1   1  /  1  页   跳转

[原创] 闲聊Auto病毒“创新设计”

闲聊Auto病毒“创新设计”

--说明:本文只适合对计算机病毒不大了解的人读来娱乐,高手就勿读了。
      今天妹说MP3有问题不开。拿过来瞧瞧,习惯性地,在桌面上新建一个WinRAR 压缩文件双击打开(右键-新建-WinRAR)。
在地址栏里定位到“可移动磁盘”看看根目录下有没有“应用程序”(U盘病毒)。
      一般,通过U盘这种途径传播的病毒已经不再事什么新鲜事情了,也许大家都有类似的经历:拿U盘往别人机器上插,
病毒就跑到了U盘里,插到另外台电脑就中毒了。
很多人都想知道 这种病毒是何时开始流行起来。追溯到它的起源,还得问下A盘是什么时候开始出现在商店的柜台里。
如果很久以前就开始用电脑的老windows用户来说,对于autorun.inf这样一个文件并不陌生。
曾经这样的文件出现在A盘里,以前病毒就是依靠A盘来传播的,U盘取代了A盘,自然就由应该由U盘来“接力”下去。
          到底autorun.inf文件功能如何使鼠标双击驱动器之后,就自动运行指定程序的效果。
其实这种效果大家都非常的熟悉,比如:主板驱动光盘放进光驱,光驱的图标变成一个很好看的图标,
双击打开光盘,还会发现自动弹出一个很漂亮、友好的驱动安装界面。这些是autorun.inf文件所给大家提供方便的效果,
还有Windows系统安装光盘,教学光盘等等也有这样的效果(大家可以打开这类光盘根目录下有autorun.inf)。
那就让大家来认识下,用记事本打开autorun.inf文件到底写了些什么东东在里面:
[autorun]
OPEN=程序.EXE 
ICON=图标.ICO
最简单的就三行代码,把“autorun.inf”、“程序.exe”和“图标.ico”三个文件放到分区的跟目录下,
重启电脑,就可以达到:修改驱动器图标的效果和双击驱动器打开指定应用程序。
          本来这样的一个功能挺好的,如果脑筋好的还可以利用它来修改一个自己喜欢的驱动器图标,
让“我的电脑”变得更有个性化,让自己制作的光盘更显“魅力”!但可恶的是给一些别有用心的人利用了。
不能说这样的一个功能是一个神秘莫测的功能,但对于不是很懂计算机的人来说,还真的觉得挺神秘的!
      autorun.inf就介绍到这里,今天我想要说的是通过移动存储设备作为传播途径的病毒,
到了今天又“研究”出什么新“产品”呢?
      当我打开WinRar打开时候,没有太大的留意,只是习惯以前的模式,
查看有有没有“可执行文件图标”或者“熊猫图标”或“安装程序图标”或一些很特殊的图标
(病毒惯用图标,一眼就能看出来)不过这些文件都是隐藏的,但是在WinRar下是无法躲闪的。
但今天的这个U盘毒采用了一个非常熟悉,但却极具创意的图标:文件夹图标 !
逃过了我这双“以貌取人”的眼睛,所以今天才这么有兴致写写文章,跟各位分享!
      到底这个病毒的“创意”是如何实现的呢?这次病毒体不再像以前那些“前辈”那么没出息到处隐藏!
它不隐藏而是故意“暴露在光天化日之下”让大家来“自愿捧场”双击运行它。那么,它是如何地让你“自愿”的呢?
      首先,它是用文件夹作为图标,足够让你放松警惕,从表面上就已经达到一种很好的伪装,
比以前的那些“不成熟”的“包装”一眼就很能认出来,都不知要强多数倍了!
其实,这世界上还有很多朋友,挺细心的,发现一些不是自己新建的文件夹,就起了疑心,
而且马上就把事情做得很“绝”!毫不留情地让它从这个世界上消失掉—删除!这样就“辜负”了病毒作者的“一片苦心”!
为了对付这么“一群细心的家伙”,病毒先检查下U盘里有没有文件夹,如果有,把该文件夹隐藏起了,
新建立一个“外形”是文件夹图标的病毒文件,文件名就是刚刚隐藏的那个原有的文件夹名,哈哈!够创意了吧!
就算你多么的细心,你也不会怀疑了,因为这个“文件夹”就是你自己“建立”的!
