主动防御功能首次应用于U盘病毒防范

随着一种名为PE_LUDER.CH的U盘病毒成为10月份全球感染数最多的病毒，“U盘病毒”再度成为用户讨论的热门话题。为此，趋势科技中国区网络安全监测实验室（CRTL）根据U盘病毒的行为特性，提出了针对性的解决方案——嵌入杀毒产品的立体式U盘病毒解决方案。其中的“启发式检测”功能，可有效发现未知U盘病毒，是业内首次将主动防御功能应用于U盘病毒的防范。

　　USB移动设备，以其方便、快捷、存储量大等优势，成为目前主流的存储工具之一，而使用USB接口的MP3、数码相机等数码，更是很多年轻人的最爱。在移动运算越来越普及的今天，小小的U盘却成为病毒传播的温床。Windows系统依靠autorun.inf这个文件让U盘插入后自动运行，该文件作为隐藏的系统文件保存在驱动器的根目录下，它保存着一些简单的命令，告诉系统这个新插入的U盘应该自动启动什么程序，其本身是一个常规且合理的文件。但它的“自动”启动特性恰恰为病毒作者加以利用，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序，包括可能的恶意内容。

6i%]`^&EC7590422　　防病毒厂商目前提供的解决方案通常只是作为杀毒软件的一个插件出现，虽然可以一定程度上起到防范U盘病毒作用，但仍然存在三个方面的问题：第一，由于该类病毒变化多端，防毒软件的查杀能力一直饱受质疑；第二，众多的解决方案在查杀病毒后仍然会残留自启动文件autorun.inf，容易导致无法双击打开相应的磁盘设备；第三，不能真正嵌入到杀毒软件，与主程序进行同步防护。

三大防范技术对抗U盘病毒

iq t,_+Q9A7590422　　而趋势科技CRTL本次推出的立体式解决方案，全面整合了三项防范技术：1）免疫；2）查杀；3）启发式检测，同时辅以趋势科技未知病毒提交快速响应能力，形成了有效的应对方案：

　　第一招：免疫

~:\C4k
d1v,N7590422　　原理：自动禁用所有移动设备（光盘），使得U盘病毒无法自动激活。

+spd3U1b2Q6~&~7590422　　触发条件：1）每次重启计算机； 2）每次执行OfficeScan手动扫描； 3）每次China DCT更新。IXPUB技术博客P&nC^'x5I-m

　　实现方式：集成到China DCT 技术中。

　　DCT检测名称：RTL.USB.ImmunityIXPUB技术博客!B?!{T;rD

p2G5Z(Uv0@7590422 　　第二招：查杀

　　原理：1）自动搜索并删除所有磁盘根目录下的autorun.inf文件，解决双击无法打开磁盘的问题；IXPUB技术博客a7`Px h%Q

　　2）根据autorun.inf 文件反向查杀(已知&未知)病毒体文件和进程。IXPUB技术博客 LKM[4o8?2S`

M9`CVq$C4d:y7590422　　触发条件：1）每次重启计算机； 2）每次执行OfficeScan手动扫描； 3）每次China DCT更新。

'u)}$Y!q8}*h7590422　　实现方式：集成到China DCT 技术中。

3@4p
W0hvd7590422　　DCT检测名称：RTL.AUTORUN.INFIXPUB技术博客 Z;qDFx0j0?

　　第三招：启发式检测IXPUB技术博客Z4OM?HG[fAML

qj2Pj/Zj7i(J/`0Z~7590422　　原理：1）检测可疑autorun.inf文件,并阻止对该文件访问；

　　2）阻止U盘病毒通过autorun.inf激活,抑制传播；

　　3）可有效发现未知U盘病毒。

　　有效时间：实时扫描IXPUB技术博客#^3KE \%lFxc

　　实现方式：集成到China Pattern 技术中。IXPUB技术博客4BY?0}iZivU
F`

　　病毒名称：Possible_AUTORUNIXPUB技术博客
i+Bf;s-G3A1}aM