菜鸟堂讲座二——菜鸟解决U盘病毒

asinasina

autorun病毒:利用autorun.inf主要通过U盘等移动介质进行传播。也称U盘病毒
一般来说，U盘病毒传播的重要功臣是autorun.inf。我个人没见过其他类型的，不知道desktop.ini会不会就机会。
首先来认识下什么是Autorun.inf

Autorun.inf是在WIN95就出现在当时的光盘中了。在WIN95到WInme过程中，光盘运行是靠autorun.inf.随着Autorun.inf开始支持更多设备，并且它的调用转移到shell.dll来完成，给autorun病毒机会了

autorun.inf可以通过记事本等软件打开。
一般来说，autorun.inf包含5个部分：[AutoRun],[Content],[ExclusivecontentPaths],[ignoreContentPaths],[Deviceinstall]。
先讲个有趣，也就是autorun.inf的正面例子（当然你的电脑要没禁用自动播放的说），

[AutoRun]
Icon=1.jpg

把你想要的图片1.jpg和autorun.inf都放在你的U盘里，插入电脑后就会发现你的移动硬盘盘符是那个图片了吧

但这个技术也用到了病毒中

[Autorun]
OPEN=EXPLORER.EXE
shell\open=打开（&0）
shell\open\command=EXPLORER.EXE
shell\open\Default=1
shell\explorer=资源管理器（&x）
shell\sxplorer\Command=EXPLORER.EXE

这个病毒就是双击盘符打开EXPLORER.EXE，同时右键资源管理器打开盘符也会中毒。所以，右键资源管理器是不安全的...而且就这个例子来说，右键看到的打开和资源管理器和正常的基本没区别，所以别只看到右键后没有自动运行就觉得安全了....就是这个样子

跟多的时候，你右键后会出现自动播放这个选项
是因为里面有类似这个的代码

[autorun]  
OPEN=X:\command.com（XX.exe）   

就不上图了




同时，有些病毒还会有这样的效果，上面的打开和资源管理器是病毒写的

以下是代码

[AutoRun]
shell\打开（&0）\command=XXX.exe
shenll\资源管理器（&X）\command=XXX.exe

病毒本体可以随着上面的XXX.exe变化下就行了，一个U盘病毒就好了



看到这里，是不是觉得心有点慌啊..右键是不值得相信的，即使没有看到自动运行这个选项，所以别以为autorun病毒很牛，其实是你自己没注意。那怎么防范了？继续下面吧
1.暂时禁止自动运行。
在插入USB时按住Shift键可以暂时禁止自动运行，提前按也行。
2.注册表禁止自动运行
跳过，觉得注册表这个计算有点麻烦，有兴趣去网上找。
3.组策略
打开组策略工具
在“运行”中输入 gpedit.msc
展开“计算机配置->管理模板”，选中“系统”
在右边启用“关闭自动播放”，选择“所有驱动器”
4.用安全软件
有很多软件都提供了这个功能....

怎么安全打开U盘了？
提供一些方法：
1.在C盘右键-资源管理器，然后通过树状结构进入，不是U盘的啊
2.用WINrar，进入相应盘区，手动删掉autorun.inf
3.cmd命令：假设为盘符为I,要打开的文件为a.exe

cmd
I:
DIR /A
a.exe

4.用安全软件杀掉
2，3种适合看不见而要急用文件时的方法，有时，就是为了开一个文件


接下来，交大家一个预防的方法，也是很多软件的 免疫方法，假设U盘盘符是I:

cmd
I:
md Autorun.inf
cd  Autorun.inf
md asinasina..\

这个文件夹是利用windows的一个BUG建立一个不能删除的文件夹
如果想删除也行

cmd
I:
dir /a
cd autorun.inf
rd asinasina../

PS:以上cmd是在开始运行里输入，同时要说明下自动运行和自动播放不同，那个弹出要你选择的不是自动运行...

[ 本帖最后由 asinasina 于 2009-3-28 00:15 编辑 ]

asinasina

这里写这个是因为今天看到帖子没太懂说什么..觉得有点夸张autorun病毒了，写出来让大家看看，少些疑惑
http://bbs.kafan.cn/viewthread.php?tid=449685&highlight=
http://bbs.kafan.cn/viewthread.php?tid=449640&highlight=
这是链接，希望大家共同进步
高手就勿视了

[ 本帖最后由 asinasina 于 2009-3-28 00:35 编辑 ]

Atlantis祭司

感谢楼主！

很强大！

PS: 没想到这帖你从昨天编辑到了今天。

PS2: 对于那两帖，不想多说什么了。

taishan

学习了。感谢！

asinasina

不知不觉就过时间了
额.看来还是不适合写这啊，

爱老鼠的猫

学习了,虽然知道一点,但看完这个才发现我知道的连皮毛都算不上啦.

jya3153222

学习了，不过我做过免疫了

楼主很勤奋的说...

Dirk

支持啊
那两帖子让人很无语的

Beloved

强制沙盘运行，简约而不简单