Ervaring in het aanvallen en verdedigen van Autorun.inf klasse virussen: Hoe te controleren en te doden Autorun.inf virus

124 2021-07-28 18:02

De mysterieuze geesten in de hoofddirectory van de schijf, de moordenaars van de systeemveiligheid, worden "USB-virussen" genoemd. Talloze Windows-gebruikers maken zich zorgen over hen. Dit artikel is een samenvatting van mijn eigen onderzoek en de lessen die ik heb geleerd bij het bestrijden van USB flash drive virussen.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... De mysterieuze geesten in de root directory, de moordenaars van de systeemveiligheid, worden "USB flash drive virussen" genoemd. Talloze Windows-gebruikers maken zich er zorgen over. Dit artikel is een samenvatting van mijn onderzoek en de lessen die ik heb geleerd bij het bestrijden van USB flash drive virussen.   Het huis van USB sticks

  Windows 95 en later hebben een "autorun" functie. Dit is een functie die in Windows 95 en latere systemen wordt gebruikt om de uitvoerbare bestanden die in Autorun.inf zijn gedefinieerd automatisch uit te voeren door het Autorun.inf-bestand op het schijfvolume te lezen wanneer het volume wordt geplaatst om een aangepast pictogram voor het volume in Verkenner te verkrijgen en om het contextmenu voor het pictogram van het volume en voor bepaalde media te wijzigen. Sommige hackers in China hebben virussen gecreëerd die de inhoud van USB-sticks hebben gestolen en zichzelf daarop hebben gekopieerd om zich via Autorun.inf te verspreiden. De bekende pseudo-ravmon, copy+host, sxs, Viking, Panda Burner en andere bekende virussen verspreiden zich allemaal op deze manier. Soms zijn het mysterieuze spoken in de hoofddirectory, soms zijn het prullenbakken die verschijnen waar ze niet horen - kortom, ze zijn een ernstige bedreiging voor de veiligheid van het systeem.  De thuisbasis van de USB-stick

  Autorun.inf wordt door virussen op vier algemene manieren gebruikt

  1.

  OPEN=filename.exe

  Automatisch lopen. Maar voor veel XPSP2 gebruikers en Vista gebruikers, is Autorun veranderd in AutoPlay en zal het niet automatisch starten, maar zal het een venster oproepen dat zegt wat het wil dat je doet.

  2.

  shellAutocommand=filename.exe

  shell=Auto

  Wijzig het contextmenu. Verander het standaard item in het start item van het virus. Als de gebruiker nu echter met de rechtermuisknop op het pictogram klikt, wordt de breuk onmiddellijk opgemerkt. Een gewiekst virus zal de naam van het standaarditem veranderen, maar wat zou u denken als u extra gebrabbel of Chinees aantrof in het rechtsklikmenu op een niet-Chinees systeem?

  3.

  shellexecute=filename.exe

  ShellExecute=.... Zodra de functie ShellExecuteA/W wordt aangeroepen in een poging om de hoofddirectory van de USB-drive te openen, wordt het virus automatisch uitgevoerd. Dit soort is tegen degenen die Win+R gebruiken om de schijf te openen door de schijfletter kwijt te raken.    Home of the USB drive

  4.

  shellopen=Open(&O)

  shellopenCommand=filename.EXE

  shellopenDefault=1

  shellexplore=Bronnenbeheerder(&X)

  Dit is verwarrender en is een nieuwe vorm die is opgekomen. Het rechtsklikmenu is op het eerste gezicht niet zichtbaar, maar op een niet-Chinees systeem wordt de oorspronkelijke vorm onthuld. Het plotseling verschijnen van vervormde codes en Chinese karakters is natuurlijk moeilijk te ontlopen.

  In het licht van dit gevaar, vooral het vierde, is het moeilijk om uit te maken of een verwisselbare schijf vergiftigd is door alleen op Verkenner zelf te vertrouwen. In dit geval hebben sommige mensen ook "immunisatie"-instrumenten gemaakt op basis van hun eigen ervaring.

  Immunisatiemethoden (voor verwijderbare schijven en harde schijven)

  1. Directories met dezelfde naam

  Een map is een speciaal soort bestand onder Windows, en twee bestanden in dezelfde map kunnen niet dezelfde naam hebben. Door een nieuwe directory "autorun.inf" aan te maken in de hoofddirectory van de verwisselbare schijf wordt dus voorkomen dat autorun.inf wordt aangemaakt door virussen die niet eerder aan het bestaan van deze situatie hebben gedacht, waardoor de kans op een succesvolle verspreiding wordt verkleind.    

  2. Onwettige bestandsnaammappen onder autorun.inf

  Sommige virussen bevatten fouttolerante verwerkingscode die probeert de map autorun.inf te verwijderen voordat autorun.inf wordt gegenereerd.

  Onder het Windows NT Win32 subsysteem zijn directorynamen als "bestandsnaam." toegestaan, maar om compatibiliteit met het DOS/Win9x 8.3 bestandssysteem te behouden (. illegaal is), zullen directe oproepen naar de opzoekfuncties in de standaard Win32 API de inhoud van dergelijke mappen niet opvragen en een fout teruggeven. Om een directory te verwijderen moet je echter stap voor stap de hele boomstructuur eronder verwijderen, dus moet je de inhoud van elke subdirectory eronder doorzoeken. Maak daarom zo'n speciale map aan in de map "autorun.inf", met een methode als "MD x:autorun.infyksoft..." Dit voorkomt dat de map autorun.inf gemakkelijk kan worden verwijderd. Op dezelfde manier kan de Native API worden gebruikt om mappen te maken met DOS gereserveerde namen (b.v. con, lpt1, prn, enz.) voor soortgelijke doeleinden.

