Experiencia en el ataque y la defensa de los virus de clase Autorun.inf: Cómo comprobar y eliminar el virus Autorun.inf

58 2021-07-28 18:05

Los misteriosos fantasmas en el directorio raíz del disco, los asesinos de la seguridad del sistema, se llaman "virus USB". Muchos usuarios de Windows están preocupados por ellos. Este artículo es un resumen de mis propias investigaciones y lecciones aprendidas en la lucha contra los virus de las memorias USB.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... Los misteriosos fantasmas del directorio raíz, los asesinos de la seguridad del sistema, se denominan "virus de la memoria USB". Muchos usuarios de Windows están preocupados por ellos. Este artículo es un resumen de mis investigaciones y lecciones aprendidas en la lucha contra los virus de las memorias USB.   La casa de las memorias USB

  Windows 95 en adelante tiene una función de "ejecución automática". Esta es una función que se utiliza en los sistemas Windows 95 y posteriores para ejecutar automáticamente los archivos ejecutables definidos en Autorun.inf mediante la lectura del archivo Autorun.inf en el volumen de disco cuando se inserta el volumen para obtener un icono personalizado para el volumen en el Explorador y para modificar el menú contextual para el icono del volumen, y para determinados medios. Algunos hackers de China crearon virus que robaban el contenido de las memorias USB y se copiaban en ellas para utilizar Autorun.inf para propagarse. Los famosos pseudo-ravmon, copy+host, sxs, Viking, Panda Burner y otros famosos virus se propagan de esta manera. A veces son misteriosos fantasmas en el directorio raíz, otras veces son papeleras que aparecen donde no deben; en definitiva, son una seria amenaza para la seguridad del sistema.  El hogar de la memoria USB

  Autorun.inf es utilizado por los virus de cuatro maneras generales

  1.

  OPEN=nombredearchivo.exe

  Se ejecuta automáticamente. Pero para muchos usuarios de XPSP2 y de Vista, Autorun se ha convertido en AutoPlay y no lo ejecutará automáticamente, sino que le aparecerá una ventana diciendo lo que quiere que haga.

  2.

  shellAutocommand=nombredearchivo.exe

  shell=Auto

  Modificar el menú contextual. Cambia el elemento por defecto por el de lanzamiento de virus. Sin embargo, en este punto, si el usuario hace clic con el botón derecho del ratón sobre el icono, la rotura se nota inmediatamente. Un virus más avispado cambiará el nombre del elemento por defecto, pero ¿qué pensaría si encontrara un galimatías extra o chino en el menú del botón derecho en un sistema que no sea chino?

  3.

  shellexecute=nombredearchivo.exe

  ShellExecute=.... En cuanto se llame a la función ShellExecuteA/W en un intento de abrir el directorio raíz de la unidad USB, el virus se ejecutará automáticamente. Este tipo está en contra de los que usan Win+R para abrir el disco perdiendo la letra del disco.    Hogar de la unidad USB

  4.

  shellopen=Abrir(&O)

  shellopenCommand=nombredearchivo.EXE

  shellopenDefault=1

  shellexplore=Administrador de recursos(&X)

  Esto es más confuso y es una nueva forma que ha surgido. El menú del botón derecho no es visible a primera vista, pero en un sistema no chino, se revela la forma original. La repentina aparición de códigos confusos y caracteres chinos es, por supuesto, difícil de evitar.

  Ante estos peligros, especialmente el cuarto, es difícil saber si un disco extraíble ha sido envenenado sólo con confiar en el propio Explorer. En este caso, algunas personas también han elaborado herramientas de "inmunización" basadas en su propia experiencia.

  Métodos de inmunización (para discos extraíbles y discos duros)

  1. Directorios con el mismo nombre

  Un directorio es un tipo especial de archivo en Windows, y dos archivos en el mismo directorio no pueden tener el mismo nombre. Así, la creación de un nuevo directorio "autorun.inf" en el directorio raíz del disco extraíble impide la creación de autorun.inf por parte de los virus que no hayan considerado la existencia de esta situación con anterioridad, reduciendo la probabilidad de éxito de su propagación.    

  2. Directorios de nombres de archivos ilegales bajo autorun.inf

  Algunos virus incorporan un código de procesamiento tolerante a fallos que intenta eliminar el directorio autorun.inf antes de generar el autorun.inf.

  En el subsistema Win32 de Windows NT, se permiten nombres de directorio como "nombre de archivo.", pero para mantener la compatibilidad con el sistema de archivos de DOS/Win9x 8.3 (. es ilegal), las llamadas directas a las funciones de búsqueda de directorios en la API estándar de Win32 no consultarán el contenido de dichos directorios y devolverán un error. Sin embargo, para eliminar un directorio hay que borrar toda la estructura de árbol que hay bajo él paso a paso, por lo que hay que consultar el contenido de cada subdirectorio que hay bajo él. Por lo tanto, crear un directorio especial de este tipo en el directorio "autorun.inf", con un método como "MD x:autorun.infyksoft..." Esto evitará que el directorio autorun.inf sea eliminado fácilmente. Del mismo modo, la API nativa puede utilizarse para crear directorios con nombres reservados del DOS (por ejemplo, con, lpt1, prn, etc.) con fines similares.

