Board logo

标题: 洞悉所谓AUTO病毒的秘密,黑客必知啊 [打印本页]

作者: valen886    时间: 2009-1-30 14:48     标题: 洞悉所谓AUTO病毒的秘密,黑客必知啊

洞悉所谓AUTO病毒的秘密,黑客必知啊
洞悉所谓AUTO病毒的秘密,黑客必知啊!
这是一个有点陈旧了的故事,该故事的主角是一个神秘的autorun.inf文件,还在不断上演新的演义。哪些朋友应该听听这个故事呢?
        1、被告知中了U盘病毒或auto病毒的
        2、双击盘符或者右键菜单中选择打开,出现异常现象的
        3、中了病毒后,发现重装或者GHOST还原或者一键还原不管用的
        4、使用U盘,又担心U盘带来病毒的
一、理论知识
        很多电脑中了毒的朋友经常会被告知,中了U盘病毒或auto病毒。首先要说明的是,这种说法只是对一类病毒的一个笼统模糊的称谓,它们有一个共同的特征,就是会在磁盘的根目录下生成一个叫做autorun.inf的文件。除此之外,它们其它的表现可以千差万别。

        autorun.inf本身只是一个文本文件,它可以用记事本打开。它本身根正苗红,是被设计用来自动进行媒体播放和安装驱动程序用的。然而,这种自动播放功能,也就是自动运行某个程序的功能被病毒用来进行传播。

下面是一个autorun.inf文件的例子(这是一位中毒的朋友的c:\autorun.inf文件内容):
1        [AutoRun]
2        open=auto.exe
3        shellexecute=auto.exe
4        shell\Auto\command=auto.exe
5        shell\open=打开(&O)
6        shell\open\command=auto.exe
注:原文件并没有1、2、3...之类的数字,是我为了讲解方便加上去的行号。
第1行,代表以下的内容是autorun.inf文件的[AutoRun]区段,原本的autorun.inf文件还有其它区段定义,比如[DeviceInstall];
第2行,代表双击盘符时运行auto.exe文件,而不是缺省的在资源管理器中打开磁盘文件夹内容;
第3行,与第2行内容大致一致,不过上面的是通过命令行调用auto.exe,这里是通过windows的shell也就是exeplore.exe调用执行autorun.exe;
第4行,代表在资源管理器中点盘符右键时,会增加一个叫auto的选项,点该项时运行auto.exe文件;
第5行,代表在资源管理器中点盘符右键时,会增加一个叫“打开(O)”的菜单项;
第6行,代表右键菜单中点那个增加的“打开(O)”菜单项时运行auto.exe文件。
auto.exe是个什么东西?它也是放在c盘根目录下的一个文件,运行后在机器上注册病毒的服务项和注册表项,释放并注册病毒的驱动项,卡巴斯基报的病毒名为:Backdoor.Win32.Agent.ahj

        这下清楚了吧,正是由于这个autorun.inf文件的存在,真正的病毒文件才会通过我们的双击打开盘符,或者右键菜单选择“打开(O)”操作,获得运行机会,然后感染我们的机器。

菜菜提示:任何病毒必须要获得运行机会才能感染和危害我们的计算机。

使用U盘感染病毒过程分析:
        如果U盘感染了这类病毒,它的根目录下就会被放一个autorun.inf和一个病毒的可执行文件。当U盘插到其它机器上时,U盘autorun.inf文件指向的病毒可执行文件自动运行,这台机器就被传播上病毒了。

使用GHOST还原或一键还原后病毒又回来原因分析:
        还原时一般只格式化了系统盘,刚刚还原时系统盘、系统注册表是干净的,但是其它盘上的autorun.inf文件和它指向的病毒文件还存在,只要双击一下,立即又传染上系统了。

高级知识:所谓病毒传染上系统是什么意思?
        只存在于磁盘上而没有机会运行的病毒只是死的病毒,所以病毒都想方设法获得再次运行的机会。象前面所说的这种以autorun.inf和病毒可执行文件的方式待在磁盘根目录等着双击,是一种方式;很多病毒感染正常软件的可执行文件,当软件运行时,自己获得执行机会也是一种方式。但是,现代病毒已经不满足于这种“守株待兔”式的传统方式了,它们把自己的一部份注册为系统服务和系统驱动程序,每次开机时都自动运行。这也是它们逃避被杀毒软件绞杀的一种方式——尽可能地在杀毒软件运行之前进入内存,对自己进行保护,并且实现其它常驻内存程序才能实现的功能。
        因此,现代病毒感染上系统不仅仅只是把自身文件拷贝到磁盘上或附加到某软件上,它们修改系统注册表,将自身注册为系统的服务和驱动程序以对自身进行保护,同时也为了实现其功能性的目的,比如打开某个端口等待远程黑客的连接以控制受害电脑。这还没完,有些病毒还继续到网上下载其它的木马或病毒到本地,以进一步完成它的功能性目的。
        所以我们说,系统注册表被修改是系统被病毒感染的重要标志。清除病毒重要的一招——系统还原,最重要的目的之一就是为了重新获得一个干净的系统注册表!使得重新启动的那一刻没有病毒被加载到内存中运行。


二、常见问题
1、为什么我看不到那个autorun.inf文件?
        因为autorun.inf只是一个简单的文本文件,病毒为了隐藏自己,修改了该文件及它所指向的可执行文件的属性,一般设为“系统+隐藏”属性,因为资源管理器缺省不显示系统隐藏文件,所以看不见它。
        一般情况下进行如下操作就能看见:打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
        但是,有的病毒修改了注册表的有关项(在:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden),该注册表项下的一些项目指示资源管理器是否允许显示隐藏文件,所以即使进行了上述操作也不管用。
        在DOS窗口下,通过下属命令一般能看出autorun.inf文件的存在:dir /a:SH c:\autorun.inf。
        杀毒软件和一些安全工具软件(比如IceSword、SREng等)都能知晓该文件的存在。

