和病毒斗智斗勇 利用非空目录手动解决U盘 Autorun运行病毒问题

ugmbbc发布于 2007-06-13 18:24:55| 次阅读 字体: 打印预览

警告!

感谢iamcj的原创投递
新闻来源:原创
现在木马/病毒的传播方式,比较有”特色”的,是通过可移动磁盘(优盘、移动硬盘、MP3、存储卡+读卡器),以及通过arp欺骗重定向所有局域网内电脑的www访问,我们今天讨论前者.
可移动磁盘的”自动运行”功能,应该是从Windows 95开始的,我的印象中,Win31的时代,似乎没有听说过这个东西.出来了那么多年了,似乎也没有听说有什么问题,最常见的就是软件的安装光盘放进去会自动开始安装,音乐CD放进去会自动开始播放,如果装了什么超级解霸之类的软件,VCD/DVD放进去也会自动播放.安全方面的,我就听说过一个利用这个来破解屏幕保护密码的,后来也没有关心,想来这个bug也应该修复了吧.

现在影响最大的,应该就是n多的病毒,都利用这个来传播了.优盘插上,没有任何动静的,就把你的系统感染了,然后再插上的任何优盘,都又成了传播的中介,不声不响之间,危害巨大.看到优盘的根目录下,有什么OSO啊,美女游戏啊,就是这些病毒了.

实现的原理很简单,关键就是autorun.inf文件,在默认情况下,这个文件会自动被加载,然后按照里面定义,可以启动一个可执行程序.autorun.inf的格式大致是下面这样:

[autorun]
open=autorun.exe
icon=autorun.exe,0

相当一目了然,第一行定义了自动运行的程序(如果是病毒,就可能是open=oso.exe了),第二行定义了显示的图标.

禁用自动运行的办法有很多,大致有服务、注册表、组策略三种(可能还有更多,欢迎补充),我这儿介绍最简单的一种,就是禁用Shell Hardware Detection服务,对于这个服务,微软自己的解释是”Provides notifications for AutoPlay hardware events”,也就是”为自动播放硬件事件提供通知”,把这个服务设置为Disabled(禁用),重新启动,自动运行功能就算是废掉了.

但是这依然是不安全的,原因是很多朋友(我觉得至少有50%),最习惯的方式就是打开电脑,然后不断的双击,进入驱动器,进入目录……),对于驱动器,默认的双击,在有autorun.inf存在的时候,就是运行里面定义的程序(在不存在autorun.inf的时候,才是打开),结果大家都能想到,就是相当于手动运行了病毒,自作孽啊……

如何彻底禁用这个功能,目前似乎没有直接的办法(希望过几天能够更新这个),所以我们就只能另辟蹊径,想办法如何不让病毒建立autorun.inf,虽然病毒母体依然会传播,但至少不会如此不明不白的扩散,以至于自己当了帮凶还不知道了.

  1. 最原始的办法自然是自己建立autorun.inf,但是马上病毒就开始删除或者覆盖了;
  2. 接下来是加上只读属性,这个也很容易破解,替换属性即可;
  3. 再接下来是建立同名目录,因为按照目前的定义,在存在同名目录的情况下,文件无法建立,然后病毒开始删除目录了;
今天这儿介绍的办法,是利用带点的目录,具体的技术文章大家可以Google到,具体流程是:
  1. 在磁盘根目录下建立autorun.inf目录;
  2. 进入"autorun.inf"目录;
  3. 建立"autorun.inf."目录(注意这个".");
第三步是关键,因为在通常情况下,在有非空子目录的情况下,目录无法被删除

有什么意见,欢迎反馈.

http://www.iamcj.net/blog/2007/06/13/make-a-anti-autorun-batch/

3


 

对本文中的事件或人物打分
  • Currently.0.00/5
  • 1
  • 2
  • 3
  • 4
  • 5

当前平均分: 打分后显示

-5-4-3-2-1012345
对本篇新闻报道的质量打分

当前平均分: 0.0(0 次打分)

