一篇关于u盘病毒的好文

chensefengbao

--说明：本文只适合对计算机病毒不大了解的人读来娱乐，高手就勿读了。

今天妹说MP3有问题不开。拿过来瞧瞧，习惯性地，在桌面上新建一个WinRAR 压缩文件双击打开（右键-新建-WinRAR）。
在地址栏里定位到“可移动磁盘”看看根目录下有没有“应用程序”（U盘病毒）。

一般，通过U盘这种途径传播的病毒已经不再事什么新鲜事情了，也许大家都有类似的经历：拿U盘往别人机器上插，病毒就跑到了U盘里，插到另外台电脑就中毒了。

很多人都想知道 这种病毒是何时开始流行起来。追溯到它的起源，还得问下A盘是什么时候开始出现在商店的柜台里。如果很久以前就开始用电脑的老windows用户来说，对于autorun.inf这样一个文件并不陌生。曾经这样的文件出现在A盘里，以前病毒就是依靠A盘来传播的，U盘取代了A盘，自然就由应该由U盘来“接力”下去。

到底autorun.inf文件功能如何使鼠标双击驱动器之后，就自动运行指定程序的效果。 其实这种效果大家都非常的熟悉，比如：主板驱动光盘放进光驱，光驱的图标变成一个很好看的图标，双击打开光盘，还会发现自动弹出一个很漂亮、友好的驱动安装界面。这些是autorun.inf文件所给大家提供方便的效果，还有Windows系统安装光盘，教学光盘等等也有这样的效果（大家可以打开这类光盘根目录下有autorun.inf）。

那就让大家来认识下，用记事本打开autorun.inf文件到底写了些什么东东在里面：
[autorun]
OPEN=程序.EXE   
ICON=图标.ICO
最简单的就三行代码，把“autorun.inf”、“程序.exe”和“图标.ico”三个文件放到分区的跟目录下，重启电脑，就可以达到：修改驱动器图标的效果和双击驱动器打开指定应用程序。

本来这样的一个功能挺好的，如果脑筋好的还可以利用它来修改一个自己喜欢的驱动器图标，让“我的电脑”变得更有个性化，让自己制作的光盘更显“魅力”！但可恶的是给一些别有用心的人利用了。不能说这样的一个功能是一个神秘莫测的功能，但对于不是很懂计算机的人来说，还真的觉得挺神秘的！

autorun.inf就介绍到这里，今天我想要说的是通过移动存储设备作为传播途径的病毒，到了今天又“研究”出什么新“产品”呢？当我打开WinRar打开时候，没有太大的留意，只是习惯以前的模式，查看有有没有“可执行文件图标”或者“熊猫图标”或“安装程序图标”或一些很特殊的图标（病毒惯用图标，一眼就能看出来）不过这些文件都是隐藏的，但是在WinRar下是无法躲闪的。但今天的这个U盘毒采用了一个非常熟悉，但却极具创意的图标：文件夹图标 ！逃过了我这双“以貌取人”的眼睛，所以今天才这么有兴致写写文章，跟各位分享！

到底这个病毒的“创意”是如何实现的呢？这次病毒体不再像以前那些“前辈”那么没出息到处隐藏！它不隐藏而是故意“暴露在光天化日之下”让大家来“自愿捧场”双击运行它。那么，它是如何地让你“自愿”的呢？

首先，它是用文件夹作为图标，足够让你放松警惕，从表面上就已经达到一种很好的伪装，比以前的那些“不成熟”的“包装”一眼就很能认出来，都不知要强多数倍了！其实，这世界上还有很多朋友，挺细心的，发现一些不是自己新建的文件夹，就起了疑心，而且马上就把事情做得很“绝”！毫不留情地让它从这个世界上消失掉—删除！这样就“辜负”了病毒作者的“一片苦心”！为了对付这么“一群细心的家伙”，病毒先检查下U盘里有没有文件夹，如果有，把该文件夹隐藏起了，新建立一个“外形”是文件夹图标的病毒文件，文件名就是刚刚隐藏的那个原有的文件夹名，哈哈！够创意了吧！就算你多么的细心，你也不会怀疑了，因为这个“文件夹”就是你自己“建立”的！

