菜菜鳥:前幾天我中了閃存病毒,利用《電腦報》教的方法查殺了。我對閃存病毒的工作原理比較好奇,想知道它是怎麼危害我們這些網民的,哪位大蝦可以指點迷津?
唉!現在閃存病毒四處肆虐,像你這樣的受害者數不勝數。之所以這種方法流行,一個重要原因就是黑客發現對病毒進行閃存化很簡單,當真是誰用誰知道!
閃存病毒主要是通過閃存等可移動存儲設備進行感染,一般是利用“Autorun.inf”文件進行病毒激活,讓系統的“自動播放”功能來觸發病毒進行傳播,而且每當我們雙擊閃存分區圖標時,該病毒就會通過“Autorun.inf”文件中的設置再次激活病毒,導致病毒復發,難以清除。
小知識:Autorun,也指Autorun.inf,是電腦操作系統的DVD以及閃存自動播放功能,也可以用於自動運行文件及修改磁盤圖標。
一般情況下,只要右擊自己的閃存,第一項顯示的不是“打開”而是“Auto”、“自動播放”、“Open”、“Browser”等選項,則說明你的閃存可能已經中病毒或曾經中過病毒了(圖1)。
一般Autorun.inf有這麼幾行命令:
[autorun]
open=**** //雙擊盤符自動打開****文件
icon=****.ico //將盤符圖標變成****.ico
shell=**** //新增右鍵選擇菜單項目為****
當讀者打開盤符的時候就已經自動運行****這個文件了,下面我們就來剖析閃存病毒的工作原理。tW.WinGwIt.COm
第一步: 制作病毒
新建一個文本文件或記事本文件,在文件中輸入以下內容:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
其中sxs.exe是服務端文件名,也就是病毒或木馬文件名。輸入完畢後保存,然後用鼠標右鍵點擊該文件,在彈出菜單中選擇“重命名”,改名為AutoRun.inf。把AutoRun.inf和配置好的服務端sxs.exe一起復制到用戶的驅動盤根目錄下,這樣不需要對方運行服務端程序,而只須對方雙擊D盤就會使病毒或木馬運行(圖2)。
第二步:感染病毒
當計算機用戶將沒有任何病毒的閃存插入潛伏了病毒的主機上,通過一些常用的操作後,可能就會激發病毒程序。病毒首先會將自身復制到閃存中,同時創建一個名為AutoRun.inf的文件。此時,病毒順利地在閃存上扎根了。
第三步:傳播病毒
由於Windows系統具有“自動播放”功能,當計算機用戶把閃存插入到計算機上後, Windows系統的“自動播放”功能就會自動運行AutoRun.inf文件裡面的設置,將病毒種植在這台計算機上,此時病毒就會在Windows系統中扎根了。
即便計算機用戶利用殺毒軟件殺掉了硬盤中的病毒,但只要雙擊閃存盤符,照樣會激活閃存中的AutoRun.inf文件,病毒程序就會再次運行。
總結
知道了原理,我們就好防范了。除了要對電腦安裝防火牆和殺毒軟件並經常進行升級外,還應該關閉操作系統的“自動播放”功能。此外,在使用閃存之前,最好先查殺一下。
小知識:AutoRun.inf主要命令參數格式
1.自動播放運行程序
(1)Open命令:在光盤驅動器上生成“自動播放”菜單項。“=”後的文件必須是exe、bat、com類型的文件。
格式:open = =*.exe,*.bat,*.com
注意:*.exe,*.bat,*.com文件必須和AutoRun.inf文件在同一根目錄下。
(2)ShellExecute命令:在所有的驅動器上生成“自動播放”菜單項。雙擊時自動運行“=”後的文件,此時“=”後可以為任意擴展名的文件。
格式:shellexecute=*.*或[path\]*.*
2.自定義驅動器圖標
格式:icon=[path\]圖標文件名或是[path\]*.exe[,0,1,2...]*.dll[,0,1,2...]
圖標文件名:包含圖標信息的 .ico、.bmp、.exe、.dll文件名。如果該文件包含多於一個圖標,必須用一個從0開始的索引進行標記。
注意:path路徑必須是本驅動器的路徑,即ico bmp、exe、dll必須在本驅動器內。
3.添加右鍵菜單
格式:shell\n=名稱
shell\n\command=命令
兩者合成:shell\名稱\command=命令
“shell”指菜單,“n”可以為任意字符串,“名稱”即你想要的右鍵菜單名稱,命令即你在單擊該菜單項時執行的命令。
From:http://tw.wingwit.com/Article/Network/201309/403.html