Auto病毒.docx
《Auto病毒.docx》由会员分享,可在线阅读,更多相关《Auto病毒.docx(8页珍藏版)》请在冰豆网上搜索。
Auto病毒
Auto病毒
本文由:
xp系统下载提供技术支持
--说明:
本文只适合对计算机病毒不大了解的人读来娱乐,高手就勿读了。
今天妹说MP3有问题不开。
拿过来瞧瞧,习惯性地,
在桌面上新建一个WinRAR压缩文件双击打开(右键-新建-WinRAR)。
在地址栏里定位到“可移动磁盘”看看根目录下有没有“应用程序”(U盘病毒)。
一般,通过U盘这种途径传播的病毒已经不再事什么新鲜事情了,
也许大家都有类似的经历:
拿U盘往别人机器上插,病毒就跑到了U盘里,
插到另外台电脑就中毒了。
很多人都想知道这种病毒是何时开始流行起来。
追溯到它的起源,
还得问下A盘是什么时候开始出现在商店的柜台里。
如果很久以前就开始用电脑
的老windows用户来说,对于autorun.inf这样一个文件并不陌生。
曾经这样的文件出现在A盘里,以前病毒就是依靠A盘来传播的,U盘取代了A盘,
自然就由应该由U盘来“接力”下去。
到底autorun.inf文件功能如何使鼠标双击驱动器之后,
就自动运行指定程序的效果。
其实这种效果大家都非常的熟悉,
比如:
主板驱动光盘放进光驱,光驱的图标变成一个
很好看的图标,双击打开光盘,还会发现自动弹出一个很漂亮、
友好的驱动安装界面。
这些是autorun.inf文件所给大家提供方便的效果,
还有Windows系统安装光盘,教学光盘等等也有这样的效果
(大家可以打开这类光盘根目录下有autorun.inf)。
那就让大家来认识下,
用记事本打开autorun.inf文件到底写了些什么东东在里面:
[autorun]
OPEN=程序.EXE
ICON=图标.ICO
最简单的就三行代码,把“autorun.inf”、“程序.exe”和“图标.ico”
三个文件放到分区的跟目录下,重启电脑,就可以达到:
修改驱动器图标的效果和双击驱动器打开指定应用程序。
本来这样的一个功能挺好的,如果脑筋好的还可以利用它来
修改一个自己喜欢的驱动器图标,让“我的电脑”变得更有个性化,
让自己制作的光盘更显“魅力”!
但可恶的是给一些别有用心的人利用了。
不能说这样的一个功能是一个神秘莫测的功能,
但对于不是很懂计算机的人来说,还真的觉得挺神秘的!
autorun.inf就介绍到这里,今天我想要说的是通过移动存储设备
作为传播途径的病毒,到了今天又“研究”出什么新“产品”呢?
当我打开WinRar打开时候,没有太大的留意,只是习惯以前的模式,
查看有有没有“可执行文件图标”或者“熊猫图标”或“安装程序图标”
或一些很特殊的图标(病毒惯用图标,一眼就能看出来)
不过这些文件都是隐藏的,但是在WinRar下是无法躲闪的。
但今天的这个U盘毒采用了一个非常熟悉,但却极具创意的图标:
文件夹图标!
逃过了我这双“以貌取人”的眼睛,
所以今天才这么有兴致写写文章,跟各位分享!
到底这个病毒的“创意”是如何实现的呢?
这次病毒体不再像以前那些
“前辈”那么没出息到处隐藏!
它不隐藏而是故意“暴露在光天化日之下”
让大家来“自愿捧场”双击运行它。
那么,它是如何地让你“自愿”的呢?
首先,它是用文件夹作为图标,足够让你放松警惕,从表面上就已经
达到一种很好的伪装,比以前的那些“不成熟”的“包装”一眼就很能认出来,
都不知要强多数倍了!
其实,这世界上还有很多朋友,挺细心的,发现一些不是
自己新建的文件夹,就起了疑心,而且马上就把事情做得很“绝”!
毫不留情地让它从这个世界上消失掉—删除!
这样就“辜负”了
病毒作者的“一片苦心”!
为了对付这么“一群细心的家伙”,
病毒先检查下U盘里有没有文件夹,如果有,把该文件夹隐藏起了,
新建立一个“外形”是文件夹图标的病毒文件,文件名就是刚刚隐藏的
那个原有的文件夹名,哈哈!
够创意了吧!
就算你多么的细心,你也不会怀疑了,
因为这个“文件夹”就是你自己“建立”的!
当用户打开了U盘之后,
双击自己“建立”的“文件夹”是理所当然的事情,没有什么不愿意的!
当然,目前绝大多数的用户都喜欢把后缀名隐藏,因此单从肉眼无法识别
到底是正常文件夹还是“文件夹”病毒文件。
但是,在WinRar下就暴露了文件
的后缀名尾巴,而且还标出“应用程序”因此,很容易揪出病毒。
但是,我觉得“文件夹”病毒做得还是不够好,双击打不开“文件夹”,
没什么反应(其实,这是病毒已经激活运行了达到了目的),
用户很纳闷,为什么“文件夹”打不开了?
是不是自己的U盘坏掉了呢?
是不是中毒了?
马上就会有很多疑问了!
其实,病毒还可以继续完善的,
就在病毒激活的同时,也应该给用户打开自己本来的文件夹,
这样,更是神不知鬼不觉,哈哈!
说到这里,倒是给制毒者提供了
很重要的“完善”思路信息,使“威力”更大了。
不过,你也可以理解为病毒的伪装性更强大,自己以后应该更加小心!
在和U盘传播类病毒的斗争中,一开始病毒的编写思想还不是很“完善”,
很容易给网上介绍的方法绕开中毒并容易清除。
比如大家熟悉的:
打开U盘时,不双击U盘,而是:
“驱动器-右键-打开”
但是,制毒者在autorun.inf添加shell命令,伪装右键菜单“打开”
shell\\1=打开(&O)
shell\\1\\Command=病毒.exe
让你右键打开也能中毒!
后来,高手们建议,在“我的电脑”的地址栏,
下拉菜单里选择“移动磁盘”打开,这种方法比较“先进”也实用。
不会导致右键打开中毒的情况,但是,病毒的制造水平也在不断地提高,
用文件夹图标迷惑你的,让你“自愿”地中毒,防不胜防。
其实,病毒的的制造历史里,还有很多值得一提的“高新科技”。
在民间,高手们建议:
如果发现根目录下有可执行文件
包括:
exe\\vbs\\js\\bat\\com文件就要警惕,最好删除。
同时,他们也编写了大量的清除U盘病毒程序,有专杀,也有兼容性很好的杀毒程序。
不过大致的原理套路一样:
判断根目录下是否有autorun.inf和流行的U盘毒文件名,
并加以结束专门的病毒程序命令、删除命令和免疫命令来制造所谓的专杀程序。
接下来,病毒作者做了改进,让病毒的没有固定的名字,随机起。
又把自身藏到了伪装“回收站”的文件夹里,把调用路径指向文件夹,
所以在根目录下没有了可执行文件。
除此之外,还设置隐蔽、灵活的调用机制,
让“民间的高手们”的方法“顿时失效”。
在专业的杀毒软件里,都存在判断性的漏洞--利用病毒特征码来判断U盘毒
(其实也不算是漏洞,只是编写病毒的作者不断更新让人防不胜防而已)
,而病毒作者却会懂得把程序的二进制数据存储在脚本的字节数组里,
逃过特征码引擎的追杀。
原理:
脚本运行时,把数组里的数据写到临时文件夹里,
还原病毒可执行文件,并激活,马上删除病毒文件,
让你在磁盘上找不到它的踪影。
也出现过利用Windows系统的文件名漏洞,
没有文件名的病毒。
其实也不神秘。
就利用记事本“另存为”,
不写文件名只写后缀名“.exe”,这样就可以新建一个没有文件名的exe。
然后,用“二进制编辑器”或“VisualC++”打开“没有文件名的文件”,
把已经编译成EXE的病毒二进制数据粘贴进去,保存,就可以做一个
“没有文件名的病毒”,逃过很多杀毒程序的追杀。
呵呵!
更有“超高新技术”者,以“脚本”或“批处理”作为病毒的
引导程序在存放在磁盘上,把自身的可执行数据存放在系统注册表的
“二进制数值项”或“多字符串项”里,并不以独立的文件存放在磁盘上,
对于那些只会文件扫描和注册表启动项扫描的杀毒软件来说,永远都找不到它。
再有的是把引导程序注入到DLL文件里去,随着系统的DLL资源启动而启动,
这样更隐蔽。
谈病毒的原理,就要拿个经典之作来跟大家分享一下。
我尽量简单地说说,呵呵。
熊猫烧香,这个曾经轰动一时的病毒,以超强的破坏力著称:
感染所有的EXE文件,在用户运行感染的程序文件时,让自身激活。
同时又能让用户感觉上能正常地运行这个软件,
并没有感觉这个软件已经感染了病毒。
这样欺骗性和传播性就更厉害了!
其实,我最讨厌的却是“熊猫烧香”,它也属于用U盘传播类的病毒,
我之所以讨厌它,并非是它的破坏力,而是它的技术太烂了!
其实“熊猫”的感染全盘的EXE是外国早就有的“杰作”
并非是作者“创新的技术”我讨厌它的抄袭行为。
把别人的感染技术加上自己的盗号功能,成为了举世无双的盗号贼。
不过继熊猫的变种作者更让我失望,没有太多的“创新”而是一脉继承“熊猫”,
甚至破坏EXE的文件结构,让EXE无法运行和修改,自己也无法运行和更有力传播,
在我眼里是个败笔!
说了这么多,就简单介绍下原理。
感染期:
把“病毒体数据”和已存在的“正常软件数据”,
混合为一个文件,再把原来的软件删除,“组合文件”改名为原来的文件名称,
这样,就完成了一个感染过程。
至于图标问题,熊猫烧香的后续版本做得也不好,
没有考虑到尺寸问题,图标有点模糊,而很容易给人怀疑。
在运行期原理:
把原来的程序数据释放到当前文件夹里,
起名为:
“程序名exe.exe”然后运行正常的软件程序运行之后,马上删除掉。
让你永远看到只是已感染的程序文件,而正常的却只是在霎那间出现。
不过,这就给我们修复原来的软件程序提供了希望。
方法:
在NTFS文件系统下新建一个文件夹,把已感染的软件放到进去,
设置修改权限:
“列出文件目录”和“读取和运行”其他的都去钩。
然后,运行已感染的文件,你就会看到该目录下有一个“软件名.exe.exe”的程序,
这个就是原来的没感染的软件。
你就可以利用熊猫本来就有的“修复功能”,
帮你还原软件数据。
还有一个方法,更简单,就是管理好你的用户“临时文件夹”!
“临时文件夹”就在你的当前用户的文件夹里,比如:
C盘是系统盘,
Administator用户“临时文件夹”:
“C:
\\DocumentsandSettings\\Administrator\\LocalSettings\\Temp”
把“Temp”的NTFS“权限”修改为“只读”,这样,熊猫就无法释放一个
能删除你“原来程序文件”的“批处理文件”了。
(其实,熊猫在之所以能删除
“原来的程序文件”,这和它释放在临时文件的“批处理删除命令”有关)
如果系统盘不是NTFS,无法通过权限去控制,怎么办呢?
呵呵,这难不倒我!
找个有NTFS文件系统的盘,新建一个文件夹命名:
temp。
例如:
“D:
\\Temp”
设置其权限为“只读”权限。
然后,到“我的电脑”--右键“属性”
—“高级”—“环境变量”—把“Temp”和“Tmp”都修改为:
刚才已经准备的“D:
\\Temp”。
这样,“临时文件夹”就改了,
给病毒设的“招待所”也改了!
熊猫除了以上的“表演”之外,据我研究的还可以局域网入侵,
映像劫持,注册表监控等功能。
注册表监控功能主要是监控是否有人修改或删除了它的“启动项”、
“隐藏设置项”“扩展名设置项”、“映像劫持项”如果有,
它又悄悄地修改回来,让你“无功而返”。
局域网入侵功能主要是往局域网内发送大量的探测数据包,
看是否网内有弱口令用户,有!
则试图进行入侵。
或者往网内发送大量的垃圾数据包,占有网络资源。
后来的变种,
还发展到增加了ARP欺骗功能。
不能不说是一个“创举”。
至于映像劫持技术,我们并不陌生。
例如:
很多人都在埋怨为什么安装了杀毒软件后还是中毒了。
而且,中毒之后,杀毒软件也删除不了病毒,更有可笑的是,
杀毒软件反倒给病毒“杀”了!
06年后的U盘毒都具有这样的功能,
主要是通过映像劫持技术(IFEO)。
这所谓“技术”,
说得专业点到可以说一大堆,但我倒不想拿这种专家的语气去复杂化问题了,
那我们就来玩个游戏,让你桌面上的QQ失效,
双击后打开变成一个Windows系统的“画图”工具这样,
就会有思考的动力了,也可以在玩中学点东西,呵呵!
首先我们来打开:
注册表编辑器
“开始”---“运行”—输入:
regedit
找到一下把树形目录展开路径
->HKEY_LOCAL_MACHINE
->SOFTWARE
->Microsoft
->WindowsNT
->CurrentVersion
->ImageFileExecutionOptions
找到了ImageFileExecutionOptions之后,单击选中
右键菜单里:
“新建”一个“项”
把新建的“项”右键-“重命名”为:
QQ.exe
选中新建的QQ.exe“项”,在右边窗口里:
右键->“新建”->“字符串值”
把新建的“字符串值”右键-“重命名”为:
Debugger
双击“字符串值”Debugger:
输入内容为:
%SystemRoot%\\system32\\mspaint.exe
关闭注册表编辑器窗口,回到桌面,像往常一样打开QQ,看看!
(如果输入内容为:
%SystemRoot%\\NOTEPAD.EXE(就会打开我们最熟悉的记事本)
也可以修改为其他软件的路径)
这个就是映像劫持技术了!
在此我只是劫持了“QQ”让它转去执行“画图”工具。
如果“项:
名:
nod32.exe(或者瑞星,江民等等杀毒软件的主程序名称也可以)
而“字符串值”Debugger:
输入内容为:
<病毒隐藏路径>\\<病毒文件>.exe
那么,当你打开杀毒软件Nod32时,系统反而跑去运行Debugger里路径指定的病毒。
这样就是所谓的杀毒软件被病毒给“杀”了的例子!
其实,一点都不神秘,只是巧妙地利用了系统的注册表功能而已。
呵呵!
但是,如果遇到杀毒软件无法启动,很可能是以上的注册表项出问题,
你会看到很多杀毒软件的名字(有时觉得写毒的人考虑得挺周全的^_^,
人家可是花了点心思哦)那你就得一个一个地删咯,当然在网上也有修复程序,
自己找找去,呵呵!
不过,为了能保证以后都不再受“侵扰”我倒可给大家说说,
就是对“ImageFileExecutionOptions”进行保护起来,怎么保护?
方法一:
右键-“权限”,把所有用户的权限改为:
只读。
这样,病毒就不会再有往里面写“劫持”的权利了。
方法二:
利用系统的限制策略来禁止“本地安全策略”
里的“软件限制策略”->“路径规则”
加上“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT
\\CurrentVersion\\ImageFileExecutionOptions”
同时也可以说免疫了这类病毒。
但这又有给病毒作者“完善”病毒功能的一条重要的建议了,
只希望不要给别有用心的人看到,呵呵!
除此之外,常常有人问我还有什么防毒免疫的“屎坑招”么?
当然有,不过,又要增加很多字数,手挺累的!
我就简单地提提吧,还可以用“本地安全策略”里的
“软件限制策略”->“散列规则”限制指定病毒文件的散列码,
或“路径规则”限制病毒常有见的躲藏路径。
用“Internet区域规则”
来限制IE浏览访问有毒的网站。
当然也可用“路径规则”来限制注册表里容易给病毒当“黑窝”,
隐藏在里面的常见路径。
还有用NTFS的“权限”来管理好用户的“临时文件夹”,
在上网的时候,把“临时文件夹”权限设为“只读”
可以有效地预防浏览网页时中毒。
因为临时文件夹是病毒进入你计算机的
“第一站”,把这一“站”管好了,病毒很难有机会肆虐。
还有就是利用以上介绍的病毒对付我们的招数,灵活地克制病毒,
比如:
病毒利用“映像劫持技术”来对付我们,
我们为什么不可以用“映像劫持技术”来反过来对方病毒呢,
本来是说U盘毒的,说了半天,我都不知道瞎扯到哪里了,
呵呵!
