|
目前,U盤病毒的情況非常嚴(yán)重��,幾乎所有帶病毒的U盤�,根目錄里都有一個(gè)autorun.inf。右鍵菜單多了“自動(dòng)播放”�、“Open”、“Browser”等項(xiàng)目�。由于我們習(xí)慣用雙擊來打開磁盤,但現(xiàn)在我們雙擊��,通常不是打開U盤,而是讓autorun.inf里所設(shè)的程序自動(dòng)播放�����。所以對于很多人來說相當(dāng)麻煩�����。其實(shí)Autorun.inf被病毒利用一般有4種方式
OPEN=filename.exe自動(dòng)運(yùn)行�����。
但是對于很多XPSP2用戶和Vista用戶����,Autorun已經(jīng)變成了AutoPlay,不會(huì)自動(dòng)運(yùn)行它��,會(huì)彈出窗口說要你干什么��。
shellAutocommand=filename.exe
shell=Auto
修改上下文菜單��。把默認(rèn)項(xiàng)改為病毒的啟動(dòng)項(xiàng)��。但此時(shí)只要用戶在圖標(biāo)上點(diǎn)擊右鍵�,馬上發(fā)現(xiàn)破綻�����。聰明點(diǎn)的病毒會(huì)改默認(rèn)項(xiàng)的名字����,但如果你在非中文的系統(tǒng)下發(fā)現(xiàn)右鍵菜單里多出了亂碼或者中文���,你會(huì)認(rèn)為是什么呢?
shellexecute=filename.exe
ShellExecute=....只要調(diào)用ShellExecuteA/W函數(shù)試圖打開U盤根目錄����,病毒就會(huì)自動(dòng)運(yùn)行。這種是對付那些用Win+R輸盤符開盤的人�。
shellopen=打開(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)
這種迷惑性較大,是新出現(xiàn)的一種形式�����。右鍵菜單一眼也看不出問題���,但是在非中文的系統(tǒng)下����,原形畢露。突然出現(xiàn)的亂碼�、中文當(dāng)然難逃法眼。
面對這種危險(xiǎn)�,尤其是第四種,僅僅依靠Explorer本身�,已經(jīng)很難判斷可移動(dòng)磁盤是否已經(jīng)中毒。而在這種情況下�����,一部分人也根據(jù)自己的經(jīng)驗(yàn)��,做出了“免疫”工具�����。
免疫的辦法��,對可移動(dòng)磁盤和硬盤
1�、同名目錄
目錄在Windows下是一種特殊的文件,而兩個(gè)同一目錄下的文件不能同名���。于是����,新建一個(gè)目錄“autorun.inf”在可移動(dòng)磁盤的根目錄,可以防止早期未考慮這種情況存在的病毒創(chuàng)建autorun.inf�����,減少傳播成功的概率�。
2、autorun.inf下的非法文件名目錄
有些病毒加入了容錯(cuò)處理代碼�����,在生成autorun.inf之前先試圖刪除autorun.inf目錄��。在Windows NT Win32子系統(tǒng)下��,諸如“filename.”這樣的目錄名是允許存在的����,但是為了保持和DOS/Win9x的8.3文件系統(tǒng)的兼容性(.后為空非法)����,直接調(diào)用標(biāo)準(zhǔn)Win32 API中的目錄查詢函數(shù)是無法查詢這類目錄中的內(nèi)容的,會(huì)返回錯(cuò)誤���。但是��,刪除目錄必須要逐級刪除其下的整個(gè)樹形結(jié)構(gòu)��,因此必須查詢其下每個(gè)子目錄的內(nèi)容���。因此�,在“autorun.inf”目錄建立一個(gè)此類特殊目錄“MDx:autorun.infyksoft..”��,可以防止autorun.inf目錄輕易被刪除��。類似的還有利用Native API創(chuàng)建使用DOS保留名的目錄(如con�、lpt1、prn等)也能達(dá)到相似的目的����。
3、NTFS權(quán)限控制
