• 拨云见日──U盘防毒误区破解

    2007-04-16

    版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
    http://www.blogbus.com/liuyanghejerry-logs/5053814.html

    先来看U盘病毒的工作原理:
    系统在默认设置下,每次以双击方式打开磁盘时会自动加载autorun.inf这个位于磁盘根目录下的文件,然后自动运行autorun.inf里指定的命令.
    那么防御的要点就是防止加载autorun.inf这个文件.
    通常的IT杂志以及各种媒体都是这样建议大家的:
    1.关闭"自动播放";
    2.打开磁盘时(U盘),使用右键→"打开".更明智一点的作者会告诉你要选位于右键菜单中最下方的"打开".

    表面看起来似乎是万无一失了,但以上的方法不仅有很严格的客观条件限制,而且还有严重的错误!
    事实上,根据autorun.inf文件的内容不同,右键菜单也会受到控制,以下是某牛人做的autorun.inf研究报告:

    autorun.inf

    含“shellexecute”命令行:%windir%\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL FlashPlayer9.exe
    其他:FlashPlayer9.exe
    ★重启后,正常的“自动播放(&P)”消失
    ----------------------------
    当文件为:

    [AutoRun]
    open=FlashPlayer9.exe
    shellexecute=FlashPlayer9.exe

    第一菜单是:“自动播放(&P)”【加粗】,点击后出现自动播放窗口,“FlashPlayer9.exe”没有运行。其他菜单正常。
    重启后,第一菜单消失,其他功能、性质一样(即正常状态)。

    ----------------------------
    当文件为:

    [AutoRun]
    shellexecute=FlashPlayer9.exe

    第一菜单是:“自动播放(&P)”【加粗】,点击后“FlashPlayer9.exe”运行。第二菜单是:“自动播放(&P)”,点击后出现自动播放窗口。其他菜单正常。
    如果“FlashPlayer9.exe”不存在,出现找不到文件的警告对话框
    重启后,第二菜单消失,其他功能、性质一样。

    ----------------------------
    当文件为:

    [AutoRun]
    open=FlashPlayer9.exe
    shellexecute=FlashPlayer9.exe
    shell\Auto\command=FlashPlayer9.exe

    第一菜单是:“&Auto”【加粗】,点击后“FlashPlayer9.exe”运行。第二菜单是:“自动播放(&P)”,点击后出现自动播放窗口。其他菜单正常。
    如果“FlashPlayer9.exe”不存在,出现“打开方式”窗口,文件是“盘符:\”
    重启后,第二菜单消失(“自动播放(&P)”消失),其他功能、性质一样。

    ----------------------------
    当文件为:

    [AutoRun]
    open=FlashPlayer9.exe
    shellexecute=FlashPlayer9.exe
    shell\sys1=one
    shell\sys1\Command=FlashPlayer9.exe
    shell\sys2=two
    shell\sys2\Command=FlashPlayer9.exe

    第一菜单是:“自动播放(&P)”【加粗】,点击后出现自动播放窗口,“FlashPlayer9.exe”没有运行。第二菜单是:“one”,点击后“FlashPlayer9.exe”运行。第三菜单是:“two”,点击后“FlashPlayer9.exe”运行。其他菜单正常。
    如果“FlashPlayer9.exe”不存在,出现“打开方式”窗口,文件是“盘符:\”
    重启后,原菜单一(正常的“自动播放(&P)”消失)消失,菜单二加粗,其他功能、性质一样。

    ----------------------------
    当文件为:

    [AutoRun]
    shellexecute=FlashPlayer9.exe
    shell\sys1=one
    shell\sys1\Command=FlashPlayer9.exe
    shell\sys2=two
    shell\sys2\Command=FlashPlayer9.exe

    第一菜单是:“自动播放(&P)”【加粗】,点击后“FlashPlayer9.exe”运行。第二菜单是:“自动播放(&P)”,点击后出现自动播放窗口,“FlashPlayer9.exe”没有运行。第三菜单是:“one”,点击后“FlashPlayer9.exe”运行。第四菜单是:“two”,点击后“FlashPlayer9.exe”运行。其他菜单正常。
    如果“FlashPlayer9.exe”不存在,菜单一出现“打开方式”窗口,文件是“盘符:\”;三四出现“打开方式”窗口,文件是“盘符:\”
    重启后,原菜单二(正常的“自动播放(&P)”)消失,其他功能、性质一样。

    ----------------------------
    当文件为:

    [AutoRun]
    shell\open=打开--(&O)
    shell\open\Command=FlashPlayer9.exe
    shell\explore=资源管理器--(&X)
    shell\explore\Command=FlashPlayer9.exe
    shell\find=搜索--(&E)...
    shell\find\Command=FlashPlayer9.exe

    菜单无变化,功能无变化(即正常状态)。
    重启后,菜单依次是:“打开--(&O)”【加粗】、“资源管理器--(&X)”、“搜索--(&E)...”;原菜单消失(即原菜单被替换),“自动播放(&P)”消失。点击后“FlashPlayer9.exe”运行。
    如果“FlashPlayer9.exe”不存在,出现“打开方式”窗口,文件是“盘符:\”

    ----------------------------
    当文件为:

    [AutoRun]
    shell\open\Command=FlashPlayer9.exe
    shell\explore\Command=FlashPlayer9.exe
    shell\find\Command=FlashPlayer9.exe

    菜单无变化,功能无变化(即正常状态)。
    重启后,“自动播放(&P)”消失,其他菜单无变化,但点击“打开(&O)”【加粗】、“资源管理器(&X)”、“搜索(&E)...”后,“FlashPlayer9.exe”运行。
    如果“FlashPlayer9.exe”不存在,出现“打开方式”窗口,文件是“盘符:\”

    ----------------------------
    当文件为:

    [AutoRun]
    open=FlashPlayer9.exe
    shell\open\Command=FlashPlayer9.exe
    shell\explore\Command=FlashPlayer9.exe
    shell\find\Command=FlashPlayer9.exe

    菜单无变化,但点击“打开(&O)”【加粗】、“资源管理器(&X)”、“搜索(&E)...”后,“FlashPlayer9.exe”运行。
    重启后,无变化。
    如果“FlashPlayer9.exe”不存在,出现“打开方式”窗口,文件是“盘符:\”


    从上不难看出,右键菜单中的众多选项同样不能信任,尤其是autorun.inf的最后一种写法!《autorun.inf分析报告》发表时,还没有U盘病毒使用auturun的高级语法,但相信到了现在大家就应该小心了.
    下面来说一下预防的方法:
    想打开磁盘的时候既不要右键打开也不能双击磁盘,而是在我的电脑中按工具栏中的"文件夹"按钮,进入带有树状图的浏览模式点击左面的"+"来展开磁盘目录(切记,是在进入磁盘前操作)
    如果你的电脑还处于默认设置下,那么也可以在插入U盘时弹出的浏览方式选择中选"使用文件夹查看"来进入U盘.
    其它的方法易用性安全性都不高(比如改动注册表、在组策略中双重设定、牛人做的批处理等),这里就不再多说了.
    分享到:

    评论

  • 喂,我烧录卡多了个小GHOST的快捷方式,AUTORUN连接到这文件里。怎样杀?
    回复Holt说:
    首先先确定是不是病毒吧……
    ——你家有GHOST么?没设置相关的东西就直接干掉吧……(最好备份),AOTU和文件夹一起删除。
    2007-06-06 10:45:53