当用户打开了U盘之后,双击自己“建立”的“文件夹”是理所当然的事情,没有什么不愿意的!
当然,目前绝大多数的用户都喜欢把后缀名隐藏,因此单从肉眼无法识别到底是正常文件夹还是“文件夹”病毒文件。
但是,在WinRar下就暴露了文件的后缀名尾巴,而且还标出“应用程序”因此,很容易揪出病毒。
      但是,我觉得“文件夹”病毒做得还是不够好,双击打不开“文件夹”,没什么反应
(其实,这是病毒已经激活运行了达到了目的),
用户很纳闷,为什么“文件夹”打不开了?是不是自己的U盘坏掉了呢?是不是中毒了?马上就会有很多疑问了!
其实,病毒还可以继续完善的,就在病毒激活的同时,也应该给用户打开自己本来的文件夹,
这样,更是神不知鬼不觉,哈哈!说到这里,倒是给制毒者提供了很重要的“完善”思路信息,使“威力”更大了。
不过,你也可以理解为病毒的伪装性更强大,自己以后应该更加小心!
      在和U盘传播类病毒的斗争中,一开始病毒的编写思想还不是很“完善”,很容易给网上介绍的方法绕开中毒并容易清除。
比如大家熟悉的:打开U盘时,不双击U盘,而是:“ 驱动器-右键-打开 ”
但是,制毒者在autorun.inf添加shell命令,伪装右键菜单“打开”
shell\1=打开(&O)
shell\1\Command=病毒.exe
    让你右键打开 也能中毒!后来,高手们建议,在“我的电脑”的地址栏,下拉菜单里选择“移动磁盘”打开,
这种方法比较“先进”也实用。不会导致右键打开中毒的情况,但是,病毒的制造水平也在不断地提高,
用文件夹图标迷惑你的,让你“自愿”地中毒,防不胜防。
    其实,病毒的的制造历史里,还有很多值得一提的“高新科技”。
    在民间,高手们建议:如果发现根目录下有可执行文件包括:exe\vbs\js\bat\com文件就要警惕,最好删除。
同时,他们也编写了大量的清除U盘病毒程序,有专杀,也有兼容性很好的杀毒程序。
不过大致的原理套路一样:     
          判断根目录下是否有autorun.inf和流行的U盘毒文件名,并加以 结束专门的病毒程序命令、
删除命令和免疫命令来制造所谓的专杀程序。
    接下来,病毒作者做了改进,让病毒的没有固定的名字,随机起。
又把自身藏到了伪装“回收站”的文件夹里,把调用路径指向文件夹,所以在根目录下没有了可执行文件
除此之外,还设置隐蔽、灵活的调用机制,让“民间的高手们”的方法“顿时失效”。
      在专业的杀毒软件里,都存在判断性的漏洞--利用病毒特征码来判断U盘毒
(其实也不算是漏洞,只是编写病毒的作者不断更新让人防不胜防而已)
,而病毒作者却会懂得把程序的二进制数据存储在脚本的字节数组里,逃过特征码引擎的追杀。
      原理:脚本运行时,把数组里的数据写到临时文件夹里,还原病毒可执行文件,并激活,
马上删除病毒文件,让你在磁盘上找不到它的踪影。
也出现过利用Windows系统的文件名漏洞,没有文件名的病毒。
其实也不神秘。就利用记事本“另存为”, 不写文件名只写后缀名“.exe”,这样就可以新建一个没有文件名的exe。
然后,用“二进制编辑器”或“Visual C++”打开“没有文件名的文件”,把已经编译成EXE的病毒二进制数据粘贴进去,
保存,就可以做一个“没有文件名的病毒”,逃过很多杀毒程序的追杀。呵呵!
      更有“超高新技术”者,以“脚本”或“批处理”作为病毒的引导程序在存放在磁盘上,   
把自身的可执行数据 存放在系统注册表的“二进制数值项”或“多字符串项”里,
并不以独立的文件存放在磁盘上,对于那些只会文件扫描和注册表启动项扫描的杀毒软件来说,
永远都找不到它。再有的是把引导程序注入到DLL文件里去,随着系统的DLL资源启动而启动,这样更隐蔽。
      谈病毒的原理,就要拿个经典之作来跟大家分享一下。我尽量简单地说说,呵呵。
      熊猫烧香,这个曾经轰动一时的病毒,以超强的破坏力著称:感染所有的EXE文件,在用户运行感染的程序文件时,