  

  3. Control de permisos NTFS

  Los creadores de virus también son hackers y conocen estas pocas características de Windows que pueden ser consideradas bugs. Pueden hacer un programa que escanee un directorio y encuentre que el último byte de un nombre de directorio es '.' entonces accediendo a "dirfullname..." o utilizando las funciones del sistema de archivos de la API nativa de Windows NT para conectarse directamente y eliminar ese directorio en particular.

  Como resultado, surge un enfoque de nivel inferior basado en el control de permisos del sistema de archivos. Al formatear una memoria USB o una unidad extraíble como sistema de archivos NTFS, crear el directorio Autorun.inf y configurarlo para que no tenga permisos para ningún usuario, el virus no sólo no podrá eliminarlo, sino que ni siquiera podrá listar el contenido del directorio.

  Sin embargo, este enfoque no es adecuado para dispositivos como los reproductores de música, que normalmente no son compatibles con NTFS.

  Estos tres pasos son un paso mejor que el siguiente. Sin embargo, el mayor problema no es cómo evitar que se genere este autorun.inf, sino la vulnerabilidad del propio sistema, Explorer. Los autores del virus pronto harán una solución más robusta. Esta es mi predicción.    Hogar de la unidad USB

  1, combinada con la vulnerabilidad ANI, en autorun.inf establecer el icono a un archivo de vulnerabilidad ANI Exploit (después de mis experimentos, he encontrado que Windows tiene una característica que incluso si se cambia la extensión ani a ico, todavía puede analizar el icono), de modo que tan pronto como se abre "Mi PC ", un sistema sin parches y sin antivirus se verá directamente afectado. Esto también se puede colocar en varios recursos ISO en Internet.

  2, mejorar el nivel de programación general del virus, una combinación de los anteriores diversos métodos de lucha contra la inmunización, además del uso de la mayoría de los usuarios domésticos de las ventanas a menudo se registran en el sistema con altos privilegios, de forma automática sin privilegios Autorun.inf directorio para obtener la propiedad, además de lectura-escritura eliminar los permisos para romper a través de esta fortaleza más sólida.

  Ante algo tan horrible, no quedan muchas formas de afrontarlo. Pero en realidad son la solución básica a todos los problemas de seguridad de Windows.

  1. Mantenga siempre actualizado su sistema y su software de seguridad. Incluso para los usuarios piratas, Microsoft no deja de dar actualizaciones de seguridad de nivel importante y nunca ha tenido un historial de incluir programas antipiratería en las actualizaciones de seguridad de nivel importante.    

  2. intente utilizar el sistema y acceder a Internet con una cuenta restringida, lo que reducirá la probabilidad de que entren virus en el sistema. la razón por la que Vista incluye la función UAC es precisamente porque permite a los usuarios disfrutar de la seguridad de un usuario restringido a la vez que es lo más cómodo posible.

  3. Hasta cierto punto, puede decirse que QQ, IE y algunos juegos en línea en los que el equipo puede cambiarse por dinero real y todo requiere dinero real son la "fuente de todos los males" que conducen a la aparición de un gran número de virus y troyanos. A través de las lagunas del IE, crean troyanos web, instalan programas de robo de números, roban cuentas y obtienen RMB. En realidad, IE es uno de los eslabones más fáciles de cortar en esta cadena de la industria negra. Cuidar el sistema, el sistema debe estar actualizado, tener un software antivirus que pueda prevenir los troyanos de la web, usar IE No te metas en varios sitios de descargas pequeñas, sitios pornográficos y otros sitios de alto riesgo, y si es posible, usa un navegador con un motor que no sea IE.

  4, software malicioso incluido, ahora cada vez más cerca del virus del caballo de Troya. El programa de autodefensa FSD HOOK de algunos programas maliciosos puede ser utilizado por los virus para protegerse (por ejemplo, el incidente SONY XCP), mientras que algunos programas maliciosos son en sí mismos descargadores de virus y troyanos. Por lo tanto, no dejes que los pícaros se acerquen a tu máquina.    El hogar de la memoria USB

  La guerra de ataque y defensa contra Autorun.inf continúa y sólo se volverá más emocionante a medida que la conciencia de seguridad de los usuarios de Internet gane en la dicotomía y la unidad de ataque y defensa.

  Experiencia en el ataque y la defensa de los virus de clase Autorun.inf: Cómo comprobar y eliminar el virus Autorun.inf

 

 

·