全面认识autorun inf 病毒.doc

全面认识autorun inf 病毒总说U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的。现状分析事实表明，目前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如：重要文件.exe，小说.exe)。对于以上这两种传播方式的病毒，仅仅建立autorun.inf文件夹是抵御不了的。应对策略1、在插入U盘时按住键盘 shift 键直到系统提示“设备可以使用”，然后打开U盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器(打开我的电脑，按下上面的“文件夹”按钮，或者开始-所有程序-附件-windows资源管理器)将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备！(要养成这样的良好习惯) 2、如果盘内有来路不明的文件，尤其是文件名比较诱惑人的文件，必须多加小心；需要特别提示的是，不要看到图标是文件夹就理所当然是文件夹，不要看到图标是记事本就理所当然是记事本，伪装图标是病毒惯用伎俩。3、要有显示文件扩展名的习惯 。方法：打开“我的电脑”，工具-文件夹选项-查看，去掉“隐藏已知文件类型的扩展名”的勾，建议选择显示扩展名同时选上“显示隐藏文件”，去掉“不显示系统文件”的勾，这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件，显示文件扩展名之后，通过文件名后的.exe即可判断出一个文件可执行文件，从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。4、最后不管你用什么办法，或者用什么软件，插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理，然后按提示操作。注，批处理使用方法：打开开始菜单-附件-记事本，复制批处理内容进去，文件-另存为-文件名：xxxxxxx.bat，保存类型：所有文件-保存。然后找到你保存的位置，会出现一个批处理文件，双击运行即可。echo off&setlocal enabledelayedexpansionecho 请在U盘和电脑没有病毒的情况下插入一个U盘&set /p d=请输入U盘的盘符(比如输入H): set d=!d:0,1!&set a=autorun.inf.!random!.tmpif exist !d!:autorun.inf attrib.exe -s -h -r !d!:autorun.inf&ren !d!:autorun.inf !a!(echo autorun&echo open=calc.exe&echo shellexecute=calc.exe&echo shell=exploreecho shellopencommand=calc.exe&echo shellexplorecommand=calc.exe)!d!:autorun.infecho 现在删除并重新插入U盘&echo 打开U盘,如果出现计算器&echo 说明你有中Autorun.inf类型病毒的机会echo 完成后按任意键继续&pausenuldel !d!:autorun.inf&if exist !d!:!a! ren !d!:!a! autorun.inf&goto :eof推荐的其他方法：1、推荐一种彻底拒绝Autorun.inf类型病毒的方法.运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒（不会占用计算机资源，运行一次即可对当前用户名生效）：ECHO offREG.exe DELETE HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /fREG.exe ADD HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2ECHO HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 %temp%temp.txtREGINI.exe %temp%temp.txtGOTO :eof如果想再恢复Autorun.inf功能运行这个批处理:ECHO offECHO HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 7%temp%temp.txtREGINI.exe %temp%temp.txtREG.exe DELETE HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 /fREG.exe ADD HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2GOTO :eof2、对于伪装型病毒，可以通过它的可执行属性判断出来。除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征-.exe扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个.exe。以管理员身份运行下面的批处理:ECHO offREG.exe ADD HKCRexefile /v AlwaysShowExt /t REG_SZ /fTASKKILL.exe /im explorer.exe /fSTART %windir%explorer.exeGOTO :eof要恢复不显示exe扩展名运行这个批处理:ECHO offREG.exe DELETE HKCRexefile /v AlwaysShowExt /fTASKKILL.exe /im explorer.exe /fSTART %windir%explorer.exeGOTO :eofautorun.infautorun.inf文件是从Windows95开始的，最初用在其安装盘里，实现自动安装，以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。 