-5-4-3-2-1012345
现在评论本文
共 58 条评论,显示 57 条
第1楼 乾 发表于 2007-06-13 18:29:51
不错的小技巧。试试看
回复 支持(0) 反对(0)   举报
第2楼 匿名人士 发表于 2007-06-13 18:30:28
好招啊
回复 支持(0) 反对(1)   举报
第3楼 匿名人士 发表于 2007-06-13 18:30:55
真tmd累,关闭Autorun不就一劳永逸了
回复 支持(2) 反对(3)   举报
第4楼 匿名人士 发表于 2007-06-13 18:31:22
终于,我沙发了........
回复 支持(0) 反对(3)   举报
第5楼 匿名人士 发表于 2007-06-13 18:33:27
对不起,你一屁股坐到阴沟了。。
回复 支持(20) 反对(1)   举报
第6楼 匿名人士 发表于 2007-06-13 18:35:02
闷不闷啊各位....每每看到这些教杀AUTORUN的,我都已经麻木了
回复 支持(22) 反对(0)   举报
第7楼 匿名人士 发表于 2007-06-13 18:35:34
哈哈
回复 支持(0) 反对(0)   举报
第8楼 匿名人士 发表于 2007-06-13 18:36:38
怎么又来一遍,上次就有yksoft1的了
回复 支持(0) 反对(0)   举报
第9楼 匿名人士 发表于 2007-06-13 18:37:00
该技巧已被病毒利用,导致杀毒软件崩溃
用文件夹替换dll文件
回复 支持(0) 反对(0)   举报
第10楼 nakwan 发表于 2007-06-13 18:37:02
有期电脑爱好者讲了好多治这的方法和技巧
回复 支持(0) 反对(0)   举报
第11楼 godtoo 发表于 2007-06-13 18:37:40
谁来说下怎么换行的说



郁闷~~~一般的换行不行啊
回复 支持(0) 反对(0)   举报
第12楼 阿pp 发表于 2007-06-13 18:41:53
这人专门研究autorun的? 最近老发这些玩意
回复 支持(1) 反对(0)   举报
第13楼 Archangel 发表于 2007-06-13 18:47:39
多老了,现在流行con目录⋯⋯
回复 支持(2) 反对(0)   举报
第14楼 匿名人士 发表于 2007-06-13 18:47:51
改注册表才是一劳永逸的解决方案
回复 支持(1) 反对(0)   举报
第15楼 godtoo 发表于 2007-06-13 18:49:33
我要换行
回复 支持(0) 反对(0)   举报
第16楼 fuhly.cn 发表于 2007-06-13 18:54:27
现在又出新的了,不行了~~新变种,我碰到了,用资源管理打开U盘,也会被关闭
回复 支持(0) 反对(0)   举报
第17楼 匿名人士 发表于 2007-06-13 18:56:23
deltree不久能强行删除目录了吗

好像带参数的 rd 也可以吧
回复 支持(1) 反对(0)   举报
第18楼 匿名人士 发表于 2007-06-13 18:58:25
rd /s 文件夹/文件名字
回复 支持(0) 反对(0)   举报
第19楼 匿名人士 发表于 2007-06-13 19:04:12
win3.1时代就有autorun了。。。。。
回复 支持(0) 反对(0)   举报
第20楼 匿名人士 发表于 2007-06-13 19:06:07
这样用了几个月了,效果不错,不过这个办法太被动了,现在感染u盘病毒的原因大多数都是因为一帮什么都不懂的人乱插导致的... 知道这些办法的人,基本上也知道其他的防范方法。
回复 支持(1) 反对(0)   举报
第21楼 匿名人士 发表于 2007-06-13 19:09:07
直接删除INF文件的安装操作。让INF文件无法执行。绝不?
回复 支持(0) 反对(0)   举报
第22楼 逆风之犇 发表于 2007-06-13 19:16:13
如果嫌麻烦可以用



深山红叶U盘免疫工具
回复 支持(0) 反对(0)   举报
第23楼 匿名人士 发表于 2007-06-13 19:17:05
建立"autorun.inf."目录(注意这个".");



这步不行啊 后面的"." 加不上啊
回复 支持(1) 反对(0)   举报
第24楼 MyDoin 发表于 2007-06-13 19:19:24
很久以前写的:



@echo off

cd attrib *.inf -s -h -a -r echo y|del AutoRun.inf echo y|del AutoRun.inf echo y|rd AutoRun.inf md AutoRun.inf attrib AutoRun.inf s h a r cls 保存为.bat文件 到这里下载.bat文件 http://mydoing.blogbus.com/logs/5836060.html
回复 支持(0) 反对(0)   举报
第25楼 MyDoin 发表于 2007-06-13 19:20:50
郁闷 不能换行