病毒制造者也是黑客����,知道Windows的這幾個(gè)可算是Bug的功能。他們可以做一個(gè)程序��,掃描目錄時(shí)發(fā)現(xiàn)某目錄名最后一個(gè)字節(jié)為'.'則通過訪問“dirfullname..”����、或者通過利用Windows NT的Native API中的文件系統(tǒng)函數(shù)直接插手�,刪除該特殊目錄����。
因此,基于更低層的文件系統(tǒng)權(quán)限控制的辦法出現(xiàn)了����。將U盤、移動(dòng)硬盤格式化為NTFS文件系統(tǒng)�����,創(chuàng)建Autorun.inf目錄���,設(shè)置該目錄對任何用戶都沒有任何權(quán)限�,病毒不僅無法刪除�����,甚至無法列出該目錄內(nèi)容��。但是��,該辦法不適合于音樂播放器之類通常不支持NTFS的設(shè)備�。
這三步可謂是一步比一步精彩。但是�,最大的問題不在怎么防止生成這個(gè)autorun.inf上,而是系統(tǒng)本身��、Explorer的脆弱性����。病毒作者很快就會(huì)做出更強(qiáng)大的方案。這是我的預(yù)想����。
1、結(jié)合ANI漏洞�����,在autorun.inf里將icon設(shè)成一個(gè)ANI漏洞的Exploit文件(經(jīng)過我的實(shí)驗(yàn)����,發(fā)現(xiàn)Windows有一種特性,就算把a(bǔ)ni擴(kuò)展名改為ico�,還是可以解析出圖標(biāo)),這樣只要一打開“我的電腦”�,未打補(bǔ)丁、沒有殺毒軟件的系統(tǒng)就會(huì)直接遭殃。這樣的東西還可以放到網(wǎng)上的各種資源ISO中�����。
2�、提高病毒的整體編程水平,綜合以上各種反免疫方式�����,另外利用多數(shù)國內(nèi)windows用戶常以高權(quán)限登錄系統(tǒng)的特點(diǎn)��,自動(dòng)將沒有權(quán)限的Autorun.inf目錄獲得所有權(quán)�����、加讀寫刪除權(quán)限�,擊破這最堅(jiān)固的堡壘。
基本防護(hù)方法
面對如此恐怖的東西��,對付的辦法已經(jīng)不多了���。但是它們其實(shí)是一切Windows安全問題的基本解決方案:
- 一定要將系統(tǒng)和安全軟件保持在最新狀態(tài)。即使是盜版用戶����,微軟也不會(huì)不給重要級別的安全更新�,也從來沒有過在重要級別安全更新中加入反盜版程序的記錄�。
- 盡量以受限制的賬戶使用系統(tǒng)和上網(wǎng),這樣可以減少病毒進(jìn)入系統(tǒng)的概率�����。Vista之所以加入U(xiǎn)AC功能�����,正是因?yàn)樗軌蚴褂脩粼诒M量方便的同時(shí)����,享受到受限用戶的安全。
- 某種程度上����,可以說QQ、IE和某些裝備能換真錢�、什么都要真錢的網(wǎng)絡(luò)游戲是導(dǎo)致大量病毒木馬編寫者出現(xiàn)的“萬惡之源”。通過IE漏洞�����,制作網(wǎng)頁木馬,安裝盜號程序�����,盜取賬號�����,獲得人民幣��。這條黑色產(chǎn)業(yè)鏈中�����,IE其實(shí)是最容易剪斷的一環(huán)�。珍愛系統(tǒng),系統(tǒng)一定要更新����,要有能防止網(wǎng)頁木馬的殺毒軟件,用IE不要亂上各種小型下載站�、色情網(wǎng)站等高危站點(diǎn),如果有可能�,使用非IE引擎的瀏覽器。
- 惡意捆綁軟件���,現(xiàn)在越來越和病毒木馬接近��。部分惡意軟件的FSD HOOK自我防御程序可能被病毒利用來保護(hù)自己(如SONY XCP事件)��,而一些惡意軟件本身就是一個(gè)病毒木馬的下載器�。因此�,不要讓流氓接近你的機(jī)器。
本文鏈接:http://www.95time.cn 
出處:賽迪網(wǎng)
責(zé)任編輯:bluehearts
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|