其结构有三个部分：AutoRun AutoRun.Alpha DeviceInstall AutoRun适用于Windows95以上系统与32位以上CD-ROM，必选。 AutoRun.alpha适用于基于RISC的计算机光驱，适用系统为Windows NT 4.0，可选。 DeviceInstall适用于Windows XP以上系统，可选。 AutoRun部分的命令及其详解 1、DefaultIcon 含义：指定应用程序的默认图标。 格式： DefalutIcon=图标路径名,序号 参数： 图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。 序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。 备注： 应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。 图标路径名的默认目录是设备根目录。 2、Icon 含义：指定设备显示图标。 格式： Icon=图标路径名,序号 参数： 图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。 序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。 备注： 设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。 图标路径名的默认目录是设备根目录。 当存在应用程序默认图标(DefaultIcon)时，本命令无效。 3、Label 含义：指定设备描述 格式： Label=描述 参数： 描述：任意文字，可以包括空格。 备注： 设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。 在非windows explorer核心的驱动显示窗口中（例如右击设备选择属性）显示的仍然是设备的卷标。4、Open 含义：指定设备启用时运行之命令行。 格式： Open=命令行 (命令行：程序路径名 参数) 参数： 命令行：自动运行的命令行，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开或使用ShellExecute命令。 备注： 命令行的起始目录是设备根目录和系统的Path环境变量。 5、ShellExecute 含义： 指定设备启用时执行文件。（操作系统支持未知） 格式： ShellExecute=执行文件路径名 参数 参数： 执行文件路径名：设备启用时执行文件路径名。可以是任意格式文件。系统会调用设置的程序执行此文件。 参数：参数，根据执行文件作调整 备注： 命令行的起始目录是设备根目录和系统的Path环境变量。 6、Shell关键字Command 含义： 定义设备右键菜单执行命令行。 格式： Shell关键字Command=命令行 (命令行：程序路径名 参数) 参数： 命令行：自动运行的命令行，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开。 备注： 命令行的起始目录是设备根目录和系统的Path环境变量。 7、Shell关键字 含义：定义设备右键菜单文本。 格式： Shell关键字=文本 参数： 关键字：用以标记菜单，可以使用任何字符表示，包括空格。 文本：在右键菜单中显示的文本。可以使用任何字符，不能存在空格。 备注： 在同一Autorun.inf文件中，不同右键菜单关键字不同，相同右键菜单关键字相同。 右键菜单文本中可以使用&设定加速键，&输出一个&。 Shell关键字Command命令Shell关键字两者缺一不可，顺序无所谓。 当不存在Open、ShellExecute与Shell命令时，设备启用时运行第一个设备右键菜单指定命令。 8、Shell 含义：定义设备启用时运行之设备右键命令。 格式： Shell=关键字 参数： 关键字：标记过的菜单关键字 备注： Shell指定的关键字可以在AutoRun.inf文件的任意部分。 OpenShellExecuteShell命令后定义的优先级高。AutoRun.alpha部分的命令简介AutoRun.alpha部分的命令与AutoRun部分的命令相同，只不过在基于RISC的计算机光驱中，AutoRun.alpha优先级高于AutoRun DeviceInstall部分命令及其详解DriverPath 含义：定义搜索驱动程序目录。 格式： DriverPath=驱动程序路径 参数： 驱动程序路径：驱动程序所在路径，包括其子路径。 备注： Windows XP以上支持。 仅CD-ROM支持 当系统监测到一个新的设备时，会提示用户寻找设备的驱动程序。当用户点选此CD-ROM时，当DeviceInstall部分存在时，系统会按照DriverPath所标记的路径出寻找驱动程序。未标记的路径系统将忽略查找。当DeviceInstall部分不存在时，系统将进行完全查找。 如果不希望系统在此CD-ROM中搜索驱动程序，只加一行DeviceInstall不加DriverPath命令即可。 系统识别该文件过程如下： 系统在插入U盘的时候会根据这个AUTORUN.INF文件在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2下建立一个u盘的关联项,使双击打开指定的程序(如病毒程序)。Windows 2000/XP下如何删除autorun.inf文件夹在命令提示符中，输入rd (文件夹路径）即可删除文件夹如文件夹内有内容可把rd替换为deltree来完成删除。=清除autorun病毒的批处理文件代码u盘插上首先新建个文本文档，在里面添加以下内容: echo on taskkill /im explorer.exe /f rem 结束病毒进程(以u.vbe病毒的进程w.exe为例)taskkill /im w.exe start reg add HKCUSOFTWAREMicrosoftWindowsCurrentVersionEXplorerAdvanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg import kill.reg del c:autorun.* /f /q /as del %S