让自身激活的同时又能让用户感觉上能正常地运行这个软件,并没有感觉这个软件已经感染了病毒。这样欺骗性和传播性就更厉害了!
      其实,我最讨厌的却是“熊猫烧香”,它也属于用U盘传播类的病毒,我之所以讨厌它,并非是它的破坏力,
而是它的技术太烂了!其实“熊猫”的感染全盘的EXE是外国早就有的“杰作”并非是作者“创新的技术”我讨厌它的抄袭行为。
把别人的感染技术加上自己的D号功能,成为了举世无双的D号贼。
不过继熊猫的变种作者更让我失望,没有太多的“创新”而是一脉继承“熊猫”,
甚至破坏EXE的文件结构,让EXE无法运行和修改,自己也无法运行和更有力传播,在我眼里是个败笔!
  说了这么多,就简单介绍下原理。
感染期:把“病毒体数据”和已存在的“正常软件数据”,混合为一个文件,再把原来的软件删除,
“组合文件”改名为原来的文件名称,这样,就完成了一个感染过程。
至于图标问题,熊猫烧香的后续版本做得也不好,没有考虑到尺寸问题,图标有点模糊,而很容易给人怀疑。
在运行期原理:把原来的程序数据释放到当前文件夹里,起名为:“程序名exe.exe” 然后运行,
正常的软件程序运行之后,马上删除掉。让你永远看到只是已感染的程序文件,而正常的却只是在霎那间出现。
不过,这就给我们修复原来的软件程序提供了希望。
方法:
      在NTFS文件系统下新建一个文件夹,把已感染的软件放到进去,
设置修改权限:“列出文件目录”和“读取和运行”其他的都去钩。
然后,运行已感染的文件,你就会看到该目录下有一个“软件名.exe.exe”的程序,这个就是原来的没感染的软件。
你就可以利用熊猫本来就有的“修复功能”,帮你还原软件数据。还有一个方法,更简单,就是管理好你的用户“临时文件夹”!
“临时文件夹”就在你的当前用户的文件夹里,比如:C盘是系统盘,
Administator用户“临时文件夹”: “C:\Documents and Settings\Administrator\Local Settings\Temp”
把“Temp”的NTFS“权限”修改为“只读”,这样,熊猫就无法释放一个能删除你“原来程序文件”的“批处理文件”了。
(其实,熊猫在之所以能删除“原来的程序文件”,这和它释放在临时文件的“批处理删除命令”有关)如果系统盘不是NTFS,
无法通过权限去控制,怎么办呢?呵呵,这难不倒我!
      找个有NTFS文件系统的盘,新建一个文件夹命名:temp。例如: “D:\Temp”
设置其权限为“只读”权限。然后,到“我的电脑”--右键“属性”—“高级”—“环境变量”—
把“Temp”和“Tmp”都修改为:刚才已经准备的“D:\Temp”。这样,“临时文件夹”就改了,
给病毒设的“招待所”也改了!
  熊猫除了以上的“表演”之外,据我研究的还可以局域网入侵,映像劫持,注册表监控等功能。
      注册表监控功能主要是监控是否有人修改或删除了它的“启动项”、“隐藏设置项”“扩展名设置项”、“映像劫持项”
如果有,它又悄悄地修改回来,让你“无功而返”。
  局域网入侵功能主要是往局域网内发送大量的探测数据包,看是否网内有弱口令用户,有!则试图进行入侵。
或者往网内发送大量的垃圾数据包,占有网络资源。后来的变种,还发展到增加了ARP欺骗功能。不能不说是一个“创举”。
      至于映像劫持技术,我们并不陌生。例如:很多人都在埋怨为什么安装了杀毒软件后还是中毒了。
而且,中毒之后,杀毒软件也删除不了病毒,更有可笑的是,杀毒软件反倒给病毒“杀”了!
06年后的U盘毒都具有这样的功能,主要是通过映像劫持技术(IFEO)。这所谓“技术”,说得专业点到可以说一大堆,
但我倒不想拿这种专家的语气去复杂化问题了,
那我们就来玩个游戏,让你桌面上的QQ失效,双击后打开变成一个Windows系统的“画图”工具这样,
就会有思考的动力了,也可以在玩中学点东西,呵呵!
首先我们来打开:注册表编辑器