当用户打开了U盘之后，双击自己“建立”的“文件夹”是理所当然的事情，没有什么不愿意的！当然，目前绝大多数的用户都喜欢把后缀名隐藏，因此单从肉眼无法识别到底是正常文件夹还是“文件夹”病毒文件。但是，在WinRar下就暴露了文件的后缀名尾巴，而且还标出“应用程序”因此，很容易揪出病毒。

但是，我觉得“文件夹”病毒做得还是不够好，双击打不开“文件夹”，没什么反应（其实，这是病毒已经激活运行了达到了目的），用户很纳闷，为什么“文件夹”打不开了？是不是自己的U盘坏掉了呢？是不是中毒了？马上就会有很多疑问了！其实，病毒还可以继续完善的，就在病毒激活的同时，也应该给用户打开自己本来的文件夹，这样，更是神不知鬼不觉，哈哈！说到这里，倒是给制毒者提供了很重要的“完善”思路信息，使“威力”更大了。不过，你也可以理解为病毒的伪装性更强大，自己以后应该更加小心！

在和U盘传播类病毒的斗争中，一开始病毒的编写思想还不是很“完善”，很容易给网上介绍的方法绕开中毒并容易清除。比如大家熟悉的：打开U盘时，不双击U盘，而是：“驱动器-右键-打开 ”！但是，制毒者在autorun.inf添加shell命令，伪装右键菜单“打开”shell\1=打开(&O)
shell\1\Command=病毒.exe

让你右键打开 也能中毒！后来，高手们建议，在“我的电脑”的地址栏，下拉菜单里选择“移动磁盘”打开，这种方法比较“先进”也实用。不会导致右键打开中毒的情况，但是，病毒的制造水平也在不断地提高，用文件夹图标迷惑你的，让你“自愿”地中毒，防不胜防。

其实，病毒的的制造历史里，还有很多值得一提的“高新科技”。
在民间，高手们建议：如果发现根目录下有可执行文件包括：exe\vbs\js\bat\com文件就要警惕，最好删除。同时，他们也编写了大量的清除U盘病毒程序，有专杀，也有兼容性很好的杀毒程序。不过大致的原理套路一样：      

判断根目录下是否有autorun.inf和流行的U盘毒文件名，并加以 结束专门的病毒程序命令、删除命令和免疫命令来制造所谓的专杀程序。

接下来，病毒作者做了改进，让病毒的没有固定的名字，随机起。又把自身藏到了伪装“回收站”的文件夹里，把调用路径指向文件夹，所以在根目录下没有了可执行文件除此之外，还设置隐蔽、灵活的调用机制，让“民间的高手们”的方法“顿时失效”。

在专业的杀毒软件里，都存在判断性的漏洞--利用病毒特征码来判断U盘毒（其实也不算是漏洞，只是编写病毒的作者不断更新让人防不胜防而已），而病毒作者却会懂得把程序的二进制数据存储在脚本的字节数组里，逃过特征码引擎的追杀。

原理：脚本运行时，把数组里的数据写到临时文件夹里，还原病毒可执行文件，并激活，马上删除病毒文件，让你在磁盘上找不到它的踪影。也出现过利用Windows系统的文件名漏洞，没有文件名的病毒。其实也不神秘。就利用记事本“另存为”， 不写文件名只写后缀名“.exe”，这样就可以新建一个没有文件名的exe。然后，用“二进制编辑器”或“Visual C++”打开“没有文件名的文件”，把已经编译成EXE的病毒二进制数据粘贴进去，保存，就可以做一个“没有文件名的病毒”，逃过很多杀毒程序的追杀。呵呵！

更有“超高新技术”者，以“脚本”或“批处理”作为病毒的引导程序在存放在磁盘上， 把自身的可执行数据 存放在系统注册表的“二进制数值项”或“多字符串项”里，并不以独立的文件存放在磁盘上，对于那些只会文件扫描和注册表启动项扫描的杀毒软件来说，永远都找不到它。再有的是把引导程序注入到DLL文件里去，随着系统的DLL资源启动而启动，这样更隐蔽。

谈病毒的原理，就要拿个经典之作来跟大家分享一下。我尽量简单地说说，呵呵。

熊猫烧香，这个曾经轰动一时的病毒，以超强的破坏力著称：感染所有的EXE文件，在用户运行感染的程序文件时，让自身激活的同时又能让用户感觉上能正常地运行这个软件，并没有感觉这个软件已经感染了病毒。这样欺骗性和传播性就更厉害了！

