Windows 95以后的系統(tǒng)都有一個(gè)“自動(dòng)運(yùn)行”的功能。通過(guò)在卷插入時(shí)讀取磁盤(pán)卷上的Autorun.inf文件來(lái)獲得Explorer中卷的自定義圖標(biāo)和對(duì)卷圖標(biāo)的上下文菜單進(jìn)行修改,并對(duì)某些媒體自動(dòng)運(yùn)行Autorun.inf中定義的可執(zhí)行文件。05年以后,隨著各種可移動(dòng)存儲(chǔ)設(shè)備的普及,國(guó)內(nèi)有些黑客制作了盜取U盤(pán)內(nèi)容并將自身復(fù)制到U盤(pán)利用Autorun.inf傳播的病毒。著名的偽ravmon、copy+host、sxs、Viking、熊貓燒香等著名病毒都有這種傳播方式。它們有時(shí)是根目錄下的神秘幽靈,有時(shí)是出現(xiàn)在不應(yīng)該出現(xiàn)的地方的回收站,總之,它們是系統(tǒng)安全的嚴(yán)重威脅。
Autorun.inf被病毒利用一般有4種方式
1.OPEN=filename.exe
自動(dòng)運(yùn)行。但是對(duì)于很多XPSP2用戶(hù)和Vista用戶(hù),Autorun已經(jīng)變成了AutoPlay,不會(huì)自動(dòng)運(yùn)行它,會(huì)彈出窗口說(shuō)要你干什么。
2. shellAutocommand=filename.exe
shell=Auto
修改上下文菜單。把默認(rèn)項(xiàng)改為病毒的啟動(dòng)項(xiàng)。但此時(shí)只要用戶(hù)在圖標(biāo)上點(diǎn)擊右鍵,馬上發(fā)現(xiàn)破綻。精明點(diǎn)的病毒會(huì)改默認(rèn)項(xiàng)的名字,但如果你在非中文的系統(tǒng)下發(fā)現(xiàn)右鍵菜單里多出了亂碼或者中文,你會(huì)認(rèn)為是什么呢?
3.shellexecute=filename.exe
ShellExecute=....只要調(diào)用ShellExecuteA/W函數(shù)試圖打開(kāi)U盤(pán)根目錄,病毒就會(huì)自動(dòng)運(yùn)行。這種是對(duì)付那些用Win+R輸盤(pán)符開(kāi)盤(pán)的人。
4.shellopen=打開(kāi)(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)
這種迷惑性較大,是新出現(xiàn)的一種形式。右鍵菜單一眼也看不出問(wèn)題,但是在非中文的系統(tǒng)下,原形畢露。突然出現(xiàn)的亂碼、中文當(dāng)然難逃法眼。
面對(duì)這種危險(xiǎn),尤其是第四種,僅僅依靠Explorer本身,已經(jīng)很難判斷可移動(dòng)磁盤(pán)是否已經(jīng)中毒。而在這種情況下,一部分人也根據(jù)自己的經(jīng)驗(yàn),做出了“免疫”工具。
免疫的辦法,對(duì)可移動(dòng)磁盤(pán)和硬盤(pán)
1、同名目錄
目錄在Windows下是一種特殊的文件,而兩個(gè)同一目錄下的文件不能同名。于是,新建一個(gè)目錄“autorun.inf"在可移動(dòng)磁盤(pán)的根目錄,可以防止早期未考慮這種情況存在的病毒創(chuàng)建autorun.inf,減少傳播成功的概率。
2、autorun.inf下的非法文件名目錄
有些病毒加入了容錯(cuò)處理代碼,在生成autorun.inf之前先試圖刪除autorun.inf目錄。
在Windows NT Win32子系統(tǒng)下,諸如"filename."這樣的目錄名是允許存在的,但是為了保持和DOS/Win9x的8.3文件系統(tǒng)的兼容性(.后為空非法),直接調(diào)用標(biāo)準(zhǔn)Win32 API中的目錄查詢(xún)函數(shù)是無(wú)法查詢(xún)這類(lèi)目錄中的內(nèi)容的,會(huì)返回錯(cuò)誤。但是,刪除目錄必須要逐級(jí)刪除其下的整個(gè)樹(shù)形結(jié)構(gòu),因此必須查詢(xún)其下每個(gè)子目錄的內(nèi)容。因此,在“autorun.inf"目錄建一個(gè)此類(lèi)特殊目錄,方法如"MD x:autorun.infyksoft..",可以防止autorun.inf目錄輕易被刪除。類(lèi)似的還有利用Native API創(chuàng)建使用DOS保留名的目錄(如con、lpt1、prn等)也能達(dá)到相似的目的。
