Erfahrung bei der Bekämpfung und Abwehr von Viren der Klasse Autorun.inf: Wie man den Virus Autorun.inf überprüft und tötet

66 2021-07-28 18:01

Die mysteriösen Geister im Stammverzeichnis der Festplatte, die Killer der Systemsicherheit, werden "USB-Viren" genannt. Unzählige Windows-Benutzer sind darüber besorgt. Dieser Artikel ist eine Zusammenfassung meiner eigenen Nachforschungen und der Erfahrungen, die ich bei der Bekämpfung von USB-Stick-Viren gemacht habe.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... Die mysteriösen Geister im Stammverzeichnis, die Killer der Systemsicherheit, werden "USB-Stick-Viren" genannt. Unzählige Windows-Benutzer sind darüber verärgert. Dieser Artikel ist eine Zusammenfassung meiner Nachforschungen und der Erfahrungen, die ich bei der Bekämpfung von USB-Stick-Viren gemacht habe.   Das Haus der USB-Flash-Laufwerke

  Ab Windows 95 gibt es eine "Autorun"-Funktion. Dies ist eine Funktion, die in Windows 95 und neueren Systemen verwendet wird, um die in Autorun.inf definierten ausführbaren Dateien automatisch auszuführen, indem die Datei Autorun.inf auf dem Datenträger gelesen wird, wenn der Datenträger eingelegt wird, um ein benutzerdefiniertes Symbol für den Datenträger im Explorer zu erhalten und um das Kontextmenü für das Datenträgersymbol und für bestimmte Medien zu ändern. Einige Hacker in China haben Viren entwickelt, die den Inhalt von USB-Sticks gestohlen und sich auf diese kopiert haben, um sich über Autorun.inf zu verbreiten. Der berühmte Pseudo-Ravmon, Copy+Host, sxs, Viking, Panda Burner und andere bekannte Viren verbreiten sich alle auf diese Weise. Manchmal sind es mysteriöse Geister im Stammverzeichnis, manchmal sind es Papierkörbe, die dort auftauchen, wo sie nicht hingehören - kurzum, sie sind eine ernsthafte Bedrohung für die Systemsicherheit.  Die Heimat des USB-Sticks

  Autorun.inf wird von Viren im Allgemeinen auf vier Arten verwendet

  1.

  OPEN=Dateiname.exe

  Automatisch ausgeführt. Aber für viele XPSP2-Benutzer und Vista-Benutzer hat sich Autorun in AutoPlay verwandelt und führt es nicht automatisch aus, sondern es erscheint ein Fenster, in dem steht, was Sie tun sollen.

  2.

  shellAutocommand=dateiname.exe

  shell=Auto

  Ändern Sie das Kontextmenü. Ändern Sie das Standardelement in das Element für den Virenstart. Klickt der Benutzer an dieser Stelle jedoch mit der rechten Maustaste auf das Symbol, wird der Bruch sofort bemerkt. Ein schlauerer Virus wird den Namen des Standardeintrags ändern, aber was würden Sie denken, wenn Sie im Rechtsklickmenü auf einem nicht-chinesischen System zusätzliches Kauderwelsch oder Chinesisch finden?

  3.

  shellexecute=Dateiname.exe

  ShellExecute=.... Sobald die Funktion ShellExecuteA/W aufgerufen wird und versucht, das Stammverzeichnis des USB-Laufwerks zu öffnen, wird der Virus automatisch ausgeführt. Diese Art ist gegen diejenigen, die Win+R verwenden, um die Diskette zu öffnen, indem sie den Diskettenbuchstaben verlieren.    Die Heimat des USB-Laufwerks

  4.

  shellopen=Öffnen(&O)

  shellopenCommand=Dateiname.EXE

  shellopenDefault=1

  shellexplore=Ressourcenmanager(&X)

  Dies ist eher verwirrend und eine neue Form, die sich entwickelt hat. Das Rechtsklickmenü ist auf den ersten Blick nicht sichtbar, aber auf einem nicht-chinesischen System wird die ursprüngliche Form sichtbar. Dem plötzlichen Auftauchen verstümmelter Codes und chinesischer Zeichen kann man natürlich nur schwer entkommen.