2、为什么autorun.inf文件删掉了还有?
        根据前面的分析我们知道,autorun.inf其实只是病毒的一个表象,其目的是作为保证自己再生的一种手段。仅仅将这个文件删掉,并不代表将病毒从系统中清理干净了。病毒的其它部分会随时检查该文件是否存在,如果不存在了就重新生成一个。以至于给我们的感觉就是删了还有。

3、有auto病毒的专杀吗?
        前面已经说过了,所谓auto病毒只不过是一种不准确的模糊说法,任何一种病毒,只要稍加修改,就能够自动生成根目录下的autorun.inf文件和自身的感染代码文件。而专杀只是针对某一种已经发现的病毒的,因此广义上说,不存在所谓的auto病毒专杀。
        网上常见到的一些所谓U盘专杀工具往往只能治标(删掉U盘那个autorun.inf文件和它指向的病毒感染代码文件),不能治本(清理已经被感染的电脑系统)。
        但是当某种病毒大规模爆发时,杀毒公司和民间的一些反病毒组织会推出一些针对性的专杀方案,这时候去找,碰巧找到的专杀正好与感染自身电脑的病毒对路,所以有时候也能解决一下燃眉之急。
        不推荐染毒了就去找专杀,对普通的电脑用户,杀毒软件还是对付病毒最快捷最有效的办法。

4、不用U盘会不会感染上auto病毒?
        U盘只是auto类病毒传播的一种重要途径。很多通过其它途径传播的病毒(比如网页恶意代码、邮件、及时通讯工具)感染系统后,也会生成autorun.inf文件和自身传播代码文件。比如最近大规模流行的所谓“修改系统时间病毒”、“AV终结者病毒”,它们的很多变种都有auto特征。

5、为什么我的auto病毒杀不掉?
        auto病毒感染系统后,要将整个系统作为一个整体来清除病毒,头痛医头,脚痛医脚似的片面解决办法难以从根本上解决问题。
        同时,很多病毒的自我保护功能特别强大,比如最近的“AV终结者病毒”,它除了具有auto特征外,还破坏安全模式,阻止杀毒软件和大多数常用安全工具进程,阻止打开含有病毒字样的网页,因此很多普通用户感觉非常难以对付。


三、中招后的解决办法
        auto类病毒与其它病毒的清除没有什么两样。推荐的基本方法就是:升级你的杀毒软件到最新版(病毒库更新到最新),重新启动,按F8到安全模式下,然后进行全盘扫描。对于有开机扫描功能的杀毒软件,可配置开机进行扫描。
        但是,这类病毒与其他病毒清除最重要的区别在于,在杀干净前,千万不要双击或者右键打开任何盘。要运行杀毒软件通过开始菜单进行。特别是对于还原后的系统,这点尤其重要,负责又重新染上了。
        如果U盘有病毒,一定要先将系统杀干净了再杀U盘,杀U盘前参照本文第四部分防护的办法将U盘的自动运行功能禁止了。

        作为中招后一个局部临时性的解决办法,可以到DOS方式将autorun.inf和它指向的病毒感染文件删了,方法——
        1、重新启动,按F8,选启动到带命令行的安全模式;
        2、输入如下命令:
        attrib -s -h -r c:\autorun.inf
        type c:\autorun.inf
        输入第二个命令后,从显示的内容找到autorun.inf指向的那个病毒文件,比如是xxxx.exe,接着输入:
        del c:\autorun.inf
        attrib -s -h -r c:\xxxx.exe
        del c:\xxxx.exe
        对每个盘执行一下上述步骤,只不过上面的c:要换成其它的盘符。

        进行了上述步骤后,在重启到图形界面安全下杀毒,操作起来就大方多了。

        关于用重装的办法清理难杀的顽固病毒,可以参见下面这篇资料中的相关内容:
    http://hi.baidu.com/sanluxia/blo ... b42c790208811b.html

四、防护
        首先声明,对电脑病毒的基本防护还是要靠正确地使用杀毒软件、防火墙等一些安全工具,下面所说的一些步骤只能起到辅助性的防护作用。

1、禁止U盘或光盘的自动运行
方法1:到www.360safe.com下载360安全卫士(这是一款不错的安全工具,对清理流氓和广告软件非常有用,同时具有其它一些不错的安全功能)。在“常用/修复系统漏洞”中,有一项“开启U盘免疫”的功能,点击它就可以了。

方法2:开始/运行/gpedit.msc---计算机配置/管理模版/系统---双击“关闭自动播放”,点"已启动"。

方法3:将下列代码拷下来,存为一个.reg文件:
----开始,不要拷这行----
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
----结束,不要拷这行----
然后双击此文件将其导入注册表 。

注:上述方法只能阻止autorun.inf指向的内容被自动运行,不能阻止双击盘符时的运行,所以还是要小心。

2、关注autorun文件的存在
        将资源管理器的查看隐藏文件功能打开(工具/文件夹选项/查看),随时注意磁盘根目录下的autorun.inf文件,有删除,再干净杀毒。如果发现有一天查看隐藏文件被关闭了,很可能就是染上毒了,这样有助于你尽快发现问题。
        如果发现资源管理器不能查看隐藏文件了,用下面的办法修复:
        去下载一个system Repaire Engineer 2.4.12.806(SREng,也是一款相当出色的系统诊断与修复工具): http://www.kztechs.com/sreng/download.html
        使用方法:http://www.kztechs.com/sreng/help2/
        安装后运行,点“系统修复/Windows Shell/IE”,在列表中勾“显示隐藏文件”,点“修复”。






欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2