Make a anti-autorun batch
现在木马/病毒的传播方式,比较有”特色”的,是通过可移动磁盘(优盘、移动硬盘、MP3、存储卡+读卡器),以及通过arp欺骗重定向所有局域网内电脑的www访问,我们今天讨论前者。
可移动磁盘的”自动运行”功能,应该是从Windows 95开始的,我的印象中,Win31的时代,似乎没有听说过这个东西。出来了那么多年了,似乎也没有听说有什么问题,最常见的就是软件的安装光盘放进去会自动开始安装,音乐CD放进去会自动开始播放,如果装了什么超级解霸之类的软件,VCD/DVD放进去也会自动播放。安全方面的,我就听说过一个利用这个来破解屏幕保护密码的,后来也没有关心,想来这个bug也应该修复了吧。
现在影响最大的,应该就是n多的病毒,都利用这个来传播了。优盘插上,没有任何动静的,就把你的系统感染了,然后再插上的任何优盘,都又成了传播的中介,不声不响之间,危害巨大。看到优盘的根目录下,有什么OSO啊,美女游戏啊,就是这些病毒了。
实现的原理很简单,关键就是autorun.inf文件,在默认情况下,这个文件会自动被加载,然后按照里面定义,可以启动一个可执行程序。autorun.inf的格式大致是下面这样:
[autorun]
open=autorun.exe
icon=autorun.exe,0
相当一目了然,第一行定义了自动运行的程序(如果是病毒,就可能是open=oso.exe了),第二行定义了显示的图标。
禁用自动运行的办法有很多,大致有服务、注册表、组策略三种(可能还有更多,欢迎补充),我这儿介绍最简单的一种,就是禁用Shell Hardware Detection服务,对于这个服务,微软自己的解释是”Provides notifications for AutoPlay hardware events”,也就是”为自动播放硬件事件提供通知”,把这个服务设置为Disabled(禁用),重新启动,自动运行功能就算是废掉了。
但是这依然是不安全的,原因是很多朋友(我觉得至少有50%),最习惯的方式就是打开电脑,然后不断的双击,进入驱动器,进入目录……),对于驱动器,默认的双击,在有autorun.inf存在的时候,就是运行里面定义的程序(在不存在autorun.inf的时候,才是打开),结果大家都能想到,就是相当于手动运行了病毒,自作孽啊……
如何彻底禁用这个功能,目前似乎没有直接的办法(希望过几天能够更新这个),所以我们就只能另辟蹊径,想办法如何不让病毒建立autorun.inf,虽然病毒母体依然会传播,但至少不会如此不明不白的扩散,以至于自己当了帮凶还不知道了。
- 最原始的办法自然是自己建立autorun.inf,但是马上病毒就开始删除或者覆盖了;
- 接下来是加上只读属性,这个也很容易破解,替换属性即可;
- 再接下来是建立同名目录,因为按照目前的定义,在存在同名目录的情况下,文件无法建立,然后病毒开始删除目录了;
今天这儿介绍的办法,是利用带点的目录,具体的技术文章大家可以Google到,具体流程是:
- 在磁盘根目录下建立autorun.inf目录;
- 进入autorun.inf目录;
- 建立autorun.inf.目录(注意这个.);
第三步是关键,因为在通常情况下,在有非空子目录的情况下,目录无法被删除(可惜的是这儿也有个办法……)。
我做了一个简单的bat文件,偷懒的朋友可以用用,呵呵,用法就是antiU 盘符,比如要处理f盘,就是antiU f:(注意冒号要带上)。
有什么意见,欢迎反馈。
——
更新:
2007-06-14:”枫卷残韵”提供了直接用基本命令删除此类文件夹的办法,残念,大家继续想办法;
2007-06-14:”lxltop”提供了用组策略禁用自动运行的说明,并且说这样可以让”自动播放”菜单不出现,我测试的结果是仍然会出来(或者我们的理解有偏差?我的意思是右键盘符出现的东西,或者说在我的电脑里面双击的结果),链接在这里:http://www.imxl.net/tattleskill/stop-autorun-virus.html 。
2007-06-14:相当重要的补充文章,Disable the autorun.inf forever,推荐参考阅读。
——
·本文由 iamcj 原创,采用
“CC创作共用”方式共享
Comments
30 Responses to “Make a anti-autorun batch”
Leave a Reply
搜了一下,wintears写过一篇类似的帖子,原理类似,但是应该是我的完善一点,呵呵:http://windtear.net/archives/2007/05/17/001234.html
其实这样做只是暂时有效。
我已经遇到过autorun.inf文件夹被改名的病毒。
虽然autorun.inf文件夹不能被删除,但是可以改名字的
不错的,好方法 !