  Angesichts dieser Gefahren, insbesondere der vierten, ist es schwierig, allein anhand des Explorers zu erkennen, ob ein Wechseldatenträger vergiftet ist. In diesem Fall haben einige Personen auch "Immunisierungs"-Werkzeuge auf der Grundlage ihrer eigenen Erfahrungen entwickelt.

  Immunisierungsmethoden (für Wechseldatenträger und Festplatten)

  1. gleichnamige Verzeichnisse

  Ein Verzeichnis ist unter Windows eine besondere Art von Datei, und zwei Dateien im selben Verzeichnis können nicht denselben Namen haben. Das Anlegen eines neuen Verzeichnisses "autorun.inf" im Stammverzeichnis des Wechseldatenträgers verhindert also die Erstellung von autorun.inf durch Viren, die diese Situation vorher nicht berücksichtigt haben, und verringert die Wahrscheinlichkeit einer erfolgreichen Verbreitung.    

  2. unzulässige Dateinamenverzeichnisse unter autorun.inf

  Einige Viren enthalten einen fehlertoleranten Verarbeitungscode, der versucht, das Verzeichnis autorun.inf zu löschen, bevor er autorun.inf erzeugt.

  Unter dem Windows NT Win32-Subsystem sind Verzeichnisnamen wie "Dateiname." erlaubt, aber um die Kompatibilität mit dem DOS/Win9x 8.3-Dateisystem (. illegal ist), können direkte Aufrufe der Funktionen zum Nachschlagen von Verzeichnissen in der Standard-Win32-API den Inhalt solcher Verzeichnisse nicht nachschlagen und geben einen Fehler zurück. Um jedoch ein Verzeichnis zu löschen, müssen Sie die gesamte darunter liegende Baumstruktur Schritt für Schritt löschen, d. h. Sie müssen den Inhalt jedes darunter liegenden Unterverzeichnisses abfragen. Erstellen Sie daher ein spezielles Verzeichnis dieser Art im Verzeichnis "autorun.inf" mit einer Methode wie "MD x:autorun.infyksoft..." Dadurch wird verhindert, dass das Verzeichnis autorun.inf einfach gelöscht werden kann. In ähnlicher Weise kann die Native API verwendet werden, um Verzeichnisse mit reservierten DOS-Namen (z. B. con, lpt1, prn usw.) für ähnliche Zwecke zu erstellen.

  

  3. die NTFS-Berechtigungssteuerung

  Virenschöpfer sind auch Hacker und kennen diese wenigen Funktionen von Windows, die als Bugs angesehen werden können. Sie können ein Programm erstellen, das ein Verzeichnis durchsucht und feststellt, dass das letzte Byte eines Verzeichnisnamens '.' ist. dann durch Zugriff auf "dirfullname..." oder indem Sie die Dateisystemfunktionen in der nativen API von Windows NT verwenden, um sich direkt einzuschalten und das betreffende Verzeichnis zu löschen.

  Daraus ergibt sich ein Ansatz auf niedrigerer Ebene, der auf der Kontrolle der Dateisystemrechte basiert. Wenn Sie einen USB-Stick oder ein Wechsellaufwerk als NTFS-Dateisystem formatieren, das Verzeichnis "Autorun.inf" erstellen und es so einstellen, dass es keine Berechtigungen für einen Benutzer hat, kann der Virus es nicht nur nicht löschen, sondern nicht einmal den Inhalt des Verzeichnisses auflisten.

  Dieser Ansatz eignet sich jedoch nicht für Geräte wie Musik-Player, die NTFS normalerweise nicht unterstützen.

