对Autorun.inf类U盘病毒的攻防经验总结

核心提示：这1篇文章是1篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这1篇文章是1篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。 　　

Windows 95以后的系统都有1个“自动运行”的功能。通过在卷插进时读取磁盘卷上的Autorun.inf文件来取得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可履行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将本身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这类传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应当出现的地方的回收站，总之，它们是系统安全的严重要挟。

Autorun.inf被病毒利用1般有4种方式　　

1. OPEN=filename.exe

自动运行。但是对很多XPSP2用户和Vista用户，Autorun已变成了AutoPlay，不会自动运行它，会弹出窗口说要你干甚么。　　

2. shellAutocommand=filename.exe

shell=Auto

修改上下文菜单。把默许项改成病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默许项的名字，但假设你在非中文的系统下发现右键菜单里多出了乱码或中文，你会以为是甚么呢？　　

3. shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这类是对付那些用Win+R输盘符开盘的人。　　

4. shellopen=打开(&O)

shellopenCommand=filename.EXE

shellopenDefault=1

shellexplore=资源治理器(&X)

这类迷惑性较大，是新出现的1种情势。右键菜单1眼也看不出题目，但是在非中文的系统下，原形毕露。忽然出现的乱码、中文固然难逃法眼。

面对这类危险，特别是第4种，仅仅依托Explorer本身，已很难判定可移动磁盘是否是已中毒。而在这类情况下，1部份人也根据自己的经验，做出了“免疫”工具。

免疫的办法（对可移动磁盘和硬盘）　　

1、同名目录　　

目录在Windows下是1种特殊的文件，而两个同1目录下的文件不能同名。因而，新建1个目录“autorun.inf"在可移动磁盘的根目录，可以避免早期未考虑这类情况存在的病毒创建autorun.inf，减少传播成功的概率。　　

2、autorun.inf下的非法文件名目录　　

有些病毒加进了容错处理代码，在天生autorun.inf之前先试图删除autorun.inf目录。

在Windows NT Win32子系统下，诸如"filename."这样的目录名是答应存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32 API中的目录查询函数是没法查询这类目录中的内容的，会返回毛病。但是，删除目录必须要逐级删除其下的全部树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf"目录建1个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以避免autorun.inf目录轻易被删除。类似的还有益用Native API创建使用DOS保存名的目录（如con、lpt1、prn等）也能到达类似的目的。　

3、NTFS权限控制　　

病毒制造者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做1个程序，扫描目录时发现某目录名最后1个字节为'.'则通过访问"dirfullname.."、或通过利用Windows NT的Native API中的文件系统函数直接插足，删除该特殊目录。　　

因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不但没法删除，乃至没法列出该目录内容。　　

但是，该办法不合适于音乐播放器之类通常不支持NTFS的设备。　　

这3步可谓是1步比1步出色。但是，最大的题目不在怎样避免天生这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的料想。　　

1、结合ANI漏洞，在autorun.inf里将icon设成1个ANI漏洞的Exploit文件（经过我的实验，发现Windows有1种特性，就算把ani扩大名改成ico，还是可以解析出图标），这样只要1打开“我的电脑”，未打补钉、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。　　

2、进步病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录取得所有权、加读写删除权限，击破这最坚固的堡垒。　　

面对如此恐怖的东西，对付的办法已未几了。但是它们实在是1切windows安全题目的基本解决方案，　　

1、1定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也历来没有过在重要级别安全更新中加进反盗版程序的记录。　　

2、尽可能以受限制的帐户使用系统和上网，这样可以减少病毒进进系统的概率。Vista之所以加进UAC功能，正是由于它能够使用户在尽可能方便的同时，享遭到受限用户的安全。　　

3、某种程度上，可以说QQ、IE和某些设备能换真钱、甚么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗号程序，盗取账号，取得人民币。这条玄色产业链中，IE实在是最轻易剪断的1环。珍重系统，系同1定要更新，要有能避免网页木马的杀毒软件，用IE不要乱上各种小型下载站、***等高危站点，假设有可能，使用非IE引擎的浏览器。

4、恶意***软件，现在越来越和病毒木马接近。部份恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而1些恶意软件本身就是1个病毒木马的下载器。因此，不要让流氓接近你的机器。　　

Autorun.inf的攻防战还在继续，只会变得越来越出色，网民的安全意识会在攻与防的对峙与同1中取得突破性的进展。

唐山网站建设www.fw8.net

TAG:用户,系统,病毒,木马,目录

评论加载中... 内容： 评论者： 验证码：