Autorun.inf 类病毒 攻防经验汇总

安全
我们今天主要向大家讲述的是Autorun.inf 类病毒的攻防的经验总结,还有对Autorun.inf被病毒利用一般的四种方式的描述。

此文章是对 Autorun.inf 类病毒的攻防的经验总结,以及对Autorun.inf被病毒利用一般的四种方式的描述,以下就是文章对Autorun.inf 类病毒的攻防的经验总结以及Autorun.inf被病毒利用一般的四种方式的讲述。

“RavMonE.exe”、“rose.exe”、“sxs.exe”、“copy.exe”、“setup.exe”……根目录下的神秘幽灵,系统安全的杀手,它们被称作“U盘病毒”。

无数Windows用户,都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

“RavMonE.exe”、“rose.exe”、“sxs.exe”、“copy.exe”、“setup.exe”……根目录下的神秘幽灵,系统安全的杀手,它们被称作“U盘病毒”。无数Windows用户,都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

 

Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf 类病毒传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式

A.

OPEN=filename.exe

自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。

B.

shellAutocommand=filename.exe

shell=Auto

修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?

C.

shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

D.

shellopen=打开(&O)

shellopenCommand=filename.EXE

shellopenDefault=1

shellexplore=资源管理器(&X)

这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。

面对这种危险,尤其是第四种,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。而在这种情况下,一部分人也根据自己的经验,做出了“免疫”工具。

免疫的办法(对可移动磁盘和硬盘)

一、同名目录

目录在Windows下是一种特殊的文件,而两个同一目录下的文件不能同名。于是,新建一个目录“autorun.inf"在可移动磁盘的根目录,可以防止早期未考虑这种情况存在的病毒创建autorun.inf,减少传播成功的概率。

二、Autorun.inf下的非法文件名目录

有些病毒加入了容错处理代码,在生成autorun.inf之前先试图删除autorun.inf 类病毒目录。

在Windows NT Win32子系统下,诸如"filename."这样的目录名是允许存在的,但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非 法),直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的,会返回错误。但是,删除目录必须要逐级删除其下的整个树形结构,因此必须查询其下每个子目录的内 容。因此,在“autorun.inf"目录建一个此类特殊目录,方法如"MD x:autorun.infyksoft..",可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。

三、NTFS权限控制

病毒制造 者也是黑客,知道Windows的这几个可算是Bug的功能。他们可以做一个程序,扫描目录时发现某目录名最后一个字节为'.'则通过访问 "dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手,删除该特殊目录。

因此,基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容。

 

上述的相关内容就是对Autorun.inf 类病毒的攻防的经验总结的描述,希望会给你带来一些帮助在此方面。

 

【编辑推荐】

  1. 免费杀毒除了老虎和牛以外还有谁?熊猫。
  2. 360杀毒用户数突破2亿 免费杀毒成绝对主流
  3. 网秦手机杀毒4.0震撼发布 铸造手机隐私防护利器
  4. 杀毒软件全面云安全 究竟谁才值得真正选
  5. 实测云安全技术下的瑞星杀毒
责任编辑:佚名 来源: DIVCSS5.com
相关推荐

2010-09-10 09:57:44

2009-11-10 12:51:35

NTFS权限禁止autorun病毒

2013-01-22 17:15:55

2010-12-28 10:17:22

2020-12-10 08:04:45

勒索病毒经验

2020-12-17 10:08:51

勒索病毒安全信息安全

2011-06-22 14:45:52

JAVA

2011-06-22 14:51:46

JAVA

2011-06-22 14:38:14

JAVA

2011-06-22 15:04:28

JAVA

2014-03-10 10:24:01

MySQLMySQL优化

2011-08-11 16:17:46

autorun中文man

2009-06-23 13:21:16

2015-07-17 13:51:29

2009-06-01 14:17:12

2011-08-09 10:09:07

2014-08-28 09:14:38

2009-07-06 14:00:23

2009-01-18 09:27:00

2010-05-28 19:32:24

MySQL使用方法
点赞
收藏

51CTO技术栈公众号