  Diese drei Schritte sind ein Schritt besser als der nächste. Das größte Problem ist jedoch nicht, wie man die Erzeugung dieser autorun.inf verhindern kann, sondern die Anfälligkeit des Systems selbst, des Explorers. Die Virenautoren werden bald eine robustere Lösung entwickeln. Dies ist meine Vorhersage.    Die Heimat des USB-Laufwerks

  1, kombiniert mit der ANI-Schwachstelle, in autorun.inf das Symbol auf eine ANI-Schwachstellen-Exploit-Datei setzen (nach meinen Experimenten fand ich heraus, dass Windows eine Funktion hat, mit der man das Symbol analysieren kann, selbst wenn man die ani-Erweiterung in ico ändert), so dass, sobald man "Arbeitsplatz" öffnet ", ist ein ungepatchtes System ohne Antivirenprogramm direkt betroffen. So etwas kann auch in verschiedenen Ressourcen-ISOs im Internet platziert werden.

  2, verbessern die allgemeine Programmierung Ebene des Virus, eine Kombination der oben genannten verschiedenen Anti-Immunisierung Methoden, zusätzlich zu der Verwendung der meisten inländischen Windows-Benutzer sind oft in das System mit hohen Privilegien angemeldet, automatisch keine Privilegien Autorun.inf Verzeichnis zu gewinnen, plus Lese-Schreib-Lösch-Berechtigungen, um durch diese solide Festung brechen.

  Angesichts einer so schrecklichen Sache gibt es nicht mehr viele Möglichkeiten, damit umzugehen. Sie sind jedoch die grundlegende Lösung für alle Windows-Sicherheitsprobleme.

  1. halten Sie Ihr System und Ihre Sicherheitssoftware immer auf dem neuesten Stand. Selbst für Raubkopierer gibt Microsoft immer wieder wichtige Sicherheitsupdates heraus und hat noch nie Anti-Piraterie-Programme in wichtige Sicherheitsupdates aufgenommen.    

  2. Versuchen Sie, das System zu benutzen und mit einem eingeschränkten Konto auf das Internet zuzugreifen, um die Wahrscheinlichkeit des Eindringens von Viren in das System zu verringern. Der Grund, warum Vista die UAC-Funktion enthält, ist genau der, dass sie es den Benutzern ermöglicht, die Sicherheit eines eingeschränkten Benutzers zu genießen und gleichzeitig so bequem wie möglich zu sein.

  3. in gewisser Weise kann man sagen, dass QQ, IE und einige Online-Spiele, bei denen Ausrüstung gegen echtes Geld getauscht werden kann und für alles echtes Geld benötigt wird, die "Quelle allen Übels" sind, die zum Auftauchen einer großen Anzahl von Viren- und Trojaner-Autoren führen. Durch IE-Schlupflöcher erstellen sie Web-Trojaner, installieren Programme zum Zahlendiebstahl, stehlen Konten und erhalten RMB. Der Internetanschluss ist eines der am leichtesten zu unterbrechenden Glieder in der Kette der schwarzen Industrie. Achten Sie darauf, dass Ihr System auf dem neuesten Stand ist, dass Sie über eine Antiviren-Software verfügen, die Web-Trojaner abwehren kann, dass Sie den IE verwenden, dass Sie sich nicht mit verschiedenen kleinen Download-Seiten, pornografischen Seiten und anderen risikoreichen Seiten herumschlagen und dass Sie, wenn möglich, einen Browser mit einer Nicht-IE-Engine verwenden.

  4, bösartige gebündelte Software, die dem Virus Trojaner immer ähnlicher wird. Das FSD HOOK-Selbstverteidigungsprogramm einiger Malware kann von Viren verwendet werden, um sich selbst zu schützen (z. B. SONY XCP-Vorfall), während einige Malware selbst ein Downloader für Viren und Trojaner ist. Lassen Sie daher keine Schurken in die Nähe Ihres Rechners.    Die Heimat des USB-Sticks

  Der Krieg zwischen Angriff und Verteidigung gegen Autorun.inf geht weiter und wird nur noch spannender werden, wenn das Sicherheitsbewusstsein der Internetnutzer einen Durchbruch in der Dichotomie und Einheit von Angriff und Verteidigung erfährt.

  Erfahrung bei der Bekämpfung und Abwehr von Viren der Klasse Autorun.inf: Wie man den Virus Autorun.inf überprüft und tötet

 

 

·