U盤病毒專殺工具

U盤病毒顧名思義就是通過U盤傳播的病毒。自從發現U盤的autorun.inf漏洞之後，U盤病毒的數量與日俱增。

病毒首先向U盤寫入病毒程序，然後更改autorun.inf文件。autorun.inf文件記錄用户選擇何種程序來打開U盤。如果autorun.inf文件指向了病毒程序，那麼Window就會運行這個程序，引發病毒。一般病毒還會檢測插入的U盤，並對其實行上述操作，導致一個新的病毒U盤的誕生。

自然，病毒程序不可能明目張膽的出現，一般都是巧妙存在在U盤中。下面總結了一些方式，僅供參考：

1） 作為系統文件隱藏。一般系統文件是看不見的，所以這樣就達到了隱藏的效果。但這也是比較初級的。病毒一般不會採用這種方式。

2） 偽裝成其他文件。由於一般人們不會顯示文件的後綴，或者是文件名太長看不到後綴，於是有些病毒程序將自身圖標改為其他文件的圖標，導致用户誤打開。

3） 藏於系統文件夾中。雖然感覺與第一種方式相同，但是不然。這裏的系統文件夾往往都具有迷惑性，如文件夾名是回收站的名字。

4） 運用Window的漏洞。有些病毒所藏的文件夾的名字為 runauto...,這個文件夾打不開，系統提示不存在路徑。其實這個文件夾的真正名字是 runauto...\。

USBKiller

1.獨創SuperClean高效強力殺毒引擎,查殺auto.exe、AV終結者、rising等上百種頑固U盤病毒,保證95%以上查殺率；

2.國內首創對電腦實行主動防禦，自動檢測清除插入U盤內的病毒，杜絕病毒通過U盤感染電腦；

3.免疫功能可以讓你製作自己的防毒U盤；　4.防止他人使用U盤、移動硬盤盜取電腦重要資料；　5.解除U盤鎖定狀態，解決拔出時無法停止設備的問題；　6.進程管理讓你迅速辨別並終止系統中的可疑程序；　7.完美解決雙擊無法打開磁盤的問題；　8.兼容其它殺毒軟件，可配合使用。

USBCleaner

U 盤病毒又稱 Autorun 病毒，是通過 AutoRun.inf 文件使對方所有的硬盤完全共享或中木馬的病毒。

隨着 U 盤，移動硬盤，存儲卡等移動存儲設備的普及，U 盤病毒也隨之氾濫起來。

國家計算機病毒處理中心發佈公告稱 U 盤已成為病毒和惡意木馬程序傳播的主要途徑。

面對這一需要，U 盤病毒專殺工具- USBCleaner 應運而生。

USBCleaner 是一種純綠色的輔助殺毒工具，支持簡體與繁體語言系統,獨有的分類查殺引擎具有檢測查殺 470 餘種 U 盤病毒，U 盤病毒廣譜掃描，U 盤病毒免疫，修復顯示隱藏文件及系統文件，安全卸載移動盤盤符等功能，全方位一體化修復殺除 U 盤病毒。同時 USBCleaner 能迅速對新出現的 U 盤病毒進行處理

金山工具

前面所列出的專殺工具已經不能清除最新出現的U盤病毒，金山安全實驗室分析了眾多U盤病毒的規律，開發出新版U盤病毒專殺工具，可以智能分析，啓發判斷，通殺未知U盤病毒。同時，可以提供病毒免疫功能，阻止新U盤病毒的再次感染。對主要通過U盤傳播的conficker病毒有很好的清除能力。

軟件介紹

鵬瞰是“pre-scan”的音譯，意為搶先掃描，即在啓動計算機但未登錄計算機時，在Native環境下運行的病毒專殺工具。不同於普通的專殺，這是一款全新模式的病毒專殺工具，能比較好的解決頑固病毒在計算機啓動後無法清除的問題。

在Native環境下，病毒一般不會啓動，此時處理具有一定優勢，國內反病毒廠商第一家應用這項技術的是江民科技的BootScan，其次是瑞星的Bsmain，但都不免費，為此，我們把此功能和通用反病毒引擎的一些重要功能獨立出來做一個工具免費提供大家使用。它有以下幾個特點：