3、NTFS權(quán)限控制
病毒制造者也是黑客,知道Windows的這幾個(gè)可算是Bug的功能。他們可以做一個(gè)程序,掃描目錄時(shí)發(fā)現(xiàn)某目錄名最后一個(gè)字節(jié)為'.'則通過(guò)訪問(wèn)"dirfullname.."、或者通過(guò)利用Windows NT的Native API中的文件系統(tǒng)函數(shù)直接插手,刪除該特殊目錄。
因此,基于更低層的文件系統(tǒng)權(quán)限控制的辦法出現(xiàn)了。將U盤(pán)、移動(dòng)硬盤(pán)格式化為NTFS文件系統(tǒng),創(chuàng)建Autorun.inf目錄,設(shè)置該目錄對(duì)任何用戶(hù)都沒(méi)有任何權(quán)限,病毒不僅無(wú)法刪除,甚至無(wú)法列出該目錄內(nèi)容。
但是,該辦法不適合于音樂(lè)播放器之類(lèi)通常不支持NTFS的設(shè)備。
這三步可謂是一步比一步精彩。但是,最大的問(wèn)題不在怎么防止生成這個(gè)autorun.inf上,而是系統(tǒng)本身、Explorer的脆弱性。病毒作者很快就會(huì)做出更強(qiáng)大的方案。這是我的預(yù)想。
1、結(jié)合ANI漏洞,在autorun.inf里將icon設(shè)成一個(gè)ANI漏洞的Exploit文件(經(jīng)過(guò)我的實(shí)驗(yàn),發(fā)現(xiàn)Windows有一種特性,就算把a(bǔ)ni擴(kuò)展名改為ico,還是可以解析出圖標(biāo)),這樣只要一打開(kāi)“我的電腦”,未打補(bǔ)丁、無(wú)殺軟的系統(tǒng)就會(huì)直接遭殃。這樣的東西還可以放到網(wǎng)上的各種資源ISO中。
2、提高病毒的整體編程水平,綜合以上各種反免疫方式,另外利用多數(shù)國(guó)內(nèi)windows用戶(hù)常以高權(quán)限登錄系統(tǒng)的特點(diǎn),自動(dòng)將沒(méi)有權(quán)限的Autorun.inf目錄獲得所有權(quán)、加讀寫(xiě)刪除權(quán)限,擊破這最堅(jiān)固的堡壘。
面對(duì)如此恐怖的東西,對(duì)付的辦法已經(jīng)不多了。但是它們其實(shí)是一切Windows安全問(wèn)題的基本解決方案,
1、一定要將系統(tǒng)和安全軟件保持在最新?tīng)顟B(tài)。即使是盜版用戶(hù),微軟也不會(huì)不給重要級(jí)別的安全更新,也從來(lái)沒(méi)有過(guò)在重要級(jí)別安全更新中加入反盜版程序的記錄。
2、盡量以受限制的帳戶(hù)使用系統(tǒng)和上網(wǎng),這樣可以減少病毒進(jìn)入系統(tǒng)的概率。Vista之所以加入U(xiǎn)AC功能,正是因?yàn)樗軌蚴褂脩?hù)在盡量方便的同時(shí),享受到受限用戶(hù)的安全。
3、某種程度上,可以說(shuō)QQ、IE和某些裝備能換真錢(qián)、什么都要真錢(qián)的網(wǎng)游是導(dǎo)致大量病毒木馬編寫(xiě)者出現(xiàn)的“萬(wàn)惡之源”。通過(guò)IE漏洞,制作網(wǎng)頁(yè)木馬,安裝盜號(hào)程序,盜取賬號(hào),獲得人民幣。這條黑色產(chǎn)業(yè)鏈中,IE其實(shí)是最容易剪斷的一環(huán)。珍愛(ài)系統(tǒng),系統(tǒng)一定要更新,要有能防止網(wǎng)頁(yè)木馬的殺毒軟件,用IE不要亂上各種小型下載站、色情網(wǎng)站等高危站點(diǎn),如果有可能,使用非IE引擎的瀏覽器。