其实，我最讨厌的却是“熊猫烧香”，它也属于用U盘传播类的病毒，我之所以讨厌它，并非是它的破坏力，而是它的技术太烂了！其实“熊猫”的感染全盘的EXE是外国早就有的“杰作”并非是作者“创新的技术”我讨厌它的抄袭行为。把别人的感染技术加上自己的D号功能，成为了举世无双的D号贼。不过继熊猫的变种作者更让我失望，没有太多的“创新”而是一脉继承“熊猫”，甚至破坏EXE的文件结构，让EXE无法运行和修改，自己也无法运行和更有力传播，在我眼里是个败笔！

说了这么多，就简单介绍下原理。

感染期：把“病毒体数据”和已存在的“正常软件数据”，混合为一个文件，再把原来的软件删除，“组合文件”改名为原来的文件名称，这样，就完成了一个感染过程。至于图标问题，熊猫烧香的后续版本做得也不好，没有考虑到尺寸问题，图标有点模糊，而很容易给人怀疑。在运行期原理：把原来的程序数据释放到当前文件夹里，起名为：“程序名exe.exe” 然后运行，正常的软件程序运行之后，马上删除掉。让你永远看到只是已感染的程序文件，而正常的却只是在霎那间出现。不过，这就给我们修复原来的软件程序提供了希望。

方法：
在NTFS文件系统下新建一个文件夹，把已感染的软件放到进去，设置修改权限：“列出文件目录”和“读取和运行”其他的都去钩。然后，运行已感染的文件，你就会看到该目录下有一个“软件名.exe.exe”的程序，这个就是原来的没感染的软件。你就可以利用熊猫本来就有的“修复功能”，帮你还原软件数据。还有一个方法，更简单，就是管理好你的用户“临时文件夹”！

“临时文件夹”就在你的当前用户的文件夹里，比如：C盘是系统盘，Administator用户“临时文件夹”： “C:\Documents and Settings\Administrator\Local Settings\Temp”把“Temp”的NTFS“权限”修改为“只读”，这样，熊猫就无法释放一个能删除你“原来程序文件”的“批处理文件”了。

（其实，熊猫在之所以能删除“原来的程序文件”，这和它释放在临时文件的“批处理删除命令”有关）如果系统盘不是NTFS，
无法通过权限去控制，怎么办呢？呵呵，这难不倒我！

找个有NTFS文件系统的盘，新建一个文件夹命名：temp。例如： “D:\Temp”设置其权限为“只读”权限。然后，到“我的电脑”--右键“属性”—“高级”—“环境变量”—把“Temp”和“Tmp”都修改为：刚才已经准备的“D:\Temp”。这样，“临时文件夹”就改了，给病毒设的“招待所”也改了！

熊猫除了以上的“表演”之外，据我研究的还可以局域网入侵，映像劫持，注册表监控等功能。
注册表监控功能主要是监控是否有人修改或删除了它的“启动项”、“隐藏设置项”“扩展名设置项”、“映像劫持项”
如果有，它又悄悄地修改回来，让你“无功而返”。

局域网入侵功能主要是往局域网内发送大量的探测数据包，看是否网内有弱口令用户，有！则试图进行入侵。或者往网内发送大量的垃圾数据包，占有网络资源。后来的变种，还发展到增加了ARP欺骗功能。不能不说是一个“创举”。

至于映像劫持技术，我们并不陌生。例如：很多人都在埋怨为什么安装了杀毒软件后还是中毒了。而且，中毒之后，杀毒软件也删除不了病毒，更有可笑的是，杀毒软件反倒给病毒“杀”了！ 06年后的U盘毒都具有这样的功能，主要是通过映像劫持技术（IFEO）。这所谓“技术”，说得专业点到可以说一大堆，但我倒不想拿这种专家的语气去复杂化问题了，那我们就来玩个游戏，让你桌面上的QQ失效，双击后打开变成一个Windows系统的“画图”工具这样，就会有思考的动力了，也可以在玩中学点东西，呵呵！