1. 完全免費，放心使用。

2. 運行平台為32位Win2000,Win2003,WinXP,Vista,Win7。

3. 搶先掃描，優勢不言而喻，能有效解決普通專殺對系統級病毒查殺不徹底的弱點。

4. 優良的引擎架構。編寫之初，我們翻閲了很多反病毒引擎方面的資料，最終確定了模式。事實上專殺工具即是反病毒引擎的裁剪版本，這使得我們的專殺擁有和通用反病毒引擎同樣強勁的功能，並且更加靈活。

5. U盤專殺模塊。我們專門針對U盤病毒設計了專殺模塊，這個模塊的功能日臻完善，通過基準庫、啓發庫、黑名單等一系列手段，比較徹底的清除病毒。我們的專殺模塊是遞增的，之後添加的專殺模塊和之前的模塊捆綁發佈，不會裁剪。

6. 針對專業級的用户，我們提供了黑名單功能。對於未知病毒，允許用户添加自己認為是病毒的樣本。是在新病毒突然爆發時，應對病毒庫升級滯後的應急措施。

7. 為了防止誤報，增加隔離區功能。在殺毒之前，備份病毒樣本，目的是一旦發現誤報則可以還原為殺毒之前的狀態，防止用户數據丟失。一般而言，反病毒軟件廠商的誤報率在萬分之五以下，但誤報是無法避免的，即便是最優秀的殺毒軟件。

8. 實時查殺。引擎在掃描時會自己學習病毒樣本，實現邊查殺邊學習再查殺功能，此功能為我們獨創，運行良好。

使用介紹

1.軟件解壓到目錄後，運行pre-scanUSB.exe，如圖1：

2. 根據提示的使用説明，安裝即可。如果計算機上安裝有監控軟件，可能會被攔截，請允許安裝。本軟件需要寫註冊表System\\CurrentControlSet\\Control\\SessionManager\\BootExecute鍵值設置啓動殺毒，並且在System\\CurrentControlSet\\Control下創建pre-scan鍵值並設置一些必要參數，最後將pre-scan.exe拷貝到系統目錄system32下。

3. 安裝成功後插入U盤。

4. 重新啓動後，會出現以下界面：

按’A’鍵 掃描所有盤

按’B’鍵 掃描關鍵目錄，例如c:\windows

按’C’鍵 掃描C盤，以此類推，按’D’鍵掃描D盤等待，這個系統顯示只存在C,E盤，而E盤是USB盤。

按’U’鍵 掃描U盤。注意，如果重啓之前沒有插入U盤時，不會出現此鍵。‘U’鍵是專門為清除U盤病毒設計的。此時，按’U’鍵和’E’鍵查殺效果相同。

按’Esc’鍵 退出程序。

技術參數

1. 基準庫

用於病毒特徵碼的添加。基準庫特徵碼為智能添加，在控制誤報率的基礎上實現了自動添加和引擎的無縫結合。

2. 啓發庫

用於類似U盤病毒的啓發。

3. 黑名單庫

即Md5值庫，用户添加後根據Md5值查殺，Md5值誤報率極低，所以採取此方法，但添加黑名單時需要特別注意防止添加系統文件。

4.脱殼庫

因為需要查殺Md5值，所以會盡量保證脱殼後和脱殼前的Md5值相同。

5. 解壓庫

可以解壓常見的文件格式。

6. 實時庫

配合實時查殺技術設計。

7. 清除庫

針對感染類病毒。對一般的感染類病毒，一條特徵碼即可解毒；對複雜的感染類病毒，則通過專門的清除模塊處理。

8.雲查殺功能

設計之初，我們充分考慮了面向互聯網的引擎設計要求，雲不用md5是可以實現的，使之更適應互聯網的發展。

9. 移植性

優良的引擎構架，使我們能輕而易舉的把引擎移植到各種平台，無論是手機、windows，Native，Linux，還是非x86系統。事實上我們的第一個版本是運行在PocketPC手機上，運行平台為WinCE系統，可以參考：免費手機殺毒軟件V1.0。

10.誤報率

經嚴格測試，誤報率在萬分之五以下。

。。。。。。

還有很多的方面的技術，恕不一一指出。引擎的發展是多元化的，感興趣的朋友可以參考Clamav的引擎設計，其病毒庫類型豐富多彩，特徵碼變化萬千，引擎設計的本質就是變化，不斷適應新的互聯網環境。