“开始”---“运行”—输入:regedit
找到一下把树形目录展开路径
->HKEY_LOCAL_MACHINE
  ->SOFTWARE
    ->Microsoft
      ->Windows NT
        ->CurrentVersion
        ->Image File Execution Options
找到了Image File Execution Options之后,单击选中
右键菜单里:“新建”一个“项”
把新建的“项”右键-“重命名”为:QQ.exe
选中新建的QQ.exe “项”,在右边窗口里: 右键->“新建”->“字符串值”
把新建的“字符串值”右键-“重命名”为:Debugger
双击“字符串值”Debugger :输入内容为:%SystemRoot%\system32\mspaint.exe
关闭注册表编辑器窗口,回到桌面,像往常一样打开QQ,看看!
(如果输入内容为:%SystemRoot%\NOTEPAD.EXE(就会打开我们最熟悉的记事本)
也可以修改为其他软件的路径)
这个就是映像劫持技术了!在此我只是劫持了“QQ”让它转去执行“画图”工具。
如果“项:名:nod32.exe (或者瑞星,江民等等杀毒软件的主程序名称也可以)
而“字符串值” Debugger :输入内容为:<病毒隐藏路径>\<病毒文件>.exe
那么,当你打开杀毒软件Nod32时,系统反而跑去运行Debugger里路径指定的病毒。
这样就是所谓的杀毒软件被病毒给“杀”了的例子!
其实,一点都不神秘,只是巧妙地利用了系统的注册表功能而已。呵呵!
但是,如果遇到杀毒软件无法启动,很可能是以上的注册表项出问题,
你会看到很多杀毒软件的名字(有时觉得写毒的人考虑得挺周全的^_^,人家可是花了点心思哦)
那你就得一个一个地删咯,当然在网上也有修复程序,自己找找去,呵呵!
不过,为了能保证以后都不再受“侵扰”我倒可给大家说说,就是对“Image File Execution Options”进行保护起来,怎么保护?
方法一:右键-“权限”,把所有用户的权限改为:只读。这样,病毒就不会再有往里面写“劫持”的权利了。
方法二:利用系统的限制策略来禁止“本地安全策略”里的“软件限制策略”->“路径规则”
加上“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”
同时也可以说免疫了这类病毒。但这又有给病毒作者“完善”病毒功能的一条重要的建议了,
只希望不要给别有用心的人看到,呵呵!
      除此之外,常常有人问我还有什么防毒免疫的“屎坑招”么?当然有,不过,又要增加很多字数,手挺累的!
我就简单地提提吧,还可以用“本地安全策略”里的“软件限制策略”->“散列规则”限制指定病毒文件的散列码,
或“路径规则”限制病毒常有见的躲藏路径。用“Internet区域规则”来限制IE浏览访问有毒的网站。
当然也可用“路径规则”来限制注册表里容易给病毒当“黑窝”,隐藏在里面的常见路径。
还有用NTFS的“权限”来管理好用户的“临时文件夹”,在上网的时候,把“临时文件夹”权限设为“只读”
可以有效地预防浏览网页时中毒。因为临时文件夹是病毒进入你计算机的“第一站”,把这一“站”管好了,病毒很难有机会肆虐。
还有就是利用以上介绍的病毒对付我们的招数,灵活地克制病毒,比如:病毒利用“映像劫持技术”来对付我们,
我们为什么不可以用“映像劫持技术”来反过来对方病毒呢,哈哈!至于其他的,欢迎光临我的163博客或加Q361565529呵呵!
分享到:
gototop
 