4、惡意捆綁軟件,現(xiàn)在越來(lái)越和病毒木馬接近。部分惡意軟件的FSD HOOK自我防御程序可能被病毒利用來(lái)保護(hù)自己(如SONY XCP事件),而一些惡意軟件本身就是一個(gè)病毒木馬的下載器。因此,不要讓流氓接近你的機(jī)器。
Autorun.inf的攻防戰(zhàn)還在繼續(xù),只會(huì)變得越來(lái)越精彩,網(wǎng)民的安全意識(shí)會(huì)在攻與防的對(duì)立與統(tǒng)一中獲得突破性的進(jìn)展。
Autorun.inf被病毒利用一般有4種方式
1.OPEN=filename.exe
自動(dòng)運(yùn)行。但是對(duì)于很多XPSP2用戶(hù)和Vista用戶(hù),Autorun已經(jīng)變成了AutoPlay,不會(huì)自動(dòng)運(yùn)行它,會(huì)彈出窗口說(shuō)要你干什么。
2. shellAutocommand=filename.exe
shell=Auto
修改上下文菜單。把默認(rèn)項(xiàng)改為病毒的啟動(dòng)項(xiàng)。但此時(shí)只要用戶(hù)在圖標(biāo)上點(diǎn)擊右鍵,馬上發(fā)現(xiàn)破綻。精明點(diǎn)的病毒會(huì)改默認(rèn)項(xiàng)的名字,但如果你在非中文的系統(tǒng)下發(fā)現(xiàn)右鍵菜單里多出了亂碼或者中文,你會(huì)認(rèn)為是什么呢?
3.shellexecute=filename.exe
ShellExecute=....只要調(diào)用ShellExecuteA/W函數(shù)試圖打開(kāi)U盤(pán)根目錄,病毒就會(huì)自動(dòng)運(yùn)行。這種是對(duì)付那些用Win+R輸盤(pán)符開(kāi)盤(pán)的人。
4.shellopen=打開(kāi)(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)
這種迷惑性較大,是新出現(xiàn)的一種形式。右鍵菜單一眼也看不出問(wèn)題,但是在非中文的系統(tǒng)下,原形畢露。突然出現(xiàn)的亂碼、中文當(dāng)然難逃法眼。
面對(duì)這種危險(xiǎn),尤其是第四種,僅僅依靠Explorer本身,已經(jīng)很難判斷可移動(dòng)磁盤(pán)是否已經(jīng)中毒。而在這種情況下,一部分人也根據(jù)自己的經(jīng)驗(yàn),做出了“免疫”工具。
免疫的辦法,對(duì)可移動(dòng)磁盤(pán)和硬盤(pán)
1、同名目錄
目錄在Windows下是一種特殊的文件,而兩個(gè)同一目錄下的文件不能同名。于是,新建一個(gè)目錄“autorun.inf"在可移動(dòng)磁盤(pán)的根目錄,可以防止早期未考慮這種情況存在的病毒創(chuàng)建autorun.inf,減少傳播成功的概率。
2、autorun.inf下的非法文件名目錄
有些病毒加入了容錯(cuò)處理代碼,在生成autorun.inf之前先試圖刪除autorun.inf目錄。
在Windows NT Win32子系統(tǒng)下,諸如"filename."這樣的目錄名是允許存在的,但是為了保持和DOS/Win9x的8.3文件系統(tǒng)的兼容性(.后為空非法),直接調(diào)用標(biāo)準(zhǔn)Win32 API中的目錄查詢(xún)函數(shù)是無(wú)法查詢(xún)這類(lèi)目錄中的內(nèi)容的,會(huì)返回錯(cuò)誤。但是,刪除目錄必須要逐級(jí)刪除其下的整個(gè)樹(shù)形結(jié)構(gòu),因此必須查詢(xún)其下每個(gè)子目錄的內(nèi)容。因此,在“autorun.inf"目錄建一個(gè)此類(lèi)特殊目錄,方法如"MD x:autorun.infyksoft..",可以防止autorun.inf目錄輕易被刪除。類(lèi)似的還有利用Native API創(chuàng)建使用DOS保留名的目錄(如con、lpt1、prn等)也能達(dá)到相似的目的。
3、NTFS權(quán)限控制
