与流氓的较量 清除autorun.inf
作者:
一、 AutoRun简介:
Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。见图0、图1。
图0
图1
二、运行方式:
A.
OPEN=filename.exe
自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。
B.
shellAutocommand=filename.exe
shell=Auto
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢? 见图2。
图2
C.
shellexecute=filename.exe
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
D.
shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)
这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。
三、 病毒清除、免疫方法:
A、免疫。在根目录建立autorun.inf文件夹,设置成只读。见图3。
图3
B、右键--"打开"。(手头没有任何杀毒软件的临时方法。参考“运行方式”的“D”条。)
C、批处理。(附件中有)清除感染的所有分区病毒。用的时候,把里面的“病毒.exe”替换掉。
@echo off
taskkill /f /im 病毒.exe
cd\
for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:\autorun.inf&attrib -s -a -r -h %%i:\病毒.exe& del %%i:\病毒.exe&del %%i:\autorun.inf
D、VBS脚本。(附件中有)用于已经感染的U盘、磁盘等。见图4(设置autorun.inf路径)、图5(设置exe病毒路径)、图6(清除成功)。
ON ERROR RESUME NEXT
ciker_path = InputBox("本程序能帮助您清除autorun.inf病毒。"&vbCr&vbCr&"请在下面输入autorun.inf所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\autorun.inf")
ciker_exe = InputBox("请在下面输入exe病毒文件所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\target.exe")
Set Fso=CreateObject("Scripting.FileSystemObject")
Set fl0=Fso.getfile(ciker_path)
Set fl1=Fso.getfile(ciker_exe)
fl0.delete
fl1.delete
msgbox "清除成功!"
wscript.quit
图4
图5
图6
E、设置权限,进行免疫。(附件中有)即使双击磁盘,也不自动运行。如果想手动更改的话,如图7所示,设置everyone为“拒绝”。
图7
嫌麻烦的话,用附件里的批处理(免疫.bat):
其中的setacl.exe大家自己google一下吧,被人说有木马之类的就不好了。
附件下载