leo108 - 2010-2-10 22:07:00
最初的autorun的形式很简单
[autorun]
shellexecute=mm.exe
插入U盘时如果直接双击,就会执行mm.exe这个文件,右键U盘可以明显地看到破绽:
这时,我们只要点击打开,就可以安全进入U盘,而不执行mm.exe
不久之后,很多人都懂得用右键来打开U盘。
于是,变种就出来了。
[AutoRun]
shellexecute=mm.exe
shell\open=打开(&O)
shell\open\Command=mm.exe
右键点击U盘,还是上面那个图片,有自动播放,也有打开,我们自然会用“打开”来进入U盘,可是事实是,你仍然执行了mm.exe,因为
shell\open=打开(&O)
shell\open\Command=mm.exe
这两句就是使右键里的“打开”的功能变为执行mm.exe
但是,自动播放这四个字太显眼,一看就知道中毒了,于是新变种出来
[AutoRun]
shell\open=打开(&O)
shell\open\Command=mm.exe
删去了shellexecute=mm.exe这句,效果如图
新的解决办法也出来了,右键之后,点击资源管理器,成功进入U盘,没有执行mm.exe
自然,病毒还会继续发展,再一次变种
[AutoRun]
shell\open=打开(&O)
shell\open\Command=mm.exe
shell\explore\Command=mm.exe
shell\find\Command=mm.exe
道理和上面一样,劫持了资源管理器和搜索的功能,让其执行mm.exe
这个时候,几乎所有U盘的右键都是被劫持的,无论点哪个都会执行mm.exe
Autorun的演变史大概就这样,下面介绍一下通常的杀毒方法
U盘病毒通常会做以下事情:
1.
在U盘生成autorun.inf及病毒体
2.
将U盘根目录所有文件夹属性设置为隐藏
3.
生成与文件夹同名的exe病毒文件,图标为文件夹图标
第一要确保杀毒用的电脑是无毒的,如果也中了autorun病毒,则要先清除,这个不在本文讨论范围。
首先进入“我的电脑”,在文件夹选项里设置“显示所有文件和文件夹”,并且将“隐藏受保护的系统文件”前面的勾去掉
然后在地址栏输入U盘盘符加一个冒号,然后按回车进入U盘
可以看到autorun,inf和病毒体,直接删除即可,病毒体可以从autorun.inf文件里面看出,比如shell\open\Command=mm.exe 则mm.exe即为病毒体
如果出现与文件夹同名且图标为文件夹的exe文件,不用说,肯定也是病毒,一同删去即可。
最后一步,恢复被隐藏的文件夹,右键文件夹,点击属性,把隐藏前面的勾去掉即可。
可是有时候前面的勾是灰色的,无法取消,这是因为文件夹属性被病毒设置为系统,这时候就要用到命令行了。
如图
在开始菜单了点击运行,输入“cmd”打开命令提示符
输入U盘盘符加一个冒号并回车
如H:
然后输入一下内容
attrib –s –h –a –r 文件夹名
比如被隐藏的文件夹名是123,那就要输入
attrib –s –h –a –r 123
U盘刷新一下,隐藏文件夹就回复正常了。
下面要说的是给U盘做免疫,工具还是命令提示符
在命令提示符里进入U盘,输入如下内容
mkdir autorun,inf
cd autorun,inf
mkdir 1..\
免疫原理是,在U盘根目录生成一个autorun,inf的文件夹,这时候病毒就无法创建autorun,inf文件。为防止病毒删除autorun,inf文件夹,我们在该文件夹里面生成一个畸形文件夹,使其无法被删除。
所谓道高一尺魔高一丈,现在有也出现U盘病毒将畸形文件夹改名的情况。我就想了一个办法,不过前提是你的U盘是NTFS格式的。我们可以利用cacls命令给autorun,inf文件夹设置访问权限,这样病毒就无法修改了。
仍然是在命令提示符里面输入
cacls autorun,inf /p everyone:n
现在尝试打开autorun,inf文件夹,会出现如图提示
这样就可以防止病毒修改autorun,inf文件夹了。
不过还是那句话,道高一尺魔高一丈,总有一天会出现能够修改权限的病毒,只有提高自己的防毒意识才能保证电脑原理病毒。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQPinyin 689; QQPinyin 722; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 1.1.4322; CIBA; 360SE)
[autorun]
shellexecute=mm.exe
插入U盘时如果直接双击,就会执行mm.exe这个文件,右键U盘可以明显地看到破绽:
这时,我们只要点击打开,就可以安全进入U盘,而不执行mm.exe
不久之后,很多人都懂得用右键来打开U盘。
于是,变种就出来了。
[AutoRun]
shellexecute=mm.exe
shell\open=打开(&O)
shell\open\Command=mm.exe
右键点击U盘,还是上面那个图片,有自动播放,也有打开,我们自然会用“打开”来进入U盘,可是事实是,你仍然执行了mm.exe,因为
shell\open=打开(&O)
shell\open\Command=mm.exe
这两句就是使右键里的“打开”的功能变为执行mm.exe
但是,自动播放这四个字太显眼,一看就知道中毒了,于是新变种出来
[AutoRun]
shell\open=打开(&O)
shell\open\Command=mm.exe
删去了shellexecute=mm.exe这句,效果如图
新的解决办法也出来了,右键之后,点击资源管理器,成功进入U盘,没有执行mm.exe
自然,病毒还会继续发展,再一次变种
[AutoRun]
shell\open=打开(&O)
shell\open\Command=mm.exe
shell\explore\Command=mm.exe
shell\find\Command=mm.exe
道理和上面一样,劫持了资源管理器和搜索的功能,让其执行mm.exe
这个时候,几乎所有U盘的右键都是被劫持的,无论点哪个都会执行mm.exe
Autorun的演变史大概就这样,下面介绍一下通常的杀毒方法
U盘病毒通常会做以下事情:
1.
在U盘生成autorun.inf及病毒体
2.
将U盘根目录所有文件夹属性设置为隐藏
3.
生成与文件夹同名的exe病毒文件,图标为文件夹图标
第一要确保杀毒用的电脑是无毒的,如果也中了autorun病毒,则要先清除,这个不在本文讨论范围。
首先进入“我的电脑”,在文件夹选项里设置“显示所有文件和文件夹”,并且将“隐藏受保护的系统文件”前面的勾去掉
然后在地址栏输入U盘盘符加一个冒号,然后按回车进入U盘
可以看到autorun,inf和病毒体,直接删除即可,病毒体可以从autorun.inf文件里面看出,比如shell\open\Command=mm.exe 则mm.exe即为病毒体
如果出现与文件夹同名且图标为文件夹的exe文件,不用说,肯定也是病毒,一同删去即可。
最后一步,恢复被隐藏的文件夹,右键文件夹,点击属性,把隐藏前面的勾去掉即可。
可是有时候前面的勾是灰色的,无法取消,这是因为文件夹属性被病毒设置为系统,这时候就要用到命令行了。
如图
在开始菜单了点击运行,输入“cmd”打开命令提示符
输入U盘盘符加一个冒号并回车
如H:
然后输入一下内容
attrib –s –h –a –r 文件夹名
比如被隐藏的文件夹名是123,那就要输入
attrib –s –h –a –r 123
U盘刷新一下,隐藏文件夹就回复正常了。
下面要说的是给U盘做免疫,工具还是命令提示符
在命令提示符里进入U盘,输入如下内容
mkdir autorun,inf
cd autorun,inf
mkdir 1..\
免疫原理是,在U盘根目录生成一个autorun,inf的文件夹,这时候病毒就无法创建autorun,inf文件。为防止病毒删除autorun,inf文件夹,我们在该文件夹里面生成一个畸形文件夹,使其无法被删除。
所谓道高一尺魔高一丈,现在有也出现U盘病毒将畸形文件夹改名的情况。我就想了一个办法,不过前提是你的U盘是NTFS格式的。我们可以利用cacls命令给autorun,inf文件夹设置访问权限,这样病毒就无法修改了。
仍然是在命令提示符里面输入
cacls autorun,inf /p everyone:n
现在尝试打开autorun,inf文件夹,会出现如图提示
这样就可以防止病毒修改autorun,inf文件夹了。
不过还是那句话,道高一尺魔高一丈,总有一天会出现能够修改权限的病毒,只有提高自己的防毒意识才能保证电脑原理病毒。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQPinyin 689; QQPinyin 722; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 1.1.4322; CIBA; 360SE)