接上面的--闲聊Auto病毒“创新设计”

本来是说U盘毒的,说了半天,我都不知道瞎扯到哪里了,呵呵!接下来给大家些有效的U盘毒的防范措施,
倒是有一个挺通用的方法,就是新建一个名为:autorun.inf的文件夹,注意是“文件夹”,然后在文件夹里新建一个名“带点”的文件夹。
比如“abc..”至于这样的文件夹,不是要你右键新建文件夹,而是通过命令来新建可以写成批处理,也可以在CMD命令提示符里写。
那为什么要用命令来创建呢,那就要讲Windows的文件名管理了,Windows是不支持的,
但命令提示符却是沿用了DOS系统的文件管理机制,这也算是Windows的一个漏洞,在vista给补上了,呵呵。
其实,大家可以先尝试下,右键新建的文件夹名不能有点的,
只有在命令下才能建立一个带点的文件夹具体操作:

“开始”-“运行”-输入:cmd
输入命令:md C:\autorun.inf
输入命令:md C:\autorun.inf\abc..\

    你就会发现,C盘根目录下多了一个名字为:autorun.inf的文件夹,在文件夹里,你会发现一个名为:abc.的文件夹。
现在你可以尝试删除,重命名,复制剪切autorun.inf文件夹,都不支持操作,呵呵。
    这样一招,利用系统的漏洞,保证你新建的autorun.inf无法被病毒修改和删除,这绝对是一个防毒的好措施。
特别是在FAT32文件系统下,如果在NTFS文件系统下,还可以加上权限,让任何人都无法访问,病毒进来了,也没辙了。
至于还想问我为什么,原理很简单:同一目录下,不能有“同名”的文件或者文件夹。
病毒无法建立自己的autorun.inf,没有autorun.inf的支持,病毒是发威不起来的。
当然,我刚刚介绍的那个以“文件夹图标”迷惑人的病毒除外。呵呵!
其实,带点的文件夹还有其他的用处哦!可以把个人的私隐常到里面去,呵呵!
你双击是打不开的。要打开,必须用命令,要打开刚才名为:“ abc. ”文件夹(注意:只有一点)
就要输入命令:start    C:\autorun.inf\abc..\  (注意:要有两点,而且一定要斜杠)
打开后,就可以把一些 “不见得光”  的东西放到里面去了,^_^哈哈!!

  不知道的朋友也许会奇怪,为什么我老是提到用WinRar来查看。我们熟悉的压缩软件除了常用于压缩文件之外,
还可以查看磁盘里的文件夹和文件,而且可让所有的“隐藏文件”“大白天下”、让文件的后缀名“露出尾巴”。
对文件后缀名不是很懂,也可以根据“类型”查看属于哪类文件。我就解决了病毒修改了系统注册表,
导致无法显示隐藏文件,而对病毒束手无策。
      但是,道高一尺,魔高一丈!熊猫烧香出现之前,病毒变种为了防止我们利用WinRar 让它显形,
在中毒后就禁止了WinRar程序的运行(WinRar一运行,马上就关闭)。
我觉得这个编写病毒的作者想得还挺“周到”的,呵呵!
没了WinRar,还可以用命令提示符CMD来运行,查看分区文件,
但后来的病毒变种也想到了,也禁止了“命令提示符”的运行(Cmd.exe一运行就关闭了)呵呵,
说到这里,我对病毒的“完善”过程感到挺高兴的,因为它在挑战我的“水平”,呵呵。

      换个角度来说,能编写病毒,就证明是计算机技术上的高手!和病毒“作战”是一次和高手交流的机会。
了解程序是如何巧妙地利用系统功能,研究病毒的运行机理,从中获得病毒作者的编程思路,
是提高计算机应用水平的重要捷径,希望你也可以!

      在文章结束时给大家介绍点小工具吧。在日常生活中还应该有些杀毒的伴侣小工具什么的,
否则不可能老是凭着自己的“水平”用肉眼来查毒吧,呵呵。
“智能杀毒伴侣”这是一个很好的查看系统状态和进程状态的软件707K,
“反黑辅助工具” 558K  ,
“autoruns”注册表启动项查看工具。
“高级注册表编辑器”,一个可以自动生成“注册表导入文件(后缀.reg)”的工具,
“光华反毒小工具”能快速地修复注册表的工具。
还有很多小工具,但功能都重复了,我就不再介绍。
本帖被评分 1 次
gototop
 

回复: 闲聊Auto病毒“创新设计”

写得不错,对新手很有意义!
打酱油的……
gototop
 

回复:闲聊Auto病毒“创新设计”

我支持楼主。。感言辞!·
gototop
 

回复:闲聊Auto病毒“创新设计”


赞一个
写得不错

很长
gototop
 

回复: 闲聊Auto病毒“创新设计”

你就会发现,C盘根目录下多了一个名字为:autorun.inf的文件夹,在文件夹里,你会发现一个名为:abc.的文件夹。
现在你可以尝试删除,重命名,复制剪切autorun.inf文件夹,都不支持操作,呵呵。
    这样一招,利用系统的漏洞,保证你新建的autorun.inf无法被病毒修改和删除,这绝对是一个防毒的好措施。
特别是在FAT32文件系统下,如果在NTFS文件系统下,还可以加上权限,让任何人都无法访问,病毒进来了,也没辙了。
至于还想问我为什么,原理很简单:同一目录下,不能有“同名”的文件或者文件夹。
病毒无法建立自己的autorun.inf,没有autorun.inf的支持,病毒是发威不起来的。
免疫文件就是这样建立的吧
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT