U盘autorun病毒的前世今生及其手杀方法 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 U盘autorun病毒的前世今生及其手杀方法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] U盘autorun病毒的前世今生及其手杀方法

leo108 反毒学员帖子:648 注册: 2010-01-11 来自:	发表于： 2010-02-10 22:07 \| 只看楼主短消息资料字号：小中大 1楼 U盘autorun病毒的前世今生及其手杀方法最初的autorun的形式很简单 [autorun] shellexecute=mm.exe 插入U盘时如果直接双击，就会执行mm.exe这个文件，右键U盘可以明显地看到破绽： 1.JPG (11.56 K) 2010-2-10 22:06:58 这时，我们只要点击打开，就可以安全进入U盘，而不执行mm.exe 不久之后，很多人都懂得用右键来打开U盘。于是，变种就出来了。 [AutoRun] shellexecute=mm.exe shell\open=打开(&O) shell\open\Command=mm.exe 右键点击U盘，还是上面那个图片，有自动播放，也有打开，我们自然会用“打开”来进入U盘，可是事实是，你仍然执行了mm.exe，因为 shell\open=打开(&O) shell\open\Command=mm.exe 这两句就是使右键里的“打开”的功能变为执行mm.exe 但是，自动播放这四个字太显眼，一看就知道中毒了，于是新变种出来 [AutoRun] shell\open=打开(&O) shell\open\Command=mm.exe 删去了shellexecute=mm.exe这句，效果如图 2.JPG (13.63 K) 2010-2-10 22:06:58 新的解决办法也出来了，右键之后，点击资源管理器，成功进入U盘，没有执行mm.exe 自然，病毒还会继续发展，再一次变种 [AutoRun] shell\open=打开(&O) shell\open\Command=mm.exe shell\explore\Command=mm.exe shell\find\Command=mm.exe 道理和上面一样，劫持了资源管理器和搜索的功能，让其执行mm.exe 这个时候，几乎所有U盘的右键都是被劫持的，无论点哪个都会执行mm.exe Autorun的演变史大概就这样，下面介绍一下通常的杀毒方法 U盘病毒通常会做以下事情： 1. 在U盘生成autorun.inf及病毒体 2. 将U盘根目录所有文件夹属性设置为隐藏 3. 生成与文件夹同名的exe病毒文件，图标为文件夹图标第一要确保杀毒用的电脑是无毒的，如果也中了autorun病毒，则要先清除，这个不在本文讨论范围。首先进入“我的电脑”，在文件夹选项里设置“显示所有文件和文件夹”，并且将“隐藏受保护的系统文件”前面的勾去掉然后在地址栏输入U盘盘符加一个冒号，然后按回车进入U盘可以看到autorun,inf和病毒体，直接删除即可，病毒体可以从autorun.inf文件里面看出，比如shell\open\Command=mm.exe 则mm.exe即为病毒体如果出现与文件夹同名且图标为文件夹的exe文件，不用说，肯定也是病毒，一同删去即可。最后一步，恢复被隐藏的文件夹，右键文件夹，点击属性，把隐藏前面的勾去掉即可。可是有时候前面的勾是灰色的，无法取消，这是因为文件夹属性被病毒设置为系统，这时候就要用到命令行了。如图在开始菜单了点击运行，输入“cmd”打开命令提示符输入U盘盘符加一个冒号并回车如H: 然后输入一下内容 attrib –s –h –a –r 文件夹名比如被隐藏的文件夹名是123，那就要输入 attrib –s –h –a –r 123 U盘刷新一下，隐藏文件夹就回复正常了。下面要说的是给U盘做免疫，工具还是命令提示符在命令提示符里进入U盘，输入如下内容 mkdir autorun,inf cd autorun,inf mkdir 1..\ 免疫原理是，在U盘根目录生成一个autorun,inf的文件夹，这时候病毒就无法创建autorun,inf文件。为防止病毒删除autorun,inf文件夹，我们在该文件夹里面生成一个畸形文件夹，使其无法被删除。所谓道高一尺魔高一丈，现在有也出现U盘病毒将畸形文件夹改名的情况。我就想了一个办法，不过前提是你的U盘是NTFS格式的。我们可以利用cacls命令给autorun,inf文件夹设置访问权限，这样病毒就无法修改了。仍然是在命令提示符里面输入 cacls autorun,inf /p everyone:n 现在尝试打开autorun,inf文件夹，会出现如图提示 3.JPG (19.70 K) 2010-2-10 22:06:58 这样就可以防止病毒修改autorun,inf文件夹了。不过还是那句话，道高一尺魔高一丈，总有一天会出现能够修改权限的病毒，只有提高自己的防毒意识才能保证电脑原理病毒。用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQPinyin 689; QQPinyin 722; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 1.1.4322; CIBA; 360SE)
leo108 反毒学员帖子:648 注册: 2010-01-11 来自:	分享到：

不懂就要问自信弱冠狮帖子:365 注册: 2006-04-14 来自:	发表于： 2010-02-10 22:24 \| 短消息资料字号：小中大 2楼回复：U盘autorun病毒的前世今生及其手杀方法不过还是那句话，道高一尺魔高一丈，总有一天会出现能够修改权限的病毒，只有提高自己的防毒意识才能保证电脑原理病毒。
不懂就要问自信弱冠狮帖子:365 注册: 2006-04-14 来自:

梦幻の星oо 叱咤花甲狮帖子:3711 注册: 2009-11-04 来自:Mr GQ 联盟	发表于： 2010-02-10 22:29 \| 短消息资料字号：小中大 3楼回复：U盘autorun病毒的前世今生及其手杀方法使用U盘要养成好习惯不要直接双击打开多抽出一分钟时间回帖，让你的卡卡生活更加精彩~ SREng工具http://bbs.ikaka.com/showtopic-8442813.aspx
梦幻の星oо 叱咤花甲狮帖子:3711 注册: 2009-11-04 来自:Mr GQ 联盟

Luke8 飘泊而立狮帖子:557 注册: 2010-01-15 来自:	发表于： 2010-02-11 04:58 \| 短消息资料字号：小中大 4楼回复：U盘autorun病毒的前世今生及其手杀方法受益匪浅。不过我常常看到同学的U盘资料被隐藏- -。这也和这个有关吗
Luke8 飘泊而立狮帖子:557 注册: 2010-01-15 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-02-11 08:01 \| 短消息资料字号：小中大 5楼回复：U盘autorun病毒的前世今生及其手杀方法微软的补丁内已包含取消磁盘以及移动存储设备的自动播放功能。这在未来用户不断打补丁的情况下，再过两年就没什么用了。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

leo108 反毒学员帖子:648 注册: 2010-01-11 来自:	发表于： 2010-02-11 10:17 \| 只看楼主短消息资料字号：小中大 6楼回复: U盘autorun病毒的前世今生及其手杀方法引用: 原帖由 Luke8 于 2010-2-11 4:58:00 发表受益匪浅。不过我常常看到同学的U盘资料被隐藏- -。这也和这个有关吗如果仅仅是文件夹被隐藏，应该是杀完毒的后遗症，只要按照文章的最后一步做就OK 了。
leo108 反毒学员帖子:648 注册: 2010-01-11 来自:

筠林碧湫健康舞勺狮帖子:288 注册: 2010-01-24 来自:北京	发表于： 2010-02-11 10:42 \| 短消息资料字号：小中大 7楼回复：U盘autorun病毒的前世今生及其手杀方法哦我的文件夹也曾全被隐藏过不过杀过一遍就好了
筠林碧湫健康舞勺狮帖子:288 注册: 2010-01-24 来自:北京

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT