浅谈autorun病毒运行机制及其防治方法

2022-09-12

随着互联网、局域网的日益普及, 病毒尤其是木马病毒的日渐猖獗, 计算机安全已是系统管理员和个人用户越来越重视的问题。现在较为流行的木马病毒主要通过恶意网站、ARP欺骗、系统的自动运行功能等方法在互联网、局域网、和移动设备上传播。

最近流行autorun病毒, 例如:autorun.pif、setup.exe、熊猫烧香、AV终结者等著名病毒都可以通过系统的“自动运行”功能进行传播。一旦一台机器染毒, 通过移动设备, 很容易感染多台计算机, 甚至导致整个局域网瘫痪。

本文在充分分析该类病毒的启动机制和运行原理的基础上, 提出了有效的防治此类病毒的方法。

1 病毒启动机制分析

autorun病毒主要凭借autorun.inf文件启动, 这是Windows自带的自动运行功能的一部分。autorun.inf文件自Windows95就已经存在, 设计初衷和功能是为了方便用户访问光盘、U盘、移动硬盘等移动设备。其本身不是病毒, 但其规则却使得病毒、木马、蠕虫得以轻松运行, 从而导致某个分区无法进行访问, 或导致私密信息、重要资料外泄, 账户被盗, 甚至会在不知情的情况下成为网络攻击的帮凶, 向其它计算机散发病毒。

autorun.inf是驱动器根目录下的一种特殊格式的文件, 默认状态下进入某分区时系统会首先判断是否有该文件, 如果有则读取其内容, 并自动执行autorun.inf中指向的可执行文件, 如:com、exe、bat等。因此, 很多木马病毒通过autorun.inf方式启动, 可以很轻易的感染各硬盘分区和移动存储设备, 并通过移动设备传播。

autorun.inf文件结构有三个部分:[AutoRun][AutoRun.Alpha][DeviceInstall]

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM, 必选。

[AutoRun]部分的命令及其详解。

1.1 Icon

含义:指定设备显示图标。

格式:Icon=图标路径名[, 序号]

参数:图标文件名——应用程序的默认图标路径名, 格式可以为*.ico、*.bmp、*.exe、*.dll等。一般的驱动光盘、随书附赠的学习光盘都会有特殊图标, 图标路径名的默认目录是设备根目录。

1.2 Open

含义:指定设备启用时运行之命令行。

格式:Open=命令行 (命令行:程序路径名[参数])

参数:命令行——自动运行的命令行, 必须是*.exe、*.com、*.bat文件。命令行的起始目录是设备根目录或系统的Path环境变量所指向的路径。

如果是病毒或木马生成的autorun.inf, 则“Open=”一定指向可执行病毒程序, 这也是我们通过察看autorun.inf确认病毒类型和名称的一种简单方法。

一个典型的木马生成的autorun.inf文件内容如下 (//后面为注释) :

[AutoRun]//表示autorun部分开始

open=system.pif//指定运行程序的路径和名称

可以看出, 程序结构是由[AutoRun]开始的, open命令所指向的system.pif即为该木马的主文件, 一般都被木马设置为系统、隐藏属性, 较难发现。自动运行程序的启动方式使得病毒足以屏蔽用户对该分区的操作, 只要用户双击鼠标左键打开该分区, 就会自动执行所感染的病毒。

2 病毒防御方法

2.1 禁止autorun.inf文件自动读取

编辑组策略或者注册表, 理论上都可以禁止在对分区操作时自动读取autorun.inf文件, 从而达到免疫autorun病毒的目的。

2.1.1 编辑组策略

对于专业版的WinXP和Win2003等有组策略的系统, 可以通过编辑组策略来预防autorun病毒。

具体操作方法为:启动计算机“开始”菜单中的“运行”命令, 打开“运行”对话框, 并在该对话框中输入“gpedit.msc”, 打开组策略管理器, 定位到:用户配置→管理模版→系统, 在右边的窗口中双击“关闭自动播放”, 在出现的对话框中选择“已启用”, 且将对象设置为“所有驱动器”, 单击“确定”关闭对话框, 退出组策略。

编辑组策略可以禁止包括光驱、U盘在内的所有分区的自动运行功能, 也就截断了autorun病毒的运行途径。

2.1.2 编辑注册表

相对于编辑组策略, 这种方法基本上不受Windows操作系统版本的限制, 应用面更广泛, 但要求用户拥有管理员权限。

在“运行”对话框中输入regedit, 打开注册表编辑器, 展开到HKEY_CURRENT_USERSoftwareMicrosoftWindow sCurrentVersionPoliciesExploer主键下, 在右侧窗格中找到“NoDriveTypeAutorun”项, 它决定了是否执行各驱动器AutoRun功能。[2]

该健值是一个8位的二进制数, 各位的0值表示允许自动运行, 1值表示禁止, 将对应16进制的数值改为FF, 如果是十进制的数值则改为255, 则可以全面禁止所有设备的自动运行功能。

2.2 禁止生成autorun.inf文件

上述方法除受系统版本限制或者受用户权限限制之外, 还一个先天不足:因为这种编辑方法, 既可以手工修改, 也可以通过程序修改, 如果相关病毒和木马将用户编辑过的组策略或者注册表再改成原来的值, 就失去这种免疫力。

在Windows系统中, 文件夹也是一种文件, 只不过其属性较为特殊。同一文件夹下不允许存在同名的两个文件或文件夹, 针对autorun病毒的免疫机理就在于此。我们可以利用这个规定来自己建立一个名为autorun.inf的文件夹来防范autorun病毒。

点击“开始→运行”, 输入cmd后回车。再输入以下命令[3] (每行结束请按回车符, //后面为注释) :

F://这里的F可指定为任意盘符

md Autorun.inf//新建一个名为autorun.inf的文件夹

cd Autorun.inf//进入autorun.inf文件夹

md antivirus..//这一步是关键, 建立了一个名为antivirus..的文件夹, 在命令里比antivirus.多了.。

因为文件夹名包含非法字符“”, 在Windows下是无法创建的, 也无法被访问和删除;同理, 就使得其所在的autorun.inf文件夹在Windows下也无法被删除。木马程序如果尝试在F盘建立引导木马自动运行的autorun.inf, 则同样会被系统拒绝。从而达到了在F盘实现autorun病毒免疫的功能。其他盘符可依此类推。