瑞星卡卡安全论坛

前两天看到juminut兄关于U盘等移动存储设备的防毒简单措施（win xp）的帖子http://bbs.ikaka.com/showtopic-8693705.aspx 于是想到了谈谈我学些这个令人讨厌的autorun.inf病毒的一点心得和总结    要是有不对的地方还请大家指出啊:kaka12:

u盘病毒是利用windows系统的自动播放实现传播的
而autorun.inf就是自动播放的引导文件 所以如果要预防病毒的话首先应该禁止自动播放
而有的人为了防止autorun.inf病毒一般选用右键打开等等方式 下面是我总结的一些打开方式
1.自动播放: 
如果autorun.inf 中写入shellexecute=virous.exe 那么自动播放的话病毒运行
2&Auto:
open=virous.exe
shellexecute=virous.exe
Shell\auto\command=virous.exe
则右键会多出个auto 点击运行病毒
3.
open=virous.exe
shellexecute=virous.exe
shell\sys1=first
shell\sys1\command=virous1.exe
shell\sys2=second
shell\sys2\command=virous2.exe
这时候右键自动播放 病毒不会运行 右键菜单中会多出个first 和second 点击任何一个病毒运行
4.
shellexecute=virous.exe
shell\sys1=first
shell\sys1\command=virous1.exe
shell\sys2=second
shell\sys2\command=virous2.exe
这时候无论first，second还是自动播放病毒都运行
5.--------------注意这个啊 这个厉害:kaka12:
shell\open=打开--(&O)
shell\open\command=virous1.exe
shell\explore=资源管理器--(&x)
shell\explore\command=virous2.ee
shell\find=搜索--(&e)
shell\find\command=virous3.exe
右键会出现打开，资源管理器，搜索 点那个那个病毒运行 所以这就提醒大家右键打开也不保险
//所有的[AutorRun]这句都忘写了:kaka12:

最后是关于木马win32.autorun.acl这个就是学校机房常见的病毒之一了
感染效果就是隐藏所有文件夹  弄个exe文件 替换 主程序叫MS-DOS.com
open=MS-DOS.com
shellexecute=MS-DOS.com
shelll\open\command=MS-DOS.com
shell\explorer\command=MS-DOS.COM
当病毒运行每隔一段时间会把所有文件夹加上 +h +s 属性
同时建立一个同名病毒文件


我晕    大早上写了这么多 累死我了 累死我了 版主 能给个好评不:kaka4: :kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

不错

很好，建议楼主在拿样本测试一下，写下测试记录，那就更完美了:kaka12:

:kaka8: :kaka8:

不错。但是经常能看到autorun.inf文件里并不是写的启动项，而是一堆乱码。我感觉里面应该直接就是病毒本身。这是我一直想不明白的。不知有人能否解释解释？谢谢。

XP下程序的权限都太高:kaka6:



给你个样本测试下
样本：Safesys.exe
“死牛”或“犇牛”下载器
来自：学校本班的电教计算机
还原已被穿....
这个更猥琐

[AutoRun]
Open=SafeSys.exe
Shell\Open=打开(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SafeSys.exe

附件: AutoRun.rar

带着冰点呢 听楼上一说不敢双击那个exe文件了...装次电脑不容易啊。。。

autorun乱码 是不是编码的问题啊:kaka2:

乱码并且体积为50多kb那个autorun.inf文件应该就是conficker病毒了

被盗的那个样本，我虚拟机没有装系统，直接本机测试
WIN7 7100旗舰版
下载下来立马被RIS干了，就关了文件监控
下载后运行该样本，2秒后系统明显卡，几秒后倒计时蓝屏，重启
重启后WINDOWS疑难杂症窗口提示已经解决异常重启
立马扫SRENG
发现
[ocivk / ocivk][Stopped/Manual Start]
  <\??\C:\Windows\Fonts\ocivk.fon><N/A>

Autorun.inf
[E:\]
[AutoRun]
Open=SafeSys.exe
Shell\Open=打开(&O)
Shell\Open\Command=SafeSys.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SafeSys.exe

双击我的电脑，盘符并没有运行SAFESYS.EXE
这是为何？

附件: SREngLOG0.log

conficker的变种中过一次，只要是一联网，就死命的忘外发包啊~~:kaka6:

传播途径一般是靠U盘等移动设备和局域网传播~

现在据说还有潜伏期，等待着什么时间爆发，微软已经下了通缉令，通缉此病毒的作者~~

第五个不是我学校里机房插U盘后的经典语句吗？，我是删掉了一截，这样不能改又不会中:kaka12:

回复 10F 随缘92WJC 的帖子
Windows 7 有自动播放限制功能
不像XP
自己开始菜单---搜索“自动播放”

我中午也捣鼓了,在Win7下就是不自动运行:kaka6: 右键也无选项
再说这个毒已无大的破坏，N年前的毒了