深入研究U盘病毒免疫的有效方法
谢作如 [ 2008-3-12 13:31:00 ]

    最近学校arp病毒泛滥,究其根源还在于U盘的感染。有人说U盘病毒就像幽灵,删之又来,倒也不假。老师和学生的防范病毒的意识太弱了,看到U盘总是习惯于双击打开,想不中病毒也难。

    防范U盘病毒其实很简单,就是插入优盘时不要直接双击打开,也不能用右键的“打开”或者“资源管理器”打开,最安全的办法是在地址栏或者开始菜单的“运行”中输入盘符,如“h:”,或者先打开“资源管理器”,然后在树状菜单中展开相应的驱动盘。

    套句央视春晚的流行语:为什么呢?请看我的日志“颠覆传统的电脑病毒”。如果U盘病毒使用的是这样的Autorun.inf文件:
shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)
这种病毒的迷惑性较大,右键菜单看不出说明问题,如果你点“打开”,依然会运行Autorun.inf文件而中招。

    我不能改变学校众多教师和学生的使用电脑习惯,只能从病毒免疫方面入手。现在网上这类免疫软件很多,自己也可以写一个,很简单的。免疫工具的原理同样简单,就是建立同名目录。Windows规定同一目录下的文件和文件夹不能同名。于是,新建一个目录“autorun.inf",在可移动磁盘或者所有的驱动盘根目录下,可以防止早期未考虑这种情况存在的病毒创建autorun.inf,减少传播成功的概率。

    但是这并不是一劳永逸的做法,因为病毒会很聪明先判断目录是否存在,在生成autorun.inf之前先试图删除autorun.inf目录,所以为了防止目录被删除,后来又演变成建立autorun.inf下的非法文件名目录。在Windows NT Win32子系统下,诸如"filename."这样的目录名是允许存在的,但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法),直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的,会返回错误。但是,删除目录必须要逐级删除其下的整个树形结构,因此必须查询其下每个子目录的内容。因此,在“autorun.inf"目录建一个此类特殊目录,方法如"MD x:autorun.infyksoft..",可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。现在网上流行的U盘病毒免疫程序都是用的这种方法创建的,同事曾小巍的日志中就介绍了这种做法:
md        K:\autorun.inf     
md        K:\autorun.inf\a..\  
    道高两尺,魔高两丈,U盘病毒也会升级到了第三代。这种病毒可以轻易的检测出免疫文件并将其删除掉,此种病毒只是多加了一行代码:
rd        /s        /q        K:\autorun.inf     
或者直接改名:
RENAME   c:\autorun.inf    ttdt     
然后再创建病毒autorun.inf就可以了,一旦病毒运行就监控它autorun.inf,这样再免疫也白费了......     
  
    如何建立一个病毒不能删除的具有金刚不坏之身的Autorun.inf免疫文件呢?这时只能祭起NTFS文件系统权限这一法器了。将U盘、移动硬盘格式化为NTFS文件系统,创建Autorun.inf目录,设置该目录对任何用户都没有任何权限,病毒不仅无法删除,甚至无法列出该目录内容。详细步骤如下:
1.开始——运行——cmd,打开命令行窗口;
2.运行convert k: /FS:NTFS(假设U盘是K:盘),将U盘格式转化为NTFS格式。若转换不成功,则先对U盘进行磁盘扫描一遍,或者把盘中内容复制出来直接格式化为NTFS格式;
3.在U盘根目录下建立autorun.inf文件夹,点击右键,将其属性改为只读、隐藏,然后应用,再点“安全”选项卡,“高级”,在默认的“权限”选项卡中下面两项的勾去掉。确定。
通过此种方法建立的免疫文件,已经具有很强的“抗击打能力”,现在的U盘病毒基本对其无计可施。

    同样的,可以在硬盘、移动硬盘的各盘的根目录下建立这样的免疫文件。还有,为了防止免疫失败,再加强一步,干脆干掉Windows的自动运行特性,这样以来Autorun文件就成为一个普通的Windows文件,再也无法启动病毒了。此时您的电脑与U盘基本上已经安全了,至少不会受U盘病毒的侵害。

   但是,谁也不要高兴太早,病毒的作者可能很快就会做出更强大的方案,比如先使用命令行取到自己的权限,然后删除该文件夹。可见最大的问题不在怎么防止生成这个autorun.inf上,而是系统本身、Explorer的脆弱性。

    以上病毒免疫的工作可以使用“U盘免疫器V1.5.exe”来完成,学校181服务器(常用软件)中提供下载,或者点击这里下载。U盘免疫器V1.5.rar


  • 标签:U盘病毒 
    • Re:深入研究U盘病毒免疫的有效方法
    周楷(游客) [ 2008-3-19 18:16:00 ]
    周楷(游客)谢老师啊,现在不用再研究U盘病毒了,很多专杀都能对付。我现在学校里用《Autorun病毒防御者》,开启U盘监控,还可以选择“当插入U盘自动打开”功能。很不错的软件。
    个人主页 | 引用 | 返回 | 删除 | 回复
    发表评论:
    载入中...
    Powered by Oblog.