Autorun.infクラスのウイルスの攻撃と防御の経験:Autorun.infウイルスのチェックと退治方法

79 2021-07-28 18:04

ディスクのルートディレクトリにいる謎のゴースト、システムのセキュリティを殺すもの、それが「USBウイルス」です。 数え切れないほどのWindowsユーザーが心配しています。 この記事は、私自身がUSBメモリのウイルスと戦って得た調査と教訓をまとめたものです。

  "RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...。 ルートディレクトリにいる謎のゴースト、システムセキュリティの殺人者は、「USBフラッシュドライブ・ウイルス」と呼ばれています。 数え切れないほどのWindowsユーザーがこの問題に頭を悩ませています。 この記事は、私がUSBメモリのウイルスと戦って得た調査と教訓をまとめたものです。   The House of USB Flash Drives

  Windows95以降には「オートラン」という機能があります。 これは、Windows 95以降のシステムで使用されている機能で、ボリュームの挿入時にディスクボリューム上のAutorun.infファイルを読み込んでAutorun.infに定義された実行ファイルを自動的に実行する機能や、エクスプローラーでボリュームのカスタムアイコンを取得したり、ボリュームアイコンのコンテキストメニューを変更したり、特定のメディアに対応したりする機能です。 中国の一部のハッカーは、USBメモリの中身を盗んで自分自身をUSBメモリにコピーし、Autorun.infを使って拡散するウイルスを作成しました。 有名な疑似ラビモン、copy+host、sxs、Viking、Panda Burnerなどのウイルスはすべてこの方法で広がっています。 時には、ルートディレクトリに出現する謎の幽霊であったり、本来現れるべきでない場所に出現するリサイクルボックスであったりと、システムセキュリティにとって重大な脅威となります。 USBメモリのホーム

  Autorun.infは、一般的に4つの方法でウイルスに利用されます。

  1.

  OPEN=ファイル名.exe

  自動的に実行されます。 しかし、多くのXPSP2ユーザーやVistaユーザーにとって、AutorunはAutoPlayに変わってしまい、自動的には実行されず、何をしてほしいかを示すウィンドウがポップアップしてしまいます。

  2.

  shellAutocommand=filename.exe

  シェル=オート

  コンテキストメニューを変更します。 デフォルトの項目をウイルス起動項目に変更します。 しかし、この時点で、ユーザーがアイコンを右クリックすると、すぐに壊れていることがわかります。 より賢いウイルスは、デフォルトのアイテムの名前を変更しますが、中国語以外のシステムで右クリックメニューに余計なちんぷんかんぷんや中国語を見つけたら、どう思いますか?

  3.

  shellexecute=filename.exe

  ShellExecute=.... USBドライブのルートディレクトリを開こうとしてShellExecuteA/W関数が呼ばれると、自動的にウイルスが実行されます。 この種のものは、ディスクレターを失ってWin+Rでディスクを開く人に対抗するものです。    USBメモリのホーム

  4.

  shellopen=Open(&O)

  shellopenCommand=ファイル名.EXE

  shellopenDefault=1

  shellexplore=Resource Manager(&X)

  これはより分かりにくい、新しい形として登場したものです。 右クリックメニューは一見すると見えませんが、中国語以外のシステムでは、本来の姿が現れます。 突然現れた文字化けしたコードや漢字からは、もちろん逃れることはできない。

  このような危険がある中で、特に4つ目の危険については、エクスプローラーだけではリムーバブルディスクが汚染されているかどうかを判断することは困難です。 この場合も、自分の経験をもとに「免疫」のツールを作った人がいます。

  免疫方法(リムーバブルディスク、ハードディスクの場合

  1.同名のディレクトリー

  Windowsでは、ディレクトリは特別な種類のファイルであり、同じディレクトリ内の2つのファイルが同じ名前になることはありません。 そこで、リムーバブルディスクのルートディレクトリに「autorun.inf」という新しいディレクトリを作成することで、このような状況の存在を先に考慮していなかったウイルスによるautorun.infの作成を防ぎ、伝播が成功する確率を下げることができます。    

  2.autorun.infの下に不正なファイル名のディレクトリがある

  ウイルスの中には、autorun.infを生成する前にautorun.infディレクトリを削除しようとするフォールトトレラント処理コードが組み込まれているものがあります。

  Windows NTのWin32サブシステムでは、"filename. "のようなディレクトリ名が許可されていますが、DOS/Win9x 8.3のファイルシステムとの互換性を保つために(. が不正な場合)、標準的なWin32 APIのディレクトリ検索関数を直接呼び出しても、そのようなディレクトリのコンテンツを検索することができず、エラーが返されます。 しかし、ディレクトリを削除するには、その下のツリー構造全体を段階的に削除する必要があるため、その下の各サブディレクトリの内容を照会する必要があります。 そのため、"MD x:autorun.infyksoft... "のような方法で、「autorun.inf」ディレクトリ内にこの種の特別なディレクトリを作成します。 これにより、autorun.infディレクトリが簡単に削除されないようになります。 同様に、ネイティブAPIを使用して、DOS予約名(con、lpt1、prnなど)のディレクトリを作成することも可能です。