一直是我怕用U盘的原因啊 !
我不是太懂你说的方法。
我把我的做法说一遍
我在我的移动硬盘g盘中。新建了一个autorun.inf 文件夹
再在这个文件夹下面新建一个文本文档。改名字为autorun.inf. 不过我的vista为什么自动把后面那点去掉了啊?
to Yeti:是的,这个不是彻底的解决办法,因为归根结底,autorun.inf不管是文件夹还是文件,都只能是标准的,否则不能阻止病毒产生的autorun.inf。但是目前的情况下,除了保持持续监控,没有更好的解决途径
to kokomi:你下载主页Download页面下的bat看一下,就知道怎么处理了。autorun.inf.是无法通过普通方法创建的,不管是在dos下win下还是vista下,都会自动的去掉那个点。cnbeta的评论员中间,有不少什么都不懂而在那边乱嚷嚷的,我也懒得去回复了,呵呵。
hi~~
本人电脑曾经被该病毒弄趴下过。。55
后来被iamcj弄好了!!
残念下~~
我觉得我的reply在一堆pro的回复里面显得很神奇。。
多学习么,早日也成为pro,哈
你好,由于我的imagecounter使用出现乱码,所以来求教下你,请问你有没有什么特别的操作么
怎么个乱码法?你开个页面或者截图让我看看?
———–anti_autorun_ban.bat————-
rd autorun.inf /s /q
del autorun.inf /f /q
rem 下面就可以写复制病毒所需要的autorun.inf过去啦!
———–anti_autorun_ban.bat————-
我按照我博客说得那样设置,自动运行菜单并没有激活,刚才又测试了一下。
给俺加个链接吧,我已经加上你了,终于有空去弄下博客了,设计累死我鸟
你看一下吧,在网站右下角,一开始把 imagecounter1.0文件夹名改成imagecounter,就剩下那么个错误,我把counter1。gif改名放到cache目录下,还是有这么个问题,劳烦你帮我看下吧。
to枫卷残韵,确实,真的要删除的话,参考我批处理里面处理的方式也可以,你的方式更好。而且病毒不会傻傻的用这种方式,实在不行,修改fat或者ntfs,让文件或者文件夹成为错误的丢失簇就行了。呵呵,想来病毒也会立刻跟进的。还有什么好一点的办法呢,继续研究ing
to cashi,是linux主机么?我感觉是目录权限的问题,你有没有办法修改的高一些?看起来这个插件是要生成用来缓存的cache,然后往临时目录写入东西的。可能作者觉得这样的效率高一些?其实如果访问者比较多,未必是一个好主意呢。
to lxltop,我设置了组策略,但是“自动播放”的菜单还是会生成的,而且在我的电脑里面双击,还是会调用。是不是你测试的优盘(光盘)本身就没有自动运行?哈哈(我反复测试了两张光盘,也重新启动过了)
另外,链接已经做好啦,谢谢:)
我去折腾一个能引用回复的插件去,呵呵,看来还是有必要的,省的每次都to xxx
应该已经OK了,测试一下
把那个bat发到我的邮箱里面吧。。
我没找到download页面啊。
我的邮箱kokomi爱她live.com
啊,怎么会找不到呢,看这儿:http://www.iamcj.net/blog/download/
彻底解决双击盘符的运行问题:http://www.iamcj.net/blog/2007/06/14/disable-the-autoruninf-forever/
在NTFS格式下,修改建立文件夹的权限,所有权限全部清掉,设置为不可用
这样的话,病毒还能删掉目录么?!~
我认为理论上可以,因为不少病毒可以获得system权限,甚至进入较低的ring层。另外一个问题就是,很多的设备,比如存储卡,不方便设置为ntfs方式。
带点的文件没办法删除吗???
有办法,我另外的文章里面也说了,只是麻烦一些而已
PegeFile.pif auto病毒夹带这个东西,会不会要格盘阿
看这个名字,肯定是病毒,格盘没用,杀毒才是关键
我也遇到了,有什么更好的方法吗?
看另外那篇文章啦,呵呵,至少可以保证自己的机器是安全的。其他么,要么优盘物理锁定吧,不然你能做的,病毒也总能的。