到这里下载.bat文件并查看代码说明 http://mydoing.blogbus.com/logs/5836060.html
回复 支持(0) 反对(0)   举报
第26楼 匿名人士 发表于 2007-06-13 19:25:53
建立"autorun.inf."目录(注意这个".");





这步不行啊 后面的"." 加不上啊 ========================================= ms-dos下应该可以~
回复 支持(0) 反对(0)   举报
第27楼 匿名人士 发表于 2007-06-13 19:27:06
mkdir autorun.inf.

or

md autorun.inf.
回复 支持(0) 反对(0)   举报
第28楼 匿名人士 发表于 2007-06-13 19:28:43
同胞们,陈水扁想把我们家园分离出去,好多野狼对我们刚刚崛起的祖国呲牙咧嘴。让我们这些网虫们,团结起来,用各种方式,把那些龟孙子们,扔进尿盆子里,淹死他们! 这些病毒们,不光撕咬我们的身体,还想置于生他养他的文明用语亲于死地,对这些没有人性的家伙,决不要手软呀,同胞们,赶紧行动起来吧! ! !
回复 支持(0) 反对(6)   举报
第29楼 匿名人士 发表于 2007-06-13 19:37:55
以前听讲说磁盘、光盘病毒的如何嘎厉害!

宜家唔同哦,病毒学会转型,转型再转型!

有电脑,就有病毒!
回复 支持(0) 反对(0)   举报
第30楼 匿名人士 发表于 2007-06-13 19:43:59
Shell Hardware Detection服务,关了你的DVD或者CD会先师不正常,比如:DVD/CD-RW会显示成CD。看字面意思就知道,硬件检测嘛,关了不会影响硬件的正常使用。
回复 支持(1) 反对(0)   举报
第31楼 vzo 发表于 2007-06-13 19:49:09
autorun.inf. 目录只能在CMD下这样建立

md autorun.inf..
回复 支持(0) 反对(0)   举报
第32楼 vzo 发表于 2007-06-13 19:51:32
奇怪,CB把我的反斜线屏蔽了

md autorun.inf.. 后面有个反斜线才能建立成功
回复 支持(0) 反对(0)   举报
第33楼 匿名人士 发表于 2007-06-13 20:09:47
我不是太懂你说的方法。

我把我的做法说一遍

我在我的移动硬盘g盘中。新建了一个autorun.inf 文件夹

再在这个文件夹下面新建一个文本文档。改名字为autorun.inf. 不过我的vista为什么自动把后面那点去掉了啊?
回复 支持(0) 反对(0)   举报
第34楼 匿名人士 发表于 2007-06-13 20:16:27
怎么还是不能建立啊。
回复 支持(0) 反对(0)   举报
第35楼 匿名人士 发表于 2007-06-13 20:29:02
已经碰到该autorun.inf文件夹名字的病毒了,删不掉但是可以改掉名字。
回复 支持(0) 反对(0)   举报
第36楼 cnlong 发表于 2007-06-13 20:36:54
在注册表中修改mountpoints2的权限,就什么问题都解决了,双击也不会中毒。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

