Expérience en matière d'attaque et de défense contre les virus de la classe Autorun.inf : comment vérifier et tuer le virus Autorun.inf

163 2021-07-28 18:02

Les mystérieux fantômes dans le répertoire racine du disque, les tueurs de la sécurité du système, sont appelés "virus USB". D'innombrables utilisateurs de Windows s'en inquiètent. Cet article est un résumé de mes propres recherches et des leçons tirées de la lutte contre les virus des clés USB.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... Les mystérieux fantômes dans le répertoire racine, les tueurs de la sécurité du système, sont appelés "virus de clé USB". D'innombrables utilisateurs de Windows s'en inquiètent. Cet article est un résumé de mes recherches et des leçons tirées de la lutte contre les virus des clés USB.   La Maison des clés USB

  À partir de Windows 95, il existe une fonction de "lancement automatique". Il s'agit d'une fonction utilisée dans les systèmes Windows 95 et ultérieurs pour exécuter automatiquement les fichiers exécutables définis dans Autorun.inf en lisant le fichier Autorun.inf sur le volume du disque lorsque le volume est inséré ; pour obtenir une icône personnalisée pour le volume dans l'Explorateur et pour modifier le menu contextuel pour l'icône du volume, et pour certains médias. Certains pirates chinois ont créé des virus qui volent le contenu des clés USB et s'y copient pour utiliser Autorun.inf afin de se propager. Les célèbres pseudo-ravmon, copy+host, sxs, Viking, Panda Burner et autres virus célèbres se propagent tous de cette manière. Il s'agit parfois de mystérieux fantômes dans le répertoire racine, parfois de poubelles de recyclage qui apparaissent là où elles ne devraient pas - en bref, ils constituent une menace sérieuse pour la sécurité du système.  La maison de la clé USB

  Autorun.inf est utilisé par les virus de quatre façons générales

  1.

  OPEN=filename.exe

  Exécution automatique. Mais pour de nombreux utilisateurs de XPSP2 et de Vista, Autorun s'est transformé en AutoPlay et ne lancera pas le programme automatiquement, il fera apparaître une fenêtre indiquant ce qu'il veut que vous fassiez.

  2.

  shellAutocommand=filename.exe

  shell=Auto

  Modifiez le menu contextuel. Remplacez l'élément par défaut par l'élément de lancement du virus. Cependant, à ce stade, si l'utilisateur clique avec le bouton droit de la souris sur l'icône, la rupture est immédiatement remarquée. Un virus plus avisé changera le nom de l'élément par défaut, mais que penseriez-vous si vous trouviez du charabia ou du chinois supplémentaire dans le menu du clic droit sur un système non chinois ?

  3.

  shellexecute=filename.exe

  ShellExecute=.... Dès que la fonction ShellExecuteA/W est appelée pour tenter d'ouvrir le répertoire racine de la clé USB, le virus s'exécute automatiquement. Ce type est contre ceux qui utilisent Win+R pour ouvrir le disque en perdant la lettre du disque.    La maison de la clé USB

  4.

  shellopen=Open(&O)

  shellopenCommand=filename.EXE

  shellopenDefault=1

  shellexplore=Resource Manager(&X)

  C'est plus confus et c'est une nouvelle forme qui a émergé. Le menu du clic droit n'est pas visible à première vue, mais sur un système non chinois, la forme originale est révélée. Il est bien sûr difficile d'échapper à l'apparition soudaine de codes brouillés et de caractères chinois.

  Face à ces dangers, notamment le quatrième, il est difficile de savoir si un disque amovible a été empoisonné en se fiant uniquement à l'Explorer lui-même. Dans ce cas, certaines personnes ont également créé des outils de "vaccination" sur la base de leur propre expérience.

  Méthodes d'immunisation (pour les disques amovibles et les disques durs)

  1. les répertoires portant le même nom

  Un répertoire est un type spécial de fichier sous Windows, et deux fichiers dans le même répertoire ne peuvent pas avoir le même nom. Ainsi, la création d'un nouveau répertoire "autorun.inf" dans le répertoire racine du disque amovible empêche la création de autorun.inf par des virus qui n'ont pas envisagé l'existence de cette situation plus tôt, ce qui réduit la probabilité de réussite de la propagation.    

  2. répertoires de noms de fichiers illégaux sous autorun.inf

  Certains virus intègrent un code de traitement tolérant aux pannes qui tente de supprimer le répertoire autorun.inf avant de générer le fichier autorun.inf.

  Sous le sous-système Windows NT Win32, les noms de répertoire tels que "nom de fichier." sont autorisés, mais afin de maintenir la compatibilité avec le système de fichiers DOS/Win9x 8.3 (. est illégal), les appels directs aux fonctions de consultation des répertoires dans l'API Win32 standard n'interrogeront pas le contenu de ces répertoires et renverront une erreur. Cependant, pour supprimer un répertoire, il faut supprimer toute l'arborescence qui le sous-tend, étape par étape, et donc interroger le contenu de chacun des sous-répertoires qui le composent. Il faut donc créer un répertoire spécial de ce type dans le répertoire "autorun.inf", avec une méthode telle que "MD x:autorun.infyksoft...". Cela empêchera le répertoire autorun.inf d'être facilement supprimé. De même, l'API native peut être utilisée pour créer des répertoires avec des noms réservés DOS (par exemple con, lpt1, prn, etc.) à des fins similaires.

