微点专家质疑：关闭“自动播放”（Autorun）就可防毒？

烟雨无声

当下“自动播放”（Autorun）技术已成为病毒木马的“最爱”，倘若一个U盘或移动硬盘带毒，那么这个移动毒源 “所到之处”都会对病毒进行传播，使人防不胜防频频中招。从今年年初肆虐的“熊猫烧香”、“AV终结者”，到近期的 “小浩”都使用了“自动播放”（Autorun）技术来增强其传播能力。

     针对这一类利用U盘或移动硬盘带毒进行传播的病毒，不少用户采取关闭Windows“自动播放”功能来进行病毒的防范，这样防范措施真的有效吗？对于此类病毒究竟怎样防范才可以更为安全？

      为此记者专门咨询了微点反病毒专家，据介绍，目前，U盘的使用非常普遍，很多病毒都是利用自动播放功能来激活U盘中的病毒实现传播，用户的电脑一旦中了此类病毒，便很难实现对病毒的彻底查杀和清理。例如某些用户中了AV终结者病毒后，因多种软件无法正常使用，常会采取格式化系统分区，重装系统的方式进行处理。但是，即使系统重新安装后，用户只要打开其它硬盘分区又会激活病毒，导致重新中毒。也就是说“自动播放”类病毒多将硬盘所有分区全部感染，所以一旦中毒，电脑所有硬盘分区将无一“幸免”。

      针对关闭Windows“自动播放”功能是否可以有效防范此类病毒的问题，微点反病毒专家介绍说：防范通过移动存储进行感染的病毒，单纯地通过关闭“自动播放”实属治标不治本，普通用户通过简单的设置根本无法防护自己的电脑安全。目前微点主动防御软件已经捕获了多种试图通过自动开启“自动播放”功能以完成自我传播的病毒，如Trojan.Win32.Delf.bfa、Backdoor.Win32.Agent.eeg等等。

      其实“自动播放”（autorun）类病毒本身是一类非常典型的病毒行为，它通过写入恶意的autorun.inf脚本和配套的木马程序来实现其病毒传播目的。因此，使用具有行为杀毒能力的主动防御产品，根本无需去关闭自动播放功能即可有效防御此类病毒。这样既可以保证用户安全使用正常的自动播放功能，在发现有害的自动播放程序时可以准确查杀，下图为主动防御软件对自动播放类病毒的典型报警图，报警提示中会明确告知用户该木马为带有autorun.inf的自动播放类木马程序。




      据悉，除已具备行为杀毒能力的微点主动防御软件外，其他安全厂商也在加紧研究并完善“主动防御”这一技术。我们有理由相信08年是反病毒行业的主动防御普及年，届时此类“自动播放”（autorun）型病毒将得到有效的遏制。广大用户无需去费心思进行关闭设置，即可由主动防御技术获得可靠的安全保证。

      另外，微点专家还介绍了关于此类病毒的手工检测的方法：由于自动播放类木马在使用“我的电脑”打开磁盘分区的时候就会自动激活病毒，即使使用右键菜单打开也可能会被病毒感染。所以，在Windows下彻底手工清除该类木马的操作难度较大，我们需要借助第三方文件管理工具来手工清除此类木马。例如，可以使用常见的压缩软件WinRAR的文件管理功能来查找硬盘和U盘根目录下的autorun.inf文件，根据autorun.inf文件内容进行分析，以彻底清除autorun.inf和其关联的木马文件。这样就解除了aurorun木马的传播能力。但由于此种手工检测方法对于普通用户来说可能存在有一定的操作难度，因此还是建议广大用户使用带有主动防御功能的安全软件进行防范。

微点主动防御软件

kasper

autorun   杀流氓的靠文件名把光盘里的自动播放都杀，真是搞笑了~~~~

wangjay1980

杀光盘里的，没见过，谁能杀？

rcbblgy

控制自动播放无非是控制autorun.inf或者控制注册表键值，管住任何一项就可以不用关“自动播放”了。

fido_lee

只不过是方法不同而已，没有什么治标治本之说。

dsl5

早就不是什么稀奇的东西 我早就捕获一个鸽子,金山当时报Trojan.Huigezi.al     ,病毒文件名autorun.pif,我当时已经关闭了自动播放,但是基本没用,U盘一插进去就报毒了,后来分析大概:那鸽子挂钩了U盘驱动,只要一检测到驱动,就自动把autorun.pif这个文件复制到各个盘下,不管原来有没有,它自己弄一个,呵呵,这个autorun.pif指向的是鸽子的主程序,作者利用检测U盘驱动来运行鸽子源生成程序,该autorun.pif的复制就是生成鸽子过程的一部分,要知道U盘如果禁止了驱动,系统就永远无法检测,挂驱动可以说是绝杀 不要相信所谓的禁止自动播放,忽悠人的

moonsilver

测试过一些样本，关闭自动播放不能完全防御靠autorun启动类病毒

pluto1313

大家可以到我网盘下载我写的“U盘免疫器－江民社区版”，这个工具的目的是即使有Autorun.inf这个文件的存在，你双击盘符也不会启动病毒，和普通的建立一个Autorun.inf文件夹的那种不一样

keleboy007

我用的是超级巡警的U盘免疫，他会在各个盘自动生成autorun的文件，阻止其他此类病毒运行，现在看看，效果不错

啊弥陀佛

貌似现在把U盘自启动改为禁止对有些U盘病毒也无效,主动防御才是关键