首先我们来打开：注册表编辑器


“开始”---“运行”—输入：regedit
找到一下把树形目录展开路径->HKEY_LOCAL_MACHINE ->SOFTWARE   ->Microsoft    ->Windows NT    ->CurrentVersion ->Image File Execution Options，找到了Image File Execution Options之后，单击选中右键菜单里:“新建”一个“项”，把新建的“项”右键-“重命名”为：QQ.exe

选中新建的QQ.exe “项”，在右边窗口里： 右键->“新建”->“字符串值”，把新建的“字符串值”右键-“重命名”为：Debugger

双击“字符串值”Debugger ：输入内容为：%SystemRoot%\system32\mspaint.exe，关闭注册表编辑器窗口，回到桌面，像往常一样打开QQ，看看！(如果输入内容为：%SystemRoot%\NOTEPAD.EXE（就会打开我们最熟悉的记事本，也可以修改为其他软件的路径)

这个就是映像劫持技术了！在此我只是劫持了“QQ”让它转去执行“画图”工具。

如果“项：名：nod32.exe （或者瑞星，江民等等杀毒软件的主程序名称也可以）而“字符串值” Debugger ：输入内容为：<病毒隐藏路径>\<病毒文件>.exe

那么，当你打开杀毒软件Nod32时，系统反而跑去运行Debugger里路径指定的病毒。这样就是所谓的杀毒软件被病毒给“杀”了的例子！

其实，一点都不神秘，只是巧妙地利用了系统的注册表功能而已。呵呵！但是，如果遇到杀毒软件无法启动，很可能是以上的注册表项出问题，你会看到很多杀毒软件的名字（有时觉得写毒的人考虑得挺周全的^_^，人家可是花了点心思哦）那你就得一个一个地删咯，当然在网上也有修复程序，自己找找去，呵呵！

不过，为了能保证以后都不再受“侵扰”我倒可给大家说说，就是对“Image File Execution Options”进行保护起来，怎么保护？

方法一：右键-“权限”，把所有用户的权限改为：只读。这样，病毒就不会再有往里面写“劫持”的权利了。

方法二：利用系统的限制策略来禁止“本地安全策略”里的“软件限制策略”->“路径规则”，加上“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”，同时也可以说免疫了这类病毒。但这又有给病毒作者“完善”病毒功能的一条重要的建议了，只希望不要给别有用心的人看到，呵呵！

除此之外，常常有人问我还有什么防毒免疫的“屎坑招”么？当然有，不过，又要增加很多字数，手挺累的！我就简单地提提吧，还可以用“本地安全策略”里的“软件限制策略”->“散列规则”限制指定病毒文件的散列码，或“路径规则”限制病毒常有见的躲藏路径。用“Internet区域规则”来限制IE浏览访问有毒的网站。

当然也可用“路径规则”来限制注册表里容易给病毒当“黑窝”，隐藏在里面的常见路径。还有用NTFS的“权限”来管理好用户的“临时文件夹”，在上网的时候，把“临时文件夹”权限设为“只读”，可以有效地预防浏览网页时中毒。因为临时文件夹是病毒进入你计算机的“第一站”，把这一“站”管好了，病毒很难有机会肆虐。还有就是利用以上介绍的病毒对付我们的招数，灵活地克制病毒，比如：病毒利用“映像劫持技术”来对付我们，我们为什么不可以用“映像劫持技术”来反过来对方病毒呢,哈哈！至于其他的，欢迎光临我的163博客或加Q361565529呵呵！

本来是说U盘毒的,说了半天,我都不知道瞎扯到哪里了，呵呵！接下来给大家些有效的U盘毒的防范措施，倒是有一个挺通用的方法，就是新建一个名为：autorun.inf的文件夹，注意是“文件夹”，然后在文件夹里新建一个名“带点”的文件夹。比如“abc..”至于这样的文件夹，不是要你右键新建文件夹，而是通过命令来新建可以写成批处理，也可以在CMD命令提示符里写。

那为什么要用命令来创建呢，那就要讲Windows的文件名管理了，Windows是不支持的，但命令提示符却是沿用了DOS系统的文件管理机制，这也算是Windows的一个漏洞，在vista给补上了，呵呵。其实，大家可以先尝试下，右键新建的文件夹名不能有点的，只有在命令下才能建立一个带点的文件夹具体操作：

