Esperienza nell'attaccare e difendere i virus della classe Autorun.inf: come controllare e uccidere il virus Autorun.inf

66 2021-07-28 18:06

I misteriosi fantasmi nella directory principale del disco, i killer della sicurezza del sistema, sono chiamati "virus USB". Innumerevoli utenti di Windows sono preoccupati per loro. Questo articolo è un riassunto delle mie ricerche e delle lezioni apprese nella lotta contro i virus delle chiavette USB.

  "RavMonE.exe", "rose.exe", "sxs.exe", "copy.exe", "setup.exe"... I misteriosi fantasmi nella directory principale, i killer della sicurezza del sistema, sono chiamati "virus delle chiavette USB". Innumerevoli utenti di Windows si stanno preoccupando per loro. Questo articolo è un riassunto delle mie ricerche e delle lezioni apprese nella lotta contro i virus delle chiavette USB.   La casa delle chiavette USB

  Windows 95 in poi ha una funzione "autorun". Questa è una caratteristica usata nei sistemi Windows 95 e successivi per eseguire automaticamente i file eseguibili definiti in Autorun.inf leggendo il file Autorun.inf sul volume del disco quando il volume è inserito per ottenere un'icona personalizzata per il volume in Explorer e per modificare il menu contestuale per l'icona del volume, e per certi media. Alcuni hacker in Cina hanno creato dei virus che hanno rubato il contenuto delle chiavette USB e si sono copiati su di esse per usare Autorun.inf per diffondersi. I famosi pseudo-ravmon, copy+host, sxs, Viking, Panda Burner e altri famosi virus si diffondono tutti in questo modo. A volte sono misteriosi fantasmi nella directory principale, a volte sono cestini che appaiono dove non dovrebbero - in breve, sono una seria minaccia alla sicurezza del sistema.  La casa della chiavetta USB

  Autorun.inf è usato dai virus in quattro modi generali

  1.

  OPEN=nomefile.exe

  Eseguire automaticamente. Ma per molti utenti di XPSP2 e Vista, Autorun si è trasformato in AutoPlay e non lo eseguirà automaticamente, ma farà apparire una finestra che dice cosa vuole che tu faccia.

  2.

  shellAutocommand=nomefile.exe

  shell=Auto

  Modificare il menu di contesto. Cambia l'elemento predefinito con l'elemento di lancio del virus. Tuttavia, a questo punto, se l'utente clicca con il tasto destro del mouse sull'icona, la rottura si nota immediatamente. Un virus più astuto cambierà il nome della voce di default, ma cosa pensereste se trovaste del gibberish o del cinese nel menu del clic destro su un sistema non cinese?

  3.

  shellexecute=nomefile.exe

  ShellExecute=.... Non appena la funzione ShellExecuteA/W viene chiamata nel tentativo di aprire la directory principale del drive USB, il virus viene automaticamente eseguito. Questo tipo è contro coloro che usano Win+R per aprire il disco perdendo la lettera del disco.    Casa della chiavetta USB

  4.

  shellopen=Open(&O)

  shellopenCommand=nomefile.EXE

  shellopenDefault=1

  shellexplore=Resource Manager(&X)

  Questo è più confuso ed è una nuova forma che è emersa. Il menu del tasto destro non è visibile a prima vista, ma su un sistema non cinese, la forma originale è rivelata. L'improvvisa apparizione di codici confusi e di caratteri cinesi è ovviamente difficile da evitare.

  Di fronte a questi pericoli, specialmente il quarto, è difficile dire se un disco rimovibile è stato avvelenato solo facendo affidamento su Explorer stesso. In questo caso, alcune persone hanno anche fatto degli strumenti di "immunizzazione" basati sulla propria esperienza.

  Metodi di immunizzazione (per dischi rimovibili e hard disk)

  1. Directory con lo stesso nome

  Una directory è un tipo speciale di file sotto Windows, e due file nella stessa directory non possono avere lo stesso nome. Quindi, la creazione di una nuova directory "autorun.inf" nella directory principale del disco rimovibile impedisce la creazione di autorun.inf da parte di virus che non hanno considerato l'esistenza di questa situazione in precedenza, riducendo la probabilità di successo della propagazione.    

  2. Directory di nomi di file illegali sotto autorun.inf

  Alcuni virus incorporano un codice di elaborazione fault-tolerant che tenta di cancellare la directory autorun.inf prima di generare autorun.inf.