  

  3. Contrôle des autorisations NTFS

  Les créateurs de virus sont également des pirates informatiques et connaissent ces quelques fonctionnalités de Windows qui peuvent être considérées comme des bogues. Ils peuvent créer un programme qui parcourt un répertoire et trouve que le dernier octet d'un nom de répertoire est '.'. puis en accédant à "dirfullname..." ou en utilisant les fonctions du système de fichiers dans l'API native de Windows NT pour se connecter directement et supprimer ce répertoire particulier.

  Par conséquent, une approche de niveau inférieur basée sur le contrôle des autorisations du système de fichiers émerge. En formatant une clé USB ou un disque amovible en tant que système de fichiers NTFS, en créant le répertoire Autorun.inf et en le configurant pour qu'il n'ait aucune autorisation pour aucun utilisateur, le virus ne pourra non seulement pas le supprimer, mais il ne pourra même pas répertorier le contenu du répertoire.

  Cependant, cette approche n'est pas adaptée aux appareils tels que les lecteurs de musique qui ne prennent normalement pas en charge NTFS.

  Ces trois étapes sont une étape de plus que la suivante. Cependant, le plus gros problème n'est pas de savoir comment empêcher la génération de ce autorun.inf, mais la vulnérabilité du système lui-même, Explorer. Les auteurs du virus vont bientôt proposer une solution plus robuste. Voici ma prédiction.    La maison de la clé USB

  1, combiné avec la vulnérabilité ANI, dans autorun.inf définir l'icône à un fichier d'exploitation de la vulnérabilité ANI (après mes expériences, j'ai trouvé que Windows a une fonctionnalité que même si vous changez l'extension ani à ico, vous pouvez toujours analyser l'icône), de sorte que dès que vous ouvrez "Mon ordinateur "Un système non corrigé et non antivirus sera directement affecté. Une telle chose peut également être placée dans divers ISO de ressources sur Internet.

  2, améliorer le niveau de programmation global du virus, une combinaison des diverses méthodes anti-immunité ci-dessus, en plus de l'utilisation de la plupart des utilisateurs domestiques de Windows sont souvent connectés au système avec des privilèges élevés, automatiquement aucun privilège Autorun.inf répertoire pour obtenir la propriété, plus les autorisations de lecture-écriture de suppression pour briser cette forteresse la plus solide.

  Face à une chose aussi horrible, il n'y a plus beaucoup de moyens d'y faire face. Mais ils constituent en fait la solution de base à tous les problèmes de sécurité des fenêtres.

  1) Maintenez toujours votre système et vos logiciels de sécurité à jour. Même pour les utilisateurs pirates, Microsoft ne manque pas de fournir des mises à jour de sécurité de niveau important et n'a jamais eu l'habitude d'inclure des programmes anti-piratage dans les mises à jour de sécurité de niveau important.    

  2. essayez d'utiliser le système et d'accéder à Internet avec un compte restreint, ce qui réduira la probabilité que des virus pénètrent dans le système. la raison pour laquelle Vista inclut la fonction UAC est précisément qu'elle permet aux utilisateurs de bénéficier de la sécurité d'un utilisateur restreint tout en étant aussi pratique que possible.

  3) Dans une certaine mesure, on peut dire que QQ, IE et certains jeux en ligne où le matériel peut être échangé contre de l'argent réel et où tout nécessite de l'argent réel sont la "source de tous les maux", ce qui entraîne l'émergence d'un grand nombre de virus et de chevaux de Troie. Grâce aux failles de l'IE, ils créent des chevaux de Troie web, installent des programmes de vol de numéros, volent des comptes et obtiennent des RMB. IE est en fait l'un des maillons les plus faciles à couper dans la chaîne de l'industrie noire. Chérissez le système, il doit être mis à jour, disposez d'un logiciel antivirus capable de prévenir les chevaux de Troie sur le Web, utilisez IE Ne vous frottez pas aux divers sites de petits téléchargements, aux sites pornographiques et autres sites à haut risque, et si possible, utilisez un navigateur dont le moteur n'est pas IE.

  4, les logiciels malveillants groupés, maintenant de plus en plus proche du virus cheval de Troie. Le programme d'autodéfense FSD HOOK de certains logiciels malveillants peut être utilisé par des virus pour se protéger (par exemple, l'incident SONY XCP), tandis que certains logiciels malveillants sont eux-mêmes des téléchargeurs de virus et de chevaux de Troie. Par conséquent, ne laissez pas les voyous s'approcher de votre machine.    La maison de la clé USB

  La guerre de l'attaque et de la défense contre Autorun.inf se poursuit et ne fera que s'intensifier au fur et à mesure que la conscience de la sécurité des internautes fera une percée dans la dichotomie et l'unité de l'attaque et de la défense.

  

 

 

·