“开始”-“运行”-输入：cmd
输入命令：md C:\autorun.inf
输入命令：md C:\autorun.inf\abc..\

你就会发现，C盘根目录下多了一个名字为：autorun.inf的文件夹，在文件夹里，你会发现一个名为：abc.的文件夹。
现在你可以尝试删除，重命名，复制剪切autorun.inf文件夹，都不支持操作，呵呵。

这样一招，利用系统的漏洞，保证你新建的autorun.inf无法被病毒修改和删除，这绝对是一个防毒的好措施。特别是在FAT32文件系统下，如果在NTFS文件系统下，还可以加上权限，让任何人都无法访问，病毒进来了，也没辙了。至于还想问我为什么，原理很简单：同一目录下，不能有“同名”的文件或者文件夹。病毒无法建立自己的autorun.inf，没有autorun.inf的支持，病毒是发威不起来的。当然，我刚刚介绍的那个以“文件夹图标”迷惑人的病毒除外。呵呵！

其实，带点的文件夹还有其他的用处哦！可以把个人的私隐常到里面去，呵呵！你双击是打不开的。要打开，必须用命令，要打开刚才名为：“ abc. ”文件夹（注意：只有一点），就要输入命令：start    C:\autorun.inf\abc..\   （注意：要有两点，而且一定要斜杠）
打开后，就可以把一些 “不见得光”  的东西放到里面去了，^_^哈哈！！

不知道的朋友也许会奇怪，为什么我老是提到用WinRar来查看。我们熟悉的压缩软件除了常用于压缩文件之外，还可以查看磁盘里的文件夹和文件，而且可让所有的“隐藏文件”“大白天下”、让文件的后缀名“露出尾巴”。对文件后缀名不是很懂，也可以根据“类型”查看属于哪类文件。我就解决了病毒修改了系统注册表，导致无法显示隐藏文件，而对病毒束手无策。

但是，道高一尺，魔高一丈！熊猫烧香出现之前，病毒变种为了防止我们利用WinRar 让它显形，在中毒后就禁止了WinRar程序的运行（WinRar一运行，马上就关闭）。我觉得这个编写病毒的作者想得还挺“周到”的,呵呵！没了WinRar，还可以用命令提示符CMD来运行，查看分区文件，但后来的病毒变种也想到了，也禁止了“命令提示符”的运行（Cmd.exe一运行就关闭了）呵呵，说到这里，我对病毒的“完善”过程感到挺高兴的，因为它在挑战我的“水平”，呵呵。

换个角度来说，能编写病毒，就证明是计算机技术上的高手！和病毒“作战”是一次和高手交流的机会。了解程序是如何巧妙地利用系统功能，研究病毒的运行机理，从中获得病毒作者的编程思路，是提高计算机应用水平的重要捷径，希望你也可以！      在文章结束时给大家介绍点小工具吧。在日常生活中还应该有些杀毒的伴侣小工具什么的，否则不可能老是凭着自己的“水平”用肉眼来查毒吧，呵呵。

“智能杀毒伴侣”这是一个很好的查看系统状态和进程状态的软件707K， “反黑辅助工具” 558K  ，“autoruns”注册表启动项查看工具。

“高级注册表编辑器”，一个可以自动生成“注册表导入文件（后缀.reg）”的工具，“光华反毒小工具”能快速地修复注册表的工具。
还有很多小工具，但功能都重复了，我就不再介绍。



[ 本帖最后由 chensefengbao 于 2009-5-9 19:24 编辑 ]

chensefengbao

是转贴

一下子丫

可以在标签下改成转载啊~

chensefengbao

“分享”不可以吗？  我觉得只要不写原创都可以吧   况且这个也可以属于分享吧？

backway

临时文件夹如果只读 平时安装不了软件。。
另外软件现在策略里添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options没用。

LZ转载的话附上文章来源，修改标题分类“转载”，之后再评分

chensefengbao

既然版主说话了 俺就照做了

suhuihot

头晕，好长！

丰田皇冠

有这么麻烦？我用卡巴，一插就删除病毒，真是东邪西毒！爽！

ffee

现在的autorun已经会自己删除畸形目录鸟

Thummer

这么长！慢慢看