瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 U盘autorun病毒的前世今生及其手杀方法

1   1  /  1  页   跳转

[原创] U盘autorun病毒的前世今生及其手杀方法

U盘autorun病毒的前世今生及其手杀方法

最初的autorun的形式很简单

[autorun]
shellexecute=mm.exe

插入U盘时如果直接双击,就会执行mm.exe这个文件,右键U盘可以明显地看到破绽:


这时,我们只要点击打开,就可以安全进入U盘,而不执行mm.exe
不久之后,很多人都懂得用右键来打开U盘。
于是,变种就出来了。
[AutoRun]
shellexecute=mm.exe
shell\open=打开(&O)
shell\open\Command=mm.exe

右键点击U盘,还是上面那个图片,有自动播放,也有打开,我们自然会用“打开”来进入U盘,可是事实是,你仍然执行了mm.exe,因为
shell\open=打开(&O)
shell\open\Command=mm.exe
这两句就是使右键里的“打开”的功能变为执行mm.exe

但是,自动播放这四个字太显眼,一看就知道中毒了,于是新变种出来

[AutoRun]
shell\open=打开(&O)
shell\open\Command=mm.exe

删去了shellexecute=mm.exe这句,效果如图


新的解决办法也出来了,右键之后,点击资源管理器,成功进入U盘,没有执行mm.exe

自然,病毒还会继续发展,再一次变种
[AutoRun]
shell\open=打开(&O)
shell\open\Command=mm.exe
shell\explore\Command=mm.exe
shell\find\Command=mm.exe

道理和上面一样,劫持了资源管理器和搜索的功能,让其执行mm.exe
这个时候,几乎所有U盘的右键都是被劫持的,无论点哪个都会执行mm.exe

Autorun的演变史大概就这样,下面介绍一下通常的杀毒方法

U盘病毒通常会做以下事情:
1.
U盘生成autorun.inf及病毒体
2.
U盘根目录所有文件夹属性设置为隐藏
3.
生成与文件夹同名的exe病毒文件,图标为文件夹图标

第一要确保杀毒用的电脑是无毒的,如果也中了autorun病毒,则要先清除,这个不在本文讨论范围。

首先进入“我的电脑”,在文件夹选项里设置“显示所有文件和文件夹”,并且将“隐藏受保护的系统文件”前面的勾去掉
然后在地址栏输入U盘盘符加一个冒号,然后按回车进入U
可以看到autorun,inf和病毒体,直接删除即可,病毒体可以从autorun.inf文件里面看出,比如shell\open\Command=mm.exe mm.exe即为病毒体

如果出现与文件夹同名且图标为文件夹的exe文件,不用说,肯定也是病毒,一同删去即可。

最后一步,恢复被隐藏的文件夹,右键文件夹,点击属性,把隐藏前面的勾去掉即可。
可是有时候前面的勾是灰色的,无法取消,这是因为文件夹属性被病毒设置为系统,这时候就要用到命令行了。
如图

在开始菜单了点击运行,输入“cmd”打开命令提示符

输入U盘盘符加一个冒号并回车

H:

然后输入一下内容

attrib –s –h –a –r 文件夹名

比如被隐藏的文件夹名是123,那就要输入
attrib –s –h –a –r 123
U盘刷新一下,隐藏文件夹就回复正常了。

下面要说的是给U盘做免疫,工具还是命令提示符

在命令提示符里进入U盘,输入如下内容
mkdir autorun,inf
cd autorun,inf
mkdir 1..\

免疫原理是,在U盘根目录生成一个autorun,inf的文件夹,这时候病毒就无法创建autorun,inf文件。为防止病毒删除autorun,inf文件夹,我们在该文件夹里面生成一个畸形文件夹,使其无法被删除。
所谓道高一尺魔高一丈,现在有也出现U盘病毒将畸形文件夹改名的情况。我就想了一个办法,不过前提是你的U盘是NTFS格式的。我们可以利用cacls命令给autorun,inf文件夹设置访问权限,这样病毒就无法修改了。
仍然是在命令提示符里面输入
cacls autorun,inf /p everyone:n
现在尝试打开autorun,inf文件夹,会出现如图提示

这样就可以防止病毒修改autorun,inf文件夹了。
不过还是那句话,道高一尺魔高一丈,总有一天会出现能够修改权限的病毒,只有提高自己的防毒意识才能保证电脑原理病毒。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQPinyin 689; QQPinyin 722; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 1.1.4322; CIBA; 360SE)
分享到:
gototop
 

回复: U盘autorun病毒的前世今生及其手杀方法



引用:
原帖由 Luke8 于 2010-2-11 4:58:00 发表
受益匪浅。不过我常常看到同学的U盘资料被隐藏- -。
这也和这个有关吗


如果仅仅是文件夹被隐藏,应该是杀完毒的后遗症,只要按照文章的最后一步做就OK 了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT