Experiência no ataque e na defesa dos vírus da classe Autorun.inf: Como verificar e matar o vírus Autorun.inf

65 2021-07-28 18:03

Os misteriosos fantasmas no diretório raiz do disco, os assassinos da segurança do sistema, são chamados de "vírus USB". Inúmeros usuários do Windows estão preocupados com eles. Este artigo é um resumo de minhas próprias pesquisas e lições aprendidas no combate aos vírus das pen drives USB.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... Os misteriosos fantasmas no diretório raiz, os assassinos da segurança do sistema, são chamados de "vírus de pen drive USB". Inúmeros usuários do Windows estão se preocupando com eles. Este artigo é um resumo de minhas pesquisas e lições aprendidas no combate aos vírus da unidade flash USB.   A Casa das Unidades Flash USB

  O Windows 95 em diante tem um recurso de "autorun". Este é um recurso utilizado nos sistemas Windows 95 e posteriores para executar automaticamente os arquivos executáveis definidos no Autorun.inf, lendo o arquivo Autorun.inf no volume do disco quando o volume é inserido para obter um ícone personalizado para o volume no Explorer e para modificar o menu de contexto para o ícone do volume, e para certas mídias. Alguns hackers na China criaram vírus que roubaram o conteúdo de bastões USB e se copiaram neles para usar o Autorun.inf para se espalhar. O famoso pseudo-ravmon, copy+host, sxs, Viking, Panda Burner e outros vírus famosos se disseminam desta forma. Algumas vezes eles são fantasmas misteriosos no diretório raiz, outras vezes são caixas de reciclagem que aparecem onde não deveriam - em resumo, eles são uma séria ameaça à segurança do sistema.  Página inicial do dispositivo USB

  Autorun.inf é usado por vírus de quatro maneiras gerais

  1.

  OPEN=filename.exe

  Funcionamento automático. Mas para muitos usuários do XPSP2 e usuários do Vista, o Autorun se transformou em AutoPlay e não o executará automaticamente, ele abrirá uma janela dizendo o que ele quer que você faça.

  2.

  shellAutocommand=filename.exe

  shell=Auto

  Modificar o menu de contexto. Mude o item padrão para o item de lançamento de vírus. Entretanto, neste ponto, se o usuário clicar com o botão direito do mouse sobre o ícone, a quebra é imediatamente notada. Um vírus salvador mudará o nome do item padrão, mas o que você pensaria se encontrasse uma algaraviada extra ou chinês no menu do botão direito do mouse em um sistema não-chinês?

  3.

  shellexecute=filename.exe

  ShellExecute=.... Assim que a função ShellExecuteA/W for chamada na tentativa de abrir o diretório raiz da unidade USB, o vírus será automaticamente executado. Este tipo é contra aqueles que usam Win+R para abrir o disco, perdendo a letra do disco.    Casa da unidade USB

  4.

  shellopen=Open(&O)

  shellopenCommand=filename.EXE

  shellopenDefault=1

  shellexplore=Resource Manager(&X)

  Isto é mais confuso e é uma nova forma que surgiu. O menu com o botão direito do mouse não é visível à primeira vista, mas em um sistema não chinês, a forma original é revelada. O súbito aparecimento de códigos falsificados e caracteres chineses é, naturalmente, difícil de escapar.

  Diante de tais perigos, especialmente o quarto, é difícil dizer se um disco removível foi envenenado apenas por contar com o próprio Explorer. Neste caso, algumas pessoas também fizeram ferramentas de "imunização" com base em sua própria experiência.

  Métodos de imunização (para discos removíveis e discos rígidos)

  1. diretórios com o mesmo nome

  Um diretório é um tipo especial de arquivo sob Windows, e dois arquivos no mesmo diretório não podem ter o mesmo nome. Assim, a criação de um novo diretório "autorun.inf" no diretório raiz do disco removível impede a criação do autorun.inf por vírus que não consideraram a existência desta situação mais cedo, reduzindo a probabilidade de propagação bem sucedida.    

  2. diretórios de nomes de arquivos ilegais sob autorun.inf

  Alguns vírus incorporam código de processamento tolerante a falhas que tenta apagar o diretório autorun.inf antes de gerar o autorun.inf.

  Sob o subsistema Windows NT Win32, nomes de diretórios como "nome de arquivo" são permitidos, mas para manter a compatibilidade com o sistema de arquivos DOS/Win9x 8.3 (. é ilegal), chamadas diretas para as funções de busca de diretórios no padrão Win32 API não serão capazes de procurar o conteúdo de tais diretórios e retornarão um erro. Entretanto, para excluir um diretório você tem que excluir passo a passo toda a estrutura em árvore sob ele, então você tem que consultar o conteúdo de cada subdiretório sob ele. Portanto, criando um diretório especial deste tipo no diretório "autorun.inf", com um método como "MD x:autorun.infyksoft...". Isto evitará que o diretório autorun.inf seja facilmente apagado. Da mesma forma, o Native API pode ser usado para criar diretórios com nomes reservados DOS (por exemplo, con, lpt1, prn, etc.) para propósitos similares.

