“RavMonE.exe”、“rose.exe”、“sxs.exe”、“copy.exe”、“setup.exe”……根目录下的神秘幽灵,系统安全的杀手,它们被称作“U盘病毒”。无数Windows用户,都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。 Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。
Autorun.inf被病毒利用一般有4种方式 A. 自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
B. | shellAutocommand=filename.exeshell=Auto |
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢?
C. | shellexecute=filename.exe |
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
D. | shellopen=打开(&O)shellopenCommand=filename.EXEshellopenDefault=1shellexplore=资源管理器(&X) |
这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。 面对这种危险,尤其是第四种,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。而在这种情况下,一部分人也根据自己的经验,做出了“免疫”工具。
| 【内容导航】 |
| 第1页:4种方式 | 第2页:免疫的办法 |
| 第3页:NTFS权限控制 | |
瑞星称卡巴斯基无视中国用户 举大量证据揭露误杀事实Ubuntu学习进阶篇--教你进一步提高系统安全性相关资讯 病毒 Autorun.inf
- 计算机病毒(Virus)是谁发明的? (03/13/2014 08:23:58)
- 不是所有“病毒”都是病毒: 恶意 (02/11/2014 09:51:12)
- 迪士尼:开源软体是病毒 (09/03/2012 20:16:48)
| - 美国国家安全局(NSA)准备释放病 (03/13/2014 08:17:17)
- 蠕虫病毒经由Skype传播 自动安装勒 (10/10/2012 16:06:46)
- [图]新病毒删除主引导记录 导致系 (08/18/2012 10:22:29)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站