病毒制造者也是黑客,知道Windows的這幾個(gè)可算是Bug的功能。他們可以做一個(gè)程序,掃描目錄時(shí)發(fā)現(xiàn)某目錄名最后一個(gè)字節(jié)為'.'則通過(guò)訪問(wèn)"dirfullname.."、或者通過(guò)利用Windows NT的Native API中的文件系統(tǒng)函數(shù)直接插手,刪除該特殊目錄。
因此,基于更低層的文件系統(tǒng)權(quán)限控制的辦法出現(xiàn)了。將U盤(pán)、移動(dòng)硬盤(pán)格式化為NTFS文件系統(tǒng),創(chuàng)建Autorun.inf目錄,設(shè)置該目錄對(duì)任何用戶(hù)都沒(méi)有任何權(quán)限,病毒不僅無(wú)法刪除,甚至無(wú)法列出該目錄內(nèi)容。
但是,該辦法不適合于音樂(lè)播放器之類(lèi)通常不支持NTFS的設(shè)備。
這三步可謂是一步比一步精彩。但是,最大的問(wèn)題不在怎么防止生成這個(gè)autorun.inf上,而是系統(tǒng)本身、Explorer的脆弱性。病毒作者很快就會(huì)做出更強(qiáng)大的方案。這是我的預(yù)想。
1、結(jié)合ANI漏洞,在autorun.inf里將icon設(shè)成一個(gè)ANI漏洞的Exploit文件(經(jīng)過(guò)我的實(shí)驗(yàn),發(fā)現(xiàn)Windows有一種特性,就算把a(bǔ)ni擴(kuò)展名改為ico,還是可以解析出圖標(biāo)),這樣只要一打開(kāi)“我的電腦”,未打補(bǔ)丁、無(wú)殺軟的系統(tǒng)就會(huì)直接遭殃。這樣的東西還可以放到網(wǎng)上的各種資源ISO中。
2、提高病毒的整體編程水平,綜合以上各種反免疫方式,另外利用多數(shù)國(guó)內(nèi)windows用戶(hù)常以高權(quán)限登錄系統(tǒng)的特點(diǎn),自動(dòng)將沒(méi)有權(quán)限的Autorun.inf目錄獲得所有權(quán)、加讀寫(xiě)刪除權(quán)限,擊破這最堅(jiān)固的堡壘。
面對(duì)如此恐怖的東西,對(duì)付的辦法已經(jīng)不多了。但是它們其實(shí)是一切Windows安全問(wèn)題的基本解決方案,
1、一定要將系統(tǒng)和安全軟件保持在最新?tīng)顟B(tài)。即使是盜版用戶(hù),微軟也不會(huì)不給重要級(jí)別的安全更新,也從來(lái)沒(méi)有過(guò)在重要級(jí)別安全更新中加入反盜版程序的記錄。
2、盡量以受限制的帳戶(hù)使用系統(tǒng)和上網(wǎng),這樣可以減少病毒進(jìn)入系統(tǒng)的概率。Vista之所以加入U(xiǎn)AC功能,正是因?yàn)樗軌蚴褂脩?hù)在盡量方便的同時(shí),享受到受限用戶(hù)的安全。
3、某種程度上,可以說(shuō)QQ、IE和某些裝備能換真錢(qián)、什么都要真錢(qián)的網(wǎng)游是導(dǎo)致大量病毒木馬編寫(xiě)者出現(xiàn)的“萬(wàn)惡之源”。通過(guò)IE漏洞,制作網(wǎng)頁(yè)木馬,安裝盜號(hào)程序,盜取賬號(hào),獲得人民幣。這條黑色產(chǎn)業(yè)鏈中,IE其實(shí)是最容易剪斷的一環(huán)。珍愛(ài)系統(tǒng),系統(tǒng)一定要更新,要有能防止網(wǎng)頁(yè)木馬的殺毒軟件,用IE不要亂上各種小型下載站、色情網(wǎng)站等高危站點(diǎn),如果有可能,使用非IE引擎的瀏覽器。
4、惡意捆綁軟件,現(xiàn)在越來(lái)越和病毒木馬接近。部分惡意軟件的FSD HOOK自我防御程序可能被病毒利用來(lái)保護(hù)自己(如SONY XCP事件),而一些惡意軟件本身就是一個(gè)病毒木馬的下載器。因此,不要讓流氓接近你的機(jī)器。
Autorun.inf的攻防戰(zhàn)還在繼續(xù),只會(huì)變得越來(lái)越精彩,網(wǎng)民的安全意識(shí)會(huì)在攻與防的對(duì)立與統(tǒng)一中獲得突破性的進(jìn)展。
上一篇:電腦中病毒的癥狀描述及解決辦法