将其权限对所有用户都设为拒绝,或直接对everyone拒绝也行。此方法能禁止双击运行autorun.inf,即使别人U盘带毒误双击也不会中毒了,哈哈!
回复 支持(0) 反对(0)   举报
第37楼 cnlong 发表于 2007-06-13 20:38:02
在注册表中修改mountpoints2的权限,就什么问题都解决了,双击也不会中毒。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2将其权限对所有用户都设为拒绝,或直接对everyone拒绝也行。此方法能禁止双击运行autorun.inf,即使别人U盘带毒误双击也不会中毒了,哈哈!
回复 支持(2) 反对(0)   举报
第38楼 匿名人士 发表于 2007-06-13 20:48:16
晕 这方法早有人放出来了
回复 支持(1) 反对(0)   举报
第39楼 匿名人士 发表于 2007-06-13 21:20:53
其实Autorun病毒 ,就是一种电脑性病,只要你u盘不要乱插插插插的,就不会得! ! 支持的请投票
回复 支持(1) 反对(2)   举报
第40楼 匿名人士 发表于 2007-06-13 21:23:35
没用。一样中招,好多免疫工具就是这种方法。一样中
回复 支持(0) 反对(2)   举报
第41楼 李振铭 发表于 2007-06-13 21:28:42
烂,还说不是空目录
回复 支持(0) 反对(0)   举报
第42楼 匿名人士 发表于 2007-06-13 21:35:25
弱弱的问一下,修改后其它文件能双击运行吗?
回复 支持(1) 反对(0)   举报
第43楼 Melody.V 发表于 2007-06-13 22:02:13
很久以前的文章。。。。至少半年了
回复 支持(0) 反对(0)   举报
第44楼 匿名人士 发表于 2007-06-13 22:12:32
作者傻, XP SP2 PRO 的组策略里就可以全面禁止自动运行
回复 支持(1) 反对(0)   举报
第45楼 匿名人士 发表于 2007-06-13 22:22:04
程序要删除目录还不简单,管你有没有文件。写过程序的人都知道。
回复 支持(0) 反对(0)   举报
第46楼 xyydark 发表于 2007-06-14 00:12:27
把U盘格成NTFS格式,加个autorun.inf 设置权限为禁止访问,万事OK
回复 支持(0) 反对(1)   举报
第47楼 枫卷残韵 发表于 2007-06-14 01:37:40
小样,看看大爷怎么克你:

-----------anti_autorun_ban.bat-------------

rd autorun.inf /s /q

del autorun.inf /f /q rem 下面就可以写复制病毒所需要的autorun.inf过去啦! -----------anti_autorun_ban.bat------------- 道高一尺,魔高一丈
回复 支持(2) 反对(0)   举报
第48楼 枫卷残韵 发表于 2007-06-14 01:38:54
-----------anti_autorun_ban.bat-------------



rd autorun.inf /s /q

del autorun.inf /f /q rem 下面就可以写复制病毒所需要的autorun.inf过去啦! -----------anti_autorun_ban.bat-------------
回复 支持(0) 反对(0)   举报
第49楼 枫卷残韵 发表于 2007-06-14 01:41:38
倒塌,CB回复居然没有换行

-----------anti_autorun_ban.bat-------------

rd autorun.inf /s /q

del autorun.inf /f /q rem 下面就可以写复制病毒所需要的autorun.inf过去啦! -----------anti_autorun_ban.bat-------------
回复 支持(0) 反对(0)   举报
第50楼 匿名人士 发表于 2007-06-14 08:46:11
关闭了autorun,你双击盘符的时候还是一样运行了病毒。
回复 支持(0) 反对(0)   举报
第51楼 匿名人士 发表于 2007-06-14 09:58:01
这根本就没看。。。
回复 支持(0) 反对(0)   举报
第52楼 匿名人士 发表于 2007-06-14 11:40:40
autorun.inf.是目录,可以的。
回复 支持(0) 反对(0)   举报
第53楼 匿名人士 发表于 2007-06-14 11:45:41
关键现在好多U盘是mp3 手机卡 数码相机卡 都不支持ntfs啊
回复 支持(0) 反对(0)   举报
第54楼 匿名人士 发表于 2007-06-14 20:34:45
彻底解决双击盘符的运行问题:http://www.iamcj.net/blog/2007/06/14/disable-the-autoruninf-forever/



感谢cnlong
回复 支持(0) 反对(0)   举报
第55楼 cnlong 发表于 2007-06-16 09:03:31
当然能,我说的不能运行是指双击盘符不会运行根目录下的autorun.inf,但是双击文件还是正常运行
回复 支持(0) 反对(0)   举报
第56楼 HCL 发表于 2007-06-21 22:39:05
这个方法似乎就是很普通的永久删除文件的方法 晚上专门的工具都有的下
回复 支持(0) 反对(0)   举报
第57楼 匿名人士 发表于 2007-10-25 22:10:54
我战败了
回复 支持(0) 反对(0)   举报
热门评论
匿名人士 发表于 2007-06-13 18:35:02
闷不闷啊各位....每每看到这些教杀AUTORUN的,我都已经麻木了
回复 支持(22) 反对(0)   举报
匿名人士 发表于 2007-06-13 18:33:27
对不起,你一屁股坐到阴沟了。。
回复 支持(20) 反对(1)   举报