AutoRun病毒剖析的学习课件

AutoRun病毒剖析的学习课件第1页/共32页主要内容AutoRun病毒的工作原理AutoRun病毒的机制AutoRun病毒的防治措施AutoRun的典型利用第2页/共32页AutoRun病毒工作原理光盘放入光驱自动执行AutoRun.infCdvsd.vxd此文件随时侦测光驱中是否有放入光盘的动作，如果有则寻找光盘根目录下的autorun.inf文件Windows的autorun功能，使用户的系统和网络上的驱动器有自动运行功能，如，自动播放、双击以及与自动运行关联的语境菜单autorun病毒原理主要是通过配置autorun.inf文件来运行病毒文件第3页/共32页AutoRun病毒的机制Autorun.inf[AutoRun]shell\open=打开(&O)shell\open\Command=***.exeshell\explore=资源管理器(&X)shell\explore\Command=***.exe演示第4页/共32页AutoRun病毒的机制[AutoRun]的关键字icon：指定驱动器图标label：指定驱动器卷标shellexecute：自动运行并打开指定文件shell：指定默认右键菜单名称shell\verb：添加自定义右键菜单等[DeviceInstall]的关键字仅用于CDROM，用来指定安装驱动程序时所搜索的目录DriverPath=驱动程序路径当系统监测到一个新的设备时，会提示用户寻找设备的驱动程序当用户点选此CD-ROM时，当[DeviceInstall]部分存在时，系统会按照DriverPath所标记的路径出寻找驱动程序，未标记的路径系统将忽略查找；当[DeviceInstall]部分不存在时，系统将进行完全查找；若只有[DeviceInstall]而没有DriverPath部分，那么系统将不在CD-ROM中搜索驱动程序第5页/共32页AutoRun.inf文件格式Icon格式：Icon=图标路径名[,序号]含义：指定设备显示图标参数：图标路径名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll当文件格式为.exe和.dll时，文件可能包括多于一个图标，此时需要使用序号来指定图标，序号从0开始备注：设备显示图标将在windowsexplorer核心的驱动显示窗口中替代设备的默认图标来显示图标路径名的默认目录是设备根目录，写完整路径时，不带盘符冒号和反斜杠，如Icon=IconLibrary\Pencil.ico即可第6页/共32页AutoRun.inf文件格式Label格式：Label=描述符含义：指定设备描述符参数：描述——任意文字，可以包括空格备注：设备描述将在windowsexplorer核心的驱动显示窗口中替代设备的默认描述\卷标来显示在非windowsexplorer核心的驱动显示窗口中（例如右击设备选择属性）显示的仍然是设备的卷标第7页/共32页AutoRun.inf文件格式ShellExecute格式：ShellExecute=执行文件路径名[参数]含义：指定设备启用时执行文件（双击和自动播放）参数执行文件路径名：设备启用时执行文件路径名。可以是任意格式文件，系统会调用设置的程序执行此文件参数：根据执行文件作调整备注：命令行的起始目录是设备根目录和系统的＄Path环境变量第8页/共32页AutoRun.inf文件格式Shell\关键字\Command格式：Shell\关键字\Command=命令行(命令行：程序路径名[参数])含义：定义设备右键菜单并执行命令行参数：命令行——自动运行的命令行，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开备注：命令行的起始目录是设备根目录和系统的＄Path环境变量第9页/共32页AutoRun.inf文件格式Shell\关键字格式：Shell\关键字=文本含义：定义设备右键菜单文本参数：关键字：用以标记菜单，可以使用任何字符表示，包括空格文本：在右键菜单中显示的文本。可以使用任何字符，不能存在空格。备注：在同一Autorun.inf文件中，不同右键菜单关键字不同，相同右键菜单关键字相同右键菜单文本中可以使用&设定加速键，&&输出一个&使用此命令时必须配合相应的Shell\关键字\Command命令使用第10页/共32页AutoRun.inf文件格式Shell格式：Shell=关键字含义：定义设备启用时运行的设备右键命令参数：关键字——标记过的菜单关键字备注：Shell指定的关键字可以在AutoRun.inf文件的任意部分ShellExecute、Shell命令，后定义的优先级高第11页/共32页Autorun.inf被病毒利用的方式1Shell\open\command=filename.exe将设备右键系统自带的“打开”菜单的动作定义为filename.exeshell\explore\Command=filename.exe将设备右键系统自带的“资源管理器”菜单的动作定义为filename.exe第12页/共32页Autorun.inf被病毒利用的方式2Shellexecute=filename设置“自动播放”菜单项设置自动播放时打开的程序为filename此filename可为可执行文件，也可为其他windows关联程序文件第13页/共32页Autorun.inf被病毒利用的方式3Shell\自增菜单项\command=filename.exe添加“自增菜单项”到设备右键的菜单项当点击该菜单项时执行filename.exe与“shell=自增菜单项”配合使用自增菜单项设置为右键第一个菜单项，双击时运行该菜单项指向的程序第14页/共32页Autorun.inf被病毒利用的方式4Shell\关键字=自增菜单项与“Shell\关键字\command=filename.exe”配合使用向设备右键添加“自增菜单项”并当用户点击时执行filename.exe第15页/共32页AutoRun病毒演示Autoexec.bat结合autorun.inf第16页/共32页AutoRun病毒的防治措施1建立autorun.inf同名目录目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名新建一个目录“autorun.inf”在根目录下，可以防止病毒创建autorun.inf，减少传播成功的概率第17页/共32页AutoRun病毒的防治措施2在同名目录下增加代码不可删除目录名有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录在WindowsNTWin32子系统下，诸如“a.”这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容在“autorun.inf”目录建一个此类特殊目录，可以防止autorun.inf目录被程序代码轻易删除建立此类特殊目录的命令：在DOS下，使用MDa..\建立a.目录第18页/共32页AutoRun病毒的防治措施3利用NTFS权限控制针对上面一种方法，病毒制造者通过利用WindowsNT的NativeAPI中的文件系统函数直接插手，删除特殊目录将磁盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容