  Sotto il sottosistema Win32 di Windows NT, nomi di directory come "nome del file." sono permessi, ma per mantenere la compatibilità con il file system DOS/Win9x 8.3 (. è illegale), le chiamate dirette alle funzioni di ricerca delle directory nell'API Win32 standard non interrogheranno il contenuto di tali directory e restituiranno un errore. Tuttavia, per eliminare una directory devi eliminare l'intera struttura ad albero sotto di essa passo dopo passo, quindi devi interrogare il contenuto di ogni sottodirectory sotto di essa. Pertanto, creando una directory speciale di questo tipo nella directory "autorun.inf", con un metodo come "MD x:autorun.infyksoft..." Questo impedirà che la directory autorun.inf sia facilmente cancellata. Allo stesso modo, l'API nativa può essere usata per creare directory con nomi riservati al DOS (ad esempio con, lpt1, prn, ecc.) per scopi simili.

  

  3. Controllo dei permessi NTFS

  I creatori di virus sono anche hacker e conoscono queste poche caratteristiche di Windows che possono essere considerate bug. Possono fare un programma che analizza una directory e trova che l'ultimo byte di un nome di directory è '. poi accedendo a "dirfullname..." o usando le funzioni di file system nell'API nativa di Windows NT per collegarsi direttamente e cancellare quella particolare directory.

  Di conseguenza, emerge un approccio di livello inferiore basato sul controllo dei permessi del file system. Formattando una chiavetta USB o un'unità rimovibile come file system NTFS, creando la directory Autorun.inf e impostandola per non avere permessi per nessun utente, il virus non solo non potrà eliminarla, ma non sarà nemmeno in grado di elencare il contenuto della directory.

  Tuttavia, questo approccio non è adatto a dispositivi come i lettori musicali che normalmente non supportano NTFS.

  Questi tre passi sono un passo migliore dell'altro. Tuttavia, il problema più grande non è come impedire che questo autorun.inf venga generato, ma la vulnerabilità del sistema stesso, Explorer. Gli autori del virus faranno presto una soluzione più robusta. Questa è la mia previsione.    Casa della chiavetta USB

  1, combinato con la vulnerabilità ANI, in autorun.inf impostare l'icona su un file Exploit di vulnerabilità ANI (dopo i miei esperimenti, ho scoperto che Windows ha una caratteristica che anche se si cambia l'estensione ani in ico, è ancora possibile analizzare l'icona), in modo che non appena si apre "Risorse del computer ", un sistema senza patch e senza antivirus sarà direttamente interessato. Una cosa del genere può anche essere messa in varie risorse ISO su Internet.

  2, migliorare il livello generale di programmazione del virus, una combinazione di quanto sopra vari metodi anti-immunità, oltre all'uso della maggior parte degli utenti domestici di Windows sono spesso collegati al sistema con privilegi elevati, automaticamente nessun privilegi Autorun.inf directory per ottenere la proprietà, più leggere-scrittura eliminare i permessi per sfondare questa fortezza più solida.

  Di fronte a una cosa così orribile, non restano molti modi per affrontarla. Ma in realtà sono la soluzione di base a tutti i problemi di sicurezza di Windows.

  1. Mantenete sempre aggiornato il vostro sistema e il software di sicurezza. Anche per gli utenti pirata, Microsoft non manca di dare aggiornamenti di sicurezza di livello importante e non ha mai avuto un record di includere programmi anti-pirateria negli aggiornamenti di sicurezza di livello importante.    

  2. provate a usare il sistema e ad accedere a Internet con un account limitato, che ridurrà la probabilità che i virus entrino nel sistema. la ragione per cui Vista include la funzione UAC è proprio perché permette agli utenti di godere della sicurezza di un utente limitato pur essendo il più conveniente possibile.

  3. In una certa misura, si può dire che QQ, IE e alcuni giochi online dove l'attrezzatura può essere scambiata con denaro reale e tutto richiede denaro reale sono la "fonte di tutti i mali" che porta all'emergere di un gran numero di scrittori di virus e trojan. Attraverso le scappatoie di IE, creano Trojan web, installano programmi per rubare numeri, rubano conti e ottengono RMB. IE è in realtà uno degli anelli più facili da tagliare in questa catena dell'industria nera. Abbiate cura del sistema, il sistema deve essere aggiornato, abbiate un software antivirus che possa prevenire i troiani del web, usate IE Non scherzate con vari piccoli siti di download, siti pornografici e altri siti ad alto rischio, e se possibile, usate un browser con un motore non IE.

  4, software maligno in bundle, ormai sempre più vicino al virus Trojan horse. Il programma di autodifesa FSD HOOK di alcuni malware può essere usato dai virus per proteggersi (ad esempio l'incidente SONY XCP), mentre alcuni malware sono essi stessi un downloader di virus e trojan. Pertanto, non lasciate che i ladri si avvicinino alla vostra macchina.    La casa della chiavetta USB

  La guerra di attacco e difesa contro Autorun.inf continua e diventerà solo più eccitante man mano che la consapevolezza della sicurezza degli utenti di Internet guadagnerà una svolta nella dicotomia e unità di attacco e difesa.

 Esperienza nell'attaccare e difendere i virus della classe Autorun.inf: come controllare e uccidere il virus Autorun.inf

 

 

·