  

  3. controle de permissão NTFS

  Os criadores de vírus também são hackers e conhecem essas poucas características do Windows que podem ser consideradas como bugs. Eles podem fazer um programa que escaneia um diretório e descobre que o último byte de um nome de diretório é ". então acessando "dirfullname..." ou usando as funções do sistema de arquivos na API Nativa do Windows NT para conectar diretamente e excluir esse diretório em particular.

  Como resultado, surge uma abordagem de nível inferior baseada no controle de permissão do sistema de arquivos. Ao formatar um dispositivo USB ou unidade removível como um sistema de arquivo NTFS, criando o diretório Autorun.inf e definindo-o para não ter permissões para nenhum usuário, o vírus não só não será capaz de excluí-lo, como também não será capaz de listar o conteúdo do diretório.

  Entretanto, esta abordagem não é adequada para dispositivos como tocadores de música que normalmente não suportam NTFS.

  Estas três etapas são uma etapa melhor do que a outra. Entretanto, o maior problema não é como evitar que este autorun.inf seja gerado, mas a vulnerabilidade do próprio sistema, Explorer. Os autores do vírus logo farão uma solução mais robusta. Esta é a minha previsão.    Casa da unidade USB

  1, combinado com a vulnerabilidade da ANI, no autorun.inf, configurou o ícone para um arquivo Exploit da vulnerabilidade da ANI (após meus experimentos, descobri que o Windows tem um recurso que mesmo que você mude a extensão ani para ico, você ainda pode analisar o ícone), de modo que, assim que você abrir "Meu computador ", um sistema não antivírus sem remendo será diretamente afetado. Tal coisa também pode ser colocada em vários ISOs de recursos na Internet.

  2, melhorar o nível geral de programação do vírus, uma combinação dos vários métodos anti-imunização acima, além do uso da maioria dos usuários domésticos de janelas são freqüentemente logados no sistema com altos privilégios, automaticamente sem privilégios Autorun.inf diretório para ganhar a propriedade, além de permissões de exclusão de leitura-escrita para quebrar esta fortaleza mais sólida.

  Diante de uma coisa tão horrível, não há muitas maneiras de lidar com ela. Mas eles são na verdade a solução básica para todos os problemas de segurança das janelas.

  1. sempre mantenha seu sistema e software de segurança atualizados. Mesmo para usuários piratas, a Microsoft não deixa de dar atualizações de segurança de nível importante e nunca teve um registro de inclusão de programas antipirataria em atualizações de segurança de nível importante.    

  2. tente usar o sistema e acessar a Internet com uma conta restrita, o que reduzirá a probabilidade de entrada de vírus no sistema. a razão pela qual o Vista inclui o recurso UAC é precisamente porque ele permite que os usuários desfrutem da segurança de um usuário restrito ao mesmo tempo em que é o mais conveniente possível.

  3. até certo ponto, pode-se dizer que QQ, IE e alguns jogos on-line onde o equipamento pode ser trocado por dinheiro real e tudo o que requer dinheiro real é a "fonte de todo o mal" levando ao surgimento de um grande número de escritores de vírus e trojans. Através das brechas do IE, eles criam Trojans da web, instalam programas de roubo de números, roubam contas e obtêm RMB. O IE é na verdade um dos elos mais fáceis desta cadeia da indústria negra a ser cortado. Aprecie o sistema, o sistema deve ser atualizado, ter um software anti-vírus que possa prevenir Trojans da web, usar o IE Não brinque com vários pequenos sites de download, sites pornográficos e outros sites de alto risco, e se possível, use um navegador com um motor nãoIE.

  4, software malicioso, agora cada vez mais próximo do cavalo de Tróia do vírus. O programa de autodefesa FSD HOOK de alguns malwares pode ser usado por vírus para se proteger (por exemplo, incidente SONY XCP), enquanto alguns malwares são, em si mesmos, um programa de download de vírus e cavalos de tróia. Portanto, não deixe que os malfeitores se aproximem de sua máquina.    Página inicial do dispositivo USB

  A guerra de ataque e defesa contra o Autorun.inf continua e só se tornará mais excitante à medida que a consciência de segurança dos usuários da Internet ganharão um avanço na dicotomia e unidade de ataque e defesa.

  Experiência no ataque e na defesa dos vírus da classe Autorun.inf: Como verificar e matar o vírus Autorun.inf

 

 

·