接下来给大家些有效的U盘毒的防范措施,倒是有一个挺通用的方法,
就是新建一个名为:
autorun.inf的文件夹,注意是“文件夹”,
然后在文件夹里新建一个名“带点”的文件夹。
比如“abc..”至于这样的文件夹,不是要你右键新建文件夹,
而是通过命令来新建可以写成批处理,也可以在CMD命令提示符里写。
那为什么要用命令来创建呢,那就要讲Windows的文件名管理了,
Windows是不支持的,但命令提示符却是沿用了DOS系统的文件管理机制,
这也算是Windows的一个漏洞,在vista给补上了,呵呵。
其实,大家可以先尝试下,右键新建的文件夹名不能有点的,
只有在命令下才能建立一个带点的文件夹具体操作:
“开始”-“运行”-输入:
cmd
输入命令:
mdC:
\\autorun.inf
输入命令:
mdC:
\\autorun.inf\\abc..\\
你就会发现,C盘根目录下多了一个名字为:
autorun.inf的文件夹,
在文件夹里,你会发现一个名为:
abc.的文件夹。
现在你可以尝试删除,重命名,复制剪切autorun.inf文件夹,
都不支持操作,呵呵。
这样一招,利用系统的漏洞,
保证你新建的autorun.inf无法被病毒修改和删除,
这绝对是一个防毒的好措施。
特别是在FAT32文件系统下,
如果在NTFS文件系统下,还可以加上权限,让任何人都无法访问,
病毒进来了,也没辙了。
至于还想问我为什么,
原理很简单:
同一目录下,不能有“同名”的文件或者文件夹。
病毒无法建立自己的autorun.inf,没有autorun.inf的支持,
病毒是发威不起来的。
当然,我刚刚介绍的那个以“文件夹图标”迷惑人的病毒除外。
呵呵!
其实,带点的文件夹还有其他的用处哦!
可以把个人的私隐常到里面去,呵呵!
你双击是打不开的。
要打开,必须用命令,
要打开刚才名为:
“abc.”文件夹(注意:
只有一点)
就要输入命令:
startC:
\\autorun.inf\\abc..\\(注意:
要有两点,而且一定要斜杠)
打开后,就可以把一些“不见得光”的东西放到里面去了,^_^哈哈!
!
说到start命令了,又想起一个“妙方”打开U盘不中毒的方法:
在桌面新建一个文本文件,输入“start(你的盘符):
”
如:
“startf:
\\”,
另存为“进入U盘.bat”,之后就通过双击该批处理文件来打开U盘,
不仅可防病毒,使用也很方便。
不知道的朋友也许会奇怪,为什么我老是提到用WinRar来查看。
我们熟悉的压缩软件除了常用于压缩文件之外,
还可以查看磁盘里的文件夹和文件,而且可让所有的“隐藏文件”
“大白天下”、让文件的后缀名“露出尾巴”。
对文件后缀名不是很懂,也可以根据“类型”查看属于哪类文件。
我就解决了病毒修改了系统注册表,导致无法显示隐藏文件,
而对病毒束手无策。
但是,道高一尺,魔高一丈!
熊猫烧香出现之前,
病毒变种为了防止我们利用WinRar让它显形,在中毒后就禁止了
WinRar程序的运行(WinRar一运行,马上就关闭)。
我觉得这个编写病毒的作者想得还挺“周到”的,呵呵!
没了WinRar,还可以用命令提示符CMD来运行,查看分区文件,
但后来的病毒变种也想到了,也禁止了“命令提示符”的运行
(Cmd.exe一运行就关闭了)呵呵,
说到这里,我对病毒的“完善”过程感到挺高兴的,
因为它在挑战我的“水平”,呵呵。
换个角度来说,能编写病毒,就证明是计算机技术上的高手!
和病毒“作战”是一次和高手交流的机会。
了解程序是如何巧妙地利用系统功能,研究病毒的运行机理,
从中获得病毒作者的编程思路,
是提高计算机应用水平的重要捷径,希望你也可以!
在文章结束时给大家介绍点小工具吧。
在日常生活中还应该有些杀毒的伴侣小工具什么的,
否则不可能老是凭着自己的“水平”用肉眼来查毒吧,呵呵。
“智能杀毒伴侣”这是一个很好的查看系统状态和进程状态的软件707K,
“反黑辅助工具”558K,
“autoruns”注册表启动项查看工具。
“高级注册表编辑器”,自动生成“注册表导入文件(后缀.reg)”工具,
“光华反毒小工具”能快速地修复注册表的工具。
还有很多小工具,但功能都重复了,我就不再介绍。
本文由:
废品回收价格表提供技术指导
升级会员 