闪存病毒的历史回顾、剖析与防范方法

记得在2001年第一次看到闪存时，感觉非常新奇，不过因为价格不菲，而且容量也非常小，电影等大文件又装不下，只能装一些Word文档或者几首MP3。那时的闪存算是软盘的升级版，我也跟它“擦肩而过”。事实上，闪存虽然在2001年左右就被大众接受，但普及面并不广，当时的病毒也没有瞧上“她”。

2003年，16MB闪存淡出市场，256 MB闪存在朋友圈中非常流行，我购买了属于我的第一个闪存——256 MB。兴奋没有多久，我的闪存就遭遇了病毒——闪存类病毒，系统变得非常慢了，打开一个网页都需要一分多钟。那一年，对闪存而言是一个刻骨铭心的一年。闪存的容量得到数倍的提高，而价格也低到能被很多学生接受的地步。随着闪存普及，闪存类病毒诞生了，从那年开始，闪存与闪存类病毒的“绯闻”就一直没有断，持续了六年。

闪存容量从512MB，1GB，2GB，4GB，8GB，16GB……不断提高，而价格却一路走低，一百多元就可以买到16GB的闪存。其间我换了两个闪存，经常装电影、重要资料等，被闪存类病毒骚扰的次数也多了起来，特别是在2006年下半年到2007年上半年，AUTO、熊猫烧香、金猪报春等闪存类病毒层出不穷。

为什么病毒总缠着闪存

闪存容量越大，放的东西就越多;价格越便宜，用的人越多，就会吸引各式各样病毒的关注，它们为了利益，都直奔闪存而来。也就是在那个时候，闪存类病毒的外延扩大了，包括熊猫烧香、金猪报春等知名病毒都算是闪存类病毒，于是病毒就成为了闪存的梦魇。

最初的闪存类病毒，功能都非常简单，仅仅是将病毒自身由闪存复制到系统中而已(单向感染)，这时的闪存病毒还不具备大面积扩散的能力。之后，闪存类病毒进行技术升级，开始能从系统中逆向感染闪存，可以说具备了自动感染能力。这样病毒就可以通过移动设备进行快速的传播。

现在的闪存类病毒，融合了许多其他技术，例如采用映像劫持、突破主动防御等。这样做的结果是，闪存类病毒与其他类型的病毒区别并不大，两者的内涵都差不多了，单纯的闪存类病毒必将被淘汰。但闪存类病毒并不会消亡，它们变身成为综合类病毒，这时无论破坏力还是传播面积都比以前大多了。

闪存病毒的害人伎俩

闪存类病毒利用Windows系统中的自动播放功能进行感染，当闪存插入电脑以后，就会自动读取设备根目录中的Autorun.inf文件。Autorun.inf文件本身并不具有危害，但里面的内容会指向一个病毒文件，在打开闪存时，Autorun.inf文件就会激活它指向的病毒文件。

我还发现一个规律，闪存的容量跟病毒的数量是成正比的，容量越做越大，而病毒数量也是越来越多。这个规律将一直沿续下去。

克制闪存病毒方案

闪存类病毒的克制方法大同小异，用通用的方法即可解决。掌握方法后，在为同事和朋友解决这类病毒引起的电脑故障时，就会得心应手。

第一步：运行进程管理工具Wsyscheck，如果发现有可疑的进程，该进程将被标成紫红色，选中这样的进程(图1)，点击右键选择“结束进程并删除文件”即可。有的闪存类病毒会使用线程插入技术，这时病毒进程就会以粉红色显示，在模块列表中找到模块文件的模块，点击右键选择“卸载模块并删除文件”即可。

图1 可疑进程

第二步：点击Wsyscheck中的“文件管理”，定位到每个磁盘的根目录下(图2)，选择病毒文件和Autorun.inf后，点击右键选择“直接删除”即可。

SRENG

第三步：点击Wsyscheck中的“服务管理”，病毒的启动服务往往会标成红色，选中这样的启动服务后，点击右键选择“删除选中的服务”即可。如果这里没有发现病毒启动项，那么点击“安全检查→活动文件”，选择病毒启动项，点击右键选择“修复所选项”即可。

然后调出系统修复工具SREng(下载地址http://down1.tech.sina.com.cn/download/downContent/2005-07-06/14207.shtml)，点击“系统修复→高级修复”，再点击“自动修复”即可恢复被病毒破坏的系统。