  

  3. Controle van NTFS-toestemmingen

  De makers van virussen zijn ook hackers en weten van die paar functies van Windows die als bugs kunnen worden beschouwd. Zij kunnen een programma maken dat een map scant en ontdekt dat de laatste byte van een mapnaam '.' is. dan door toegang te krijgen tot "dirfullname..." , of door gebruik te maken van de bestandssysteem functies in Windows NT's Native API om direct in te pluggen en die specifieke directory te verwijderen.

  Als gevolg daarvan ontstaat een aanpak op een lager niveau, gebaseerd op de controle van de toestemming van het bestandssysteem. Door een USB-stick of verwisselbare schijf te formatteren als een NTFS-bestandssysteem, de map Autorun.inf aan te maken en deze zo in te stellen dat geen enkele gebruiker er rechten voor heeft, zal het virus niet alleen niet in staat zijn deze te verwijderen, maar zelfs niet in staat zijn de inhoud van de map op te sommen.

  Deze aanpak is echter niet geschikt voor apparaten zoals muziekspelers, die normaal NTFS niet ondersteunen.

  Deze drie stappen zijn de ene stap beter dan de andere. Het grootste probleem is echter niet hoe te voorkomen dat deze autorun.inf wordt gegenereerd, maar de kwetsbaarheid van het systeem zelf, Explorer. De makers van het virus zullen binnenkort een meer robuuste oplossing maken. Dit is mijn voorspelling.    Home of the USB drive

  1, gecombineerd met de ANI-kwetsbaarheid, in autorun.inf het pictogram instellen op een ANI-kwetsbaarheid Exploit-bestand (na mijn experimenten, ontdekte ik dat Windows een functie heeft die zelfs als je de ani-extensie verandert in ico, je nog steeds het pictogram kunt ontleden), zodat zodra je "Deze computer" opent ", zal een ongepatcht, niet-antivirus systeem direct getroffen worden. Zoiets kan ook worden geplaatst in verschillende resource ISO's op het internet.

  2, verbetering van de algemene programmering niveau van het virus, een combinatie van de bovenstaande verschillende anti-immuniteit methoden, in aanvulling op het gebruik van de meeste binnenlandse Windows-gebruikers zijn vaak ingelogd op het systeem met hoge privileges, automatisch geen privileges Autorun.inf directory om de eigendom te krijgen, plus lees-schrijf verwijder machtigingen om te breken door middel van deze meest solide vesting.

  Geconfronteerd met zoiets afschuwelijks, zijn er niet veel manieren meer om er mee om te gaan. Maar ze zijn in feite de basisoplossing voor alle Windows beveiligingsproblemen.

  1. Zorg ervoor dat uw systeem en beveiligingssoftware altijd up-to-date zijn. Zelfs voor piraatgebruikers geeft Microsoft belangrijke beveiligingsupdates en heeft het nooit een reputatie gehad anti-piraterijprogramma's in belangrijke beveiligingsupdates op te nemen.    

  2. probeer het systeem te gebruiken en toegang te krijgen tot het Internet met een beperkte account, waardoor de kans dat virussen het systeem binnendringen kleiner wordt. de reden waarom Vista de UAC-functie bevat is juist dat het gebruikers in staat stelt te genieten van de veiligheid van een beperkte gebruiker terwijl het zo handig mogelijk is.

  3. Tot op zekere hoogte kan worden gezegd dat QQ, IE en sommige online games waar apparatuur kan worden ingewisseld voor echt geld en voor alles echt geld nodig is, de "bron van alle kwaad" zijn die leidt tot de opkomst van een groot aantal virus- en trojaanse schrijvers. Via IE achterpoortjes creëren ze web Trojaanse paarden, installeren ze programma's om nummers te stelen, stelen ze accounts en verkrijgen ze RMB. IE is eigenlijk een van de gemakkelijkste schakels in deze zwarte industrieketen om door te knippen. Koester het systeem, het systeem moet worden geüpdatet, beschik over anti-virussoftware die web Trojaanse paarden kan voorkomen, gebruik IE rommel niet met allerlei kleine download sites, pornografische sites en andere risicovolle sites, en gebruik indien mogelijk een browser met een niet-IE motor.

  4, kwaadaardige gebundelde software, nu steeds dichter bij het virus Trojaans paard. Het FSD HOOK zelfverdedigingsprogramma van sommige malware kan door virussen worden gebruikt om zichzelf te beschermen (b.v. SONY XCP incident), terwijl sommige malware zelf een downloader is van virussen en trojans. Laat schurken daarom niet in de buurt van uw machine komen.    De thuisbasis van de USB-stick

  De oorlog van aanval en verdediging tegen Autorun.inf gaat door en zal alleen maar spannender worden naarmate het veiligheidsbewustzijn van Internetgebruikers een doorbraak krijgt in de dichotomie en eenheid van aanval en verdediging.

  Ervaring in het aanvallen en verdedigen van Autorun.inf klasse virussen: Hoe te controleren en te doden Autorun.inf virus

 

 

·