Zkušenosti s útoky a obranou proti virům třídy Autorun.inf: Jak zkontrolovat a zničit virus Autorun.inf

72 2021-07-28 18:03

Záhadným duchům v kořenovém adresáři disku, kteří narušují bezpečnost systému, se říká "USB viry". Obává se jich nespočet uživatelů systému Windows. Tento článek je shrnutím mého vlastního výzkumu a zkušeností získaných při boji s viry na USB flash discích.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... Záhadným duchům v kořenovém adresáři, zabijákům bezpečnosti systému, se říká "viry USB flash disků". Nespočet uživatelů systému Windows se kvůli nim trápí. Tento článek je shrnutím mého výzkumu a zkušeností získaných při boji s viry na USB flash discích.   Dům USB flash disků

  Systém Windows 95 a novější má funkci "autorun". Jedná se o funkci, která se v systémech Windows 95 a novějších používá k automatickému spouštění spustitelných souborů definovaných v souboru Autorun.inf načtením souboru Autorun.inf na svazku disku při vložení svazku k získání vlastní ikony svazku v Průzkumníku a k úpravě kontextové nabídky pro ikonu svazku a pro některá média. Někteří hackeři v Číně vytvořili viry, které ukradly obsah USB klíčenek, zkopírovaly se na ně a pomocí souboru Autorun.inf se šířily. Tímto způsobem se šíří známé viry pseudo-ravmon, copy+host, sxs, Viking, Panda Burner a další. Někdy se jedná o záhadné duchy v kořenovém adresáři, jindy o odpadkové koše, které se objevují tam, kde nemají - zkrátka představují vážnou hrozbu pro bezpečnost systému.  Domovská stránka klíčenky USB

  Viry používají soubor Autorun.inf čtyřmi obecnými způsoby.

  1.

  OPEN=jméno souboru.exe

  Automatické spuštění. Pro mnoho uživatelů XPSP2 a Visty se však Autorun změnil na AutoPlay a nespustí jej automaticky, ale zobrazí okno s informací, co má uživatel udělat.

  2.

  shellAutocommand=jméno souboru.exe

  shell=Auto

  Úprava kontextové nabídky. Změňte výchozí položku na položku pro spuštění viru. Pokud však uživatel v tomto okamžiku klikne na ikonu pravým tlačítkem myši, okamžitě si všimne jejího rozbití. Obratnější virus změní název výchozí položky, ale co byste si pomysleli, kdybyste v nabídce pravého tlačítka myši na nečínském systému našli další bláboly nebo čínštinu?

  3.

  shellexecute=jméno souboru.exe

  ShellExecute=.... Jakmile je zavolána funkce ShellExecuteA/W při pokusu o otevření kořenového adresáře jednotky USB, virus se automaticky spustí. Tento druh je proti těm, kteří používají Win+R k otevření disku ztrátou písmene disku.    Domovská stránka jednotky USB

  4.

  shellopen=Open(&O)

  shellopenCommand=jméno souboru.EXE

  shellopenDefault=1

  shellexplore=Správce zdrojů(&X)

  Je to více matoucí a je to nová forma, která se objevila. Nabídka pravého tlačítka myši není na první pohled viditelná, ale v nečínském systému se zobrazí její původní podoba. Náhlému výskytu zkomolených kódů a čínských znaků je samozřejmě obtížné uniknout.

  Tváří v tvář těmto nebezpečím, zejména čtvrtému z nich, je obtížné zjistit, zda byl vyměnitelný disk otráven, jen na základě samotného Průzkumníka. V tomto případě si někteří lidé na základě vlastních zkušeností vytvořili také "imunizační" nástroje.

  Metody imunizace (pro výměnné a pevné disky)

  1. Adresáře se stejným názvem

  Adresář je v systému Windows zvláštní druh souboru a dva soubory ve stejném adresáři nemohou mít stejný název. Vytvoření nového adresáře "autorun.inf" v kořenovém adresáři vyměnitelného disku tedy zabrání vytvoření souboru autorun.inf viry, které s existencí této situace dříve nepočítaly, a sníží tak pravděpodobnost úspěšného šíření.    

  2. Nepovolené adresáře s názvy souborů pod autorun.inf

  Některé viry obsahují kód odolný proti chybám, který se pokouší odstranit adresář autorun.inf před vygenerováním souboru autorun.inf.

  V subsystému Win32 systému Windows NT jsou povoleny názvy adresářů jako "název souboru.", ale v zájmu zachování kompatibility se souborovým systémem DOS/Win9x 8.3 (. je nelegální), přímé volání funkcí pro vyhledávání adresářů ve standardním rozhraní API Win32 se nebude dotazovat na obsah takových adresářů a vrátí chybu. Chcete-li však odstranit adresář, musíte postupně odstranit celou stromovou strukturu pod ním, takže se musíte dotázat na obsah každého podadresáře pod ním. Proto je třeba vytvořit speciální adresář tohoto druhu v adresáři "autorun.inf" metodou "MD x:autorun.infyksoft...". Tím zabráníte snadnému odstranění adresáře autorun.inf. Podobně lze nativní rozhraní API použít k vytvoření adresářů s rezervovanými názvy pro systém DOS (např. con, lpt1, prn atd.) pro podobné účely.

  

  3. Řízení oprávnění NTFS

  Tvůrci virů jsou také hackeři a vědí o těchto několika funkcích systému Windows, které lze považovat za chyby. Mohou vytvořit program, který prohledá adresář a zjistí, že poslední bajt názvu adresáře je '.' pak přístupem k "dirfullname..." , nebo pomocí funkcí souborového systému v nativním rozhraní API systému Windows NT přímo připojit a odstranit daný adresář.

  Výsledkem je přístup nižší úrovně založený na řízení oprávnění souborového systému. Pokud naformátujete USB disk nebo vyměnitelnou jednotku jako souborový systém NTFS, vytvoříte adresář Autorun.inf a nastavíte jej tak, aby k němu neměl žádný uživatel oprávnění, virus jej nejen nebude moci odstranit, ale nebude ani schopen vypsat obsah adresáře.

  Tento přístup však není vhodný pro zařízení, jako jsou hudební přehrávače, které obvykle nepodporují systém NTFS.

  Tyto tři kroky jsou o krok lepší než další. Největší problém však nespočívá v tom, jak zabránit generování tohoto souboru autorun.inf, ale ve zranitelnosti samotného systému Explorer. Autoři viru brzy vytvoří robustnější řešení. Toto je moje předpověď.    Domovská stránka jednotky USB

  1, v kombinaci se zranitelností ANI, v autorun.inf nastavit ikonu na soubor ANI zranitelnosti Exploit (po mých experimentech jsem zjistil, že Windows má funkci, že i když změníte příponu ani na ico, stále můžete analyzovat ikonu), takže jakmile otevřete "Můj počítač". ", bude přímo ovlivněn neopravený neantivirový systém. Takovou věc lze také umístit do různých zdrojů ISO na internetu.

  2, zlepšit celkovou úroveň programování viru, kombinace výše uvedených různých metod proti imunizaci, kromě použití většiny domácích uživatelů systému Windows jsou často přihlášeni do systému s vysokými právy, automaticky žádná práva Autorun.inf adresář získat vlastnictví, plus čtení-zápis odstranit oprávnění prolomit tuto nejpevnější pevnost.

  Tváří v tvář tak hrozné věci nezbývá mnoho způsobů, jak se s ní vypořádat. Ve skutečnosti však představují základní řešení všech problémů se zabezpečením systému Windows.

  1. Vždy udržujte systém a bezpečnostní software aktuální. Ani pro pirátské uživatele Microsoft nezapomíná vydávat aktualizace zabezpečení důležité úrovně a nikdy se mu nepodařilo zahrnout protipirátské programy do aktualizací zabezpečení důležité úrovně.    

  2. snažte se používat systém a přistupovat k internetu s omezeným účtem, což sníží pravděpodobnost průniku virů do systému. důvod, proč Vista obsahuje funkci UAC, je právě ten, že umožňuje uživatelům využívat bezpečnost omezeného uživatele a zároveň být co nejpohodlnější.

  3. Do jisté míry lze říci, že QQ, IE a některé online hry, kde lze zařízení vyměnit za skutečné peníze a vše vyžaduje skutečné peníze, jsou "zdrojem všeho zla", což vede ke vzniku velkého množství autorů virů a trojských koní. Prostřednictvím mezer v IE vytvářejí webové trojské koně, instalují programy pro krádeže čísel, kradou účty a získávají RMB. IE je vlastně jedním z nejsnáze přerušitelných článků tohoto řetězce černého průmyslu. Chraňte systém, systém musí být aktualizován, mějte antivirový software, který dokáže zabránit webovým trojským koním, používejte IE Nezahrávejte si s různými malými stránkami ke stažení, pornografickými stránkami a dalšími rizikovými stránkami, a pokud je to možné, používejte prohlížeč s jiným motorem než IE.

  4, škodlivý přibalený software, který se nyní stále více blíží viru trojského koně. Sebeobranný program FSD HOOK některých malwarů mohou viry využívat k vlastní ochraně (např. incident SONY XCP), zatímco některé malwary jsou samy stahovatelem virů a trojských koní. Nedovolte proto, aby se k vašemu počítači dostali nepoctiví uživatelé.    Domovská stránka klíčenky USB

  Válka útoku a obrany proti Autorun.inf pokračuje a bude jen napínavější, protože bezpečnostní povědomí uživatelů internetu získá průlom v dichotomii a jednotě útoku a obrany.

  Zkušenosti s útoky a obranou proti virům třídy Autorun.inf: Jak zkontrolovat a zničit virus Autorun.inf

 

 

·