对Autorun.inf类U盘病毒感染的攻防工作经验小结,四

RavMonE.exe 、 rose.exe 、 sxs.exe 、 copy.exe 、 setup.exe ...网站根目录下的神密鬼魂,系统软件安全性的杀手,他们被称之为 U盘病毒感染 。成千上万Windows客户,都会为他们而焦头烂额。这一一篇文章是一篇对自身对U盘病毒感染的科学研究和与U盘病毒感染抗争的工作经验经验教训的小结。
Windows 95之后的系统软件都是有一个 全自动运作 的作用。根据在卷插进时载入硬盘卷上的Autorun.inf文档来得到Explorer中卷的自定标志和对卷标志的左右文莱单开展改动,并对一些新闻媒体全自动运作Autorun.inf中界定的exe文件。0五年之后,伴随着各种各样可移动储存机器设备的普及化,中国一些网络黑客制作了窃取U盘內容并将本身拷贝到U盘运用Autorun.inf散播的病毒感染。知名的伪ravmon、copy+host、sxs、Viking、小熊猫烧香等知名病毒感染都是有这类散播方法。他们有时候是网站根目录下的神密鬼魂,有时候是出現不在应当出現的地区的收购站,总而言之,他们是系统软件安全性的比较严重威协。
Autorun.inf被病毒感染运用一般有4种方法:

1.
OPEN=filename.exe

全自动运作。可是针对许多XPSP2客户和Vista客户,Autorun早已变为了AutoPlay,不容易全自动运作它,会弹出来对话框说想要你做什么。

2.
mand=filename.exe
shell=Auto

改动左右文莱单。把默认设置项改成病毒感染的起动项。但这时要是客户在标志上点一下鼠标右键,立刻发觉漏洞。聪明点的病毒感染会改默认设置项的姓名,但假如你一直在非汉语的系统软件下达现鼠标右键莱单里空出了错码或是汉语,你能觉得是啥呢?

3.
shellexecute=filename.exe
ShellExecute=....要是启用ShellExecuteA/W涵数尝试开启U盘网站根目录,病毒感染便会全自动运作。这类是应对这些用Win+R输本地磁盘新房开盘的人。

4.
shellopen=开启( O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理方法器( X)

这类蒙蔽性很大,是新出現的一种方式。鼠标右键莱单一眼也看不出来难题,可是在非汉语的系统软件下,原型毕露。忽然出現的错码、汉语自然逃不过法眼。

应对这类风险,特别是在是第四种,只是借助Explorer自身,早已难以分辨可移动硬盘是不是早已中毒了。而在这里种状况下,一一部分人也依据自身的工作经验,作出了 免疫力 专用工具。

免疫力的方法,对可移动硬盘和电脑硬盘:

1、同名的文件目录

文件目录在Windows下是一种独特的文档,而2个同一文件目录下的文档不可以同名的。因此,在建一个文件目录 autorun.inf 在可移动硬盘的网站根目录,能够避免初期未考虑到这类状况存有的病毒感染建立autorun.inf,降低散播取得成功的几率。

2、autorun.inf下的不法文档类别录

一些病毒感染添加了容错机制解决编码,在转化成autorun.inf以前先尝试删掉autorun.inf文件目录。

在Windows NT Win32分系统下,例如 filename. 那样的文件目录名是容许存有的,可是以便维持和DOS/Win9x的8.3文档系统软件的适配性(.后为空不法),立即启用规范Win32 API中的文件目录查寻涵数是没法查寻这种文件目录中的內容的,会回到不正确。可是,删掉文件目录务必要逐步删掉其下的全部树型构造,因而务必查寻其下每一个根目录的內容。因而,在 autorun.inf 文件目录建一个该类独特文件目录,方式如 MD x:autorun.infyksoft.. ,能够避免autorun.inf文件目录随便删掉除。相近的也有运用Native API建立应用DOS保存名的文件目录(如con、lpt1、prn等)也可以做到类似的目地。

3、NTFS管理权限操纵

病毒感染生产制造者也是网络黑客,了解Windows的这好多个可算作Bug的作用。她们能够做一个程序,扫描仪文件目录时发觉某文件目录名最终一个字节数为'.'则根据浏览 dirfullname.. 、或是根据运用Windows NT的Native API中的文档系统软件涵数立即参与,删掉该独特文件目录。

因而,根据更低层的文档系统软件管理权限操纵的方法出現了。将U盘、移动电脑硬盘文件格式化作NTFS文档系统软件,建立Autorun.inf文件目录,设定该文件目录对一切客户也没有一切管理权限,病毒感染不但没法删掉,乃至没法列举该文件目录內容。可是,该方法不适感合于歌曲播发器这类一般不兼容NTFS的机器设备。

这三步可以说是一步比一步精彩纷呈。可是,较大的难题没有如何避免转化成这一autorun.inf上,只是系统软件自身、Explorer的敏感性。

病毒感染创作者迅速便会作出更强劲的计划方案。它是我的料想。

1、融合ANI系统漏洞,在autorun.inf里将icon设成一个ANI系统漏洞的Exploit文档(历经我的试验,发觉Windows有一种特点,即使把ani拓展名改成ico,還是能够分析工程图标),那样要是一开启 我的电脑上 ,未打补丁下载、无杀软的系统软件便会立即遭殃。那样的物品还能够放进在网上的各种各样資源ISO中。

2、提升病毒感染的总体程序编写水准,综合性之上各种各样反免疫力方法,此外运用大部分中国windows客户常以高管理权限登陆系统软件的特性,全自动将沒有管理权限的Autorun.inf文件目录得到全部权、加读写能力删掉管理权限,击破这最牢固的碉堡。

应对这般可怕的物品,应对的方法早已很少了。可是他们实际上是一切windows安全性难题的基本处理计划方案,

1、一定要将系统软件和安全性手机软件维持在全新情况。即便是盗用客户,微软公司都不会不给关键级別的安全性升级,也几乎沒有过在关键级別安全性升级里加入反盗用程序的纪录。

2、尽可能以受到限制制的账号应用系统软件和网上,那样能够降低病毒感染进到系统软件的几率。Vista往往添加UAC作用,更是由于它可以应用户在尽可能便捷的同时,享有到受到限制客户的安全性。

3、某类水平上,能够说QQ、IE和一些武器装备能换真钱、全都要真钱的网络游戏是造成很多病毒感染木马病毒撰写者出現的 万恶之源 。根据IE系统漏洞,设计网页木马病毒,安裝盗号软件程序,窃取账户,得到老百姓币。这条灰黑色产业链链中,IE实际上是最非常容易剪断的一环。爱惜系统软件,系统软件一定要升级,要有能避免网页页面木马病毒的电脑杀毒软件,用IE不必乱上各种各样中小型免费下载站、情色网站等高风险站点,假如有将会,应用非IE模块的访问器。

4、故意捆缚手机软件,如今越来越越和病毒感染木马病毒贴近。一部分故意手机软件的FSD HOOK自身防御力程序将会被病毒感染运用来维护自身(如SONY XCP恶性事件),而一些故意手机软件自身便是一个病毒感染木马病毒的免费下载器。因而,不必让无赖贴近你的设备。

Autorun.inf的攻防战仍在再次,总是越来越越来越越精彩纷呈,网友的安全性观念会在攻与防的对立面与统一中得到提升性的进度