科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道与流氓的较量 清除autorun.inf

与流氓的较量 清除autorun.inf

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现

来源:论坛整理 2008年12月6日

关键字: 病毒资料 病毒查杀 安全防范

  • 评论
  • 分享微博
  • 分享邮件

一、 AutoRun简介:

Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。见图0、图1。


图0


图1

二、运行方式:

A.

OPEN=filename.exe

自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。

B.

shellAutocommand=filename.exe
shell=Auto

修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢? 见图2。


图2

C.

shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

D.

shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)

这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。

 

三、 病毒清除、免疫方法:

A、免疫。在根目录建立autorun.inf文件夹,设置成只读。见图3。


图3

B、右键--"打开"。(手头没有任何杀毒软件的临时方法。参考“运行方式”的“D”条。)

C、批处理。(附件中有)清除感染的所有分区病毒。用的时候,把里面的“病毒.exe”替换掉。

@echo off
taskkill /f /im 病毒.exe
cd\
for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:\autorun.inf&attrib -s -a -r -h %%i:\病毒.exe& del %%i:\病毒.exe&del %%i:\autorun.inf

D、VBS脚本。(附件中有)用于已经感染的U盘、磁盘等。见图4(设置autorun.inf路径)、图5(设置exe病毒路径)、图6(清除成功)。


ON ERROR RESUME NEXT

ciker_path = InputBox("本程序能帮助您清除autorun.inf病毒。"&vbCr&vbCr&"请在下面输入autorun.inf所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\autorun.inf")

ciker_exe = InputBox("请在下面输入exe病毒文件所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\target.exe")

Set Fso=CreateObject("Scripting.FileSystemObject")
Set fl0=Fso.getfile(ciker_path)
Set fl1=Fso.getfile(ciker_exe)
fl0.delete
fl1.delete
msgbox "清除成功!"
wscript.quit


图4


图5


图6

E、设置权限,进行免疫。(附件中有)即使双击磁盘,也不自动运行。如果想手动更改的话,如图7所示,设置everyone为“拒绝”。


图7

嫌麻烦的话,用附件里的批处理(免疫.bat):

其中的setacl.exe大家自己google一下吧,被人说有木马之类的就不好了。
附件下载


 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章