第19页/共32页AutoRun病毒的防治措施4利用NTFS权限控制法2针对上面一种方法，病毒制造者可先修改文件夹名称，再将病毒文件考入将U盘格式化为NTFS格式，然后建立一个目录用来存放文件将U盘根目录设为只读将建立存文件的目录设为完全控制这样该U盘根目录下就无法写入文件，当然包括autorun病毒的autorun.inf为文件第20页/共32页AutoRun病毒的防治措施5组策略关闭AutoRun功能全部禁用WindowsXP的自动播放功能单击“开始→运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口在左窗格的“本地计算机策略”下，展开“计算机配置→管理模板→系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭“组策略”窗口第21页/共32页AutoRun病毒的防治措施6注册表关闭AutoRun功能在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，这个键决定了是否执行CDROM或硬盘的AutoRun功能双击“NoDriveTypeAutoRun”，可修改相应数值该值二进制形式的每位代表一个设备，相应的位置1表示关闭该设备的自动运行功能，为0为打开。具体设备对应的位如下：第22页/共32页AutoRun病毒的防治措施6续第23页/共32页AutoRun病毒的防治措施7修改权限法

打开注册表编辑器后展开项，进入[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]右键点MountPoints2选择权限依次点击“安全中的用户和组”，在下面的权限中都改成拒绝刷新一遍，此后即使U盘有病毒也不会激活，双击U盘会正常进入U盘WindowsXP在插入光盘、U盘时将扫描里面有没有autorun.inf文件，如果有，就会将autorun.inf文件指定的自启动程序添加到“MountPoints2”注册表项，并且让鼠标右击对象后出来的菜单中除了正常的“打开”命令外，还出现“自动播放”、“AUTO”等其他的右键菜单命令。因此，如果禁止任何程序读写“MountPoints2”注册表项，就可以禁止系统在双击光盘、闪存的盘符时自动运行autorun.inf第24页/共32页AutoRun病毒的防治措施8驱动器隐藏法1.隐藏驱动器打开注册表编辑器，进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer，新建二进制值“NoDrives”，缺省值是00000000，表示不隐藏任何驱动器键值由4个字节组成，每个字节的每一位（bit）对应从A到Z的一个盘，当相应位为1时，“我的电脑”中的相应驱动器就被隐藏了第一个字节代表从A到H的八个盘，即01为A、02为B、04为C……依此类推，第二个字节代表I到P；第三个字节代表Q到X；第四个字节代表Y和Z。U盘的盘符是接着现有盘符往下推如U盘是G:这个盘符，那么只需将G:隐藏，即将G对应的那一位置1即可，则插入U盘也不会在“我的电脑”里显示2.建立访问文件新建一个文本文件，输入“start被隐藏的盘符”，如：“startG：”，另存为“进入U盘.bat”通过双击该批处理文件来打开U盘第25页/共32页AutoRun病毒的防治措施实际病毒1——RavMonE.exe通过U盘、移动硬盘传播，企图伪装成瑞星杀毒软件的进程RavMon.exe和RavMonD.exe来误导用户症状：打开移动硬盘的速度变得很慢；双击U盘等好几秒后弹出任务管理器模式的文件夹，而不是直接打开；U盘不能正常退出组成：

autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog

当用户双击U盘盘符，会激活autorun.inf自动加载RavMonE.exe

手动查杀：停止进程，删除文件，修改注册表run项第26页/共32页AutoRun病毒的防治措施实际病毒2——sxs瑞星称为Trojan.PSW.QQPass.pqb病毒特征为：通过可移动磁盘传播，主要危害是盗取QQ帐户和密码，并且会终止大量反病毒软件的进程，降低系统的安全等级涉及文件：autorun.inf，rose.exe，sxs.exe，svohost.exe手动查杀：停止进程，修改注册表显示出隐藏文件和系统文件，删除病毒文件，修改注册表run项第27页/共32页AutoRun的典型利用设置个性盘符制作自启动光盘定制音乐播放盘第28页/共32页设置个性盘符在需要更改图标的磁盘的根目录下面新建一个AutoRun.inf文件[AutoRun]ICON=C:\Windows\System\Shell32.DLL,21说明：Shell32.DLL是一个Windows系统文件，里面包含有很多Windows的系统图标，21表示显示为编号为21的图标也可以使用其它图片文件，只需要在“ICON”一行写出相应的路径即可第29页/共32页制作自启动光盘在刻录光盘时指定光盘自动运行光盘上的某个程序，只需要在光盘根目录下新建一个autorun.inf文件，里面的内容为：[AutoRun]shellexecute=MyRun.BATICON=Mylcon.ICO其中MyRun.BAT、Mylcon.ICO分别是指定的需要自动运行的程序和图标文件把Autorun.inf、MyRun.BAT和Mylcon.ICO三个文件放到CD-R的根目录中一并刻录，刻出来的