  

  3.NTFSパーミッションコントロール

  ウイルスの作者はハッカーでもあり、バグと考えられるWindowsのいくつかの機能を知っています。 ディレクトリをスキャンして、ディレクトリ名の最後のバイトが「...」であることを発見するプログラムを作ることができる。 そして、"dirfullname... "にアクセスすることで または、Windows NTのNative APIのファイルシステム関数を使用して直接接続し、特定のディレクトリを削除する。

  その結果、ファイルシステムのパーミッションコントロールをベースにした低レベルのアプローチが生まれました。 USBメモリやリムーバブルドライブをNTFSファイルシステムでフォーマットし、Autorun.infディレクトリを作成し、どのユーザーにも権限がないように設定することで、ウイルスは削除できないだけでなく、ディレクトリの内容をリストアップすることもできなくなります。

  しかし、この方法は、通常NTFSをサポートしていない音楽プレーヤーなどのデバイスには適していません。

  この3つのステップは、一歩一歩進んでいます。 しかし、最大の問題は、このautorun.infの生成を防ぐ方法ではなく、エクスプローラーというシステム自体の脆弱性にあると言えます。 ウイルスの作者はすぐに、より強固なソリューションを作るでしょう。 これが私の予想です。    USBメモリのホーム

  1、ANIの脆弱性と組み合わせて、autorun.infで、アイコンをANIの脆弱性のExploitファイルに設定して(実験の結果、Windowsには、aniの拡張子をicoに変えても、アイコンを解析できる機能があることがわかりました)、「マイコンピュータ」を開くとすぐに " の場合、パッチが適用されていない、アンチウイルスではないシステムが直接影響を受けます。 そのようなものは、インターネット上の様々なリソースISOにも置くことができます。

  2は、ウイルスの全体的なプログラミングレベルを向上させる、上記の様々な抗免疫方法の組み合わせは、ほとんどの国内のWindowsユーザーの使用に加えて、しばしば高い権限でシステムにログインされ、自動的にない権限Autorun.infディレクトリは、所有権を得るために、プラス読み書き、この最も強固な要塞を突破するためのパーミッションを削除します。

  このような恐ろしいものを前にすると、残された対処法は多くはない。 しかし、実際にはすべてのウィンドウズのセキュリティ問題を解決する基本的なソリューションです。

  1.システムやセキュリティソフトを常に最新の状態に保つ。 海賊版ユーザーに対しても、マイクロソフトは重要なレベルのセキュリティアップデートを怠らず、重要なレベルのセキュリティアップデートに海賊版対策プログラムを含めた実績はありません。    

  2. 制限付きのアカウントでシステムを使用したり、インターネットにアクセスしてみると、ウイルスが侵入する確率が下がります。VistaにUAC機能が搭載されているのは、ユーザーが制限付きユーザーのセキュリティを享受しながら、できるだけ便利に使用できるようにするためです。

  3.ある程度、QQやIE、装備品を実費で交換でき、すべてに実費が必要な一部のオンラインゲームが、大量のウイルスやトロイの木馬の出現を招く「諸悪の根源」であると言えます。 IEの抜け道を利用して、Webトロイの木馬を作り、番号を盗むプログラムをインストールし、アカウントを盗み、人民元を手に入れます。 IEは、このブラック企業の連鎖の中で、実は最も簡単に切り離せるリンクの一つなのです。 システムを大切にすること、システムを更新すること、Webトロイの木馬を防ぐことができるウィルス対策ソフトを持つこと、IEを使うこと 様々な小さなダウンロードサイトやポルノサイトなど、危険性の高いサイトには手を出さず、できればIE以外のエンジンを搭載したブラウザを使うことが大切です。

  4、悪意のあるバンドルされたソフトウェアは、今ますますウイルストロイの木馬に近い。 マルウェアの自己防衛プログラム「FSD HOOK」は、ウイルスが自己防衛のために利用する場合もあれば(例:SONY XCP事件)、マルウェア自身がウイルスやトロイの木馬をダウンロードするものもあります。 そのため、不正者があなたのマシンに近づかないようにしましょう。    USBメモリのホーム

  Autorun.infに対する攻撃と防御の戦いは続いており、インターネットユーザーのセキュリティ意識が、攻撃と防御の二項対立と一体化した突破口を得ることで、さらに盛り上がっていくことでしょう。

  Autorun.infクラスのウイルスの攻撃と防御の経験:Autorun.infウイルスのチェックと退治方法

 

 

·