毒的傳播途徑。下面我介紹一下操作方法（圖6）：

圖6：在組策略中關閉磁盤的自動播放功能

    1、單擊“開始→運行”，在“打開”框中，鍵入“gpedit.msc”，單擊“確定”按鈕，打開“組策略”窗口；
　　2、在左窗格的“本地計算機策略”下，展開“計算機配置→管理模板→系統”，然后在右窗格的“設置”標題下，雙擊“關閉自動播放”；
　　3、單擊“設置”選項卡，選中“已啟用”復選鈕，然后在“關閉自動播放”框中單擊“所有驅動器”，單擊“確定”按鈕，最后關閉“組策略”窗口。
    附帶說明一下，如上操作后插入音樂CD仍會搜索媒體播放，此時可把光盤驅動器的自動播放屬性設置為“不執行操作”加以解決（圖7）。

圖7：在設備管理器中修改光驅的自動播放屬性

    最后，請閱讀本文的電腦新手注意：

    1、注冊表編輯 Regedit 以及組策略更改 gpedit.msc 須謹慎操作，不要改動其他無關之處。
    2、為了殺毒，我們給資源管理器開“天眼”裝上了“照妖鏡”，最好能恢復原狀，以防失手破壞 Windows 的重要系統文件。

                                                  wtpublic 2006年10月1日