總結(jié)一下AUTORUN類病毒的防治方法

szhilei

分析這些病毒，基本上是AUTORUN病毒，去年10月和今年年初爆發(fā)的威金和熊貓燒香病毒，也是利用了AUTORUN。AUTORUN類的病毒比較可恨，因為如果系統(tǒng)沒做防護的話，可能導(dǎo)致插入U盤及感染——即使你重做系統(tǒng)，格式化了多次。在這里，忍不住大罵微軟，組策略里有禁止光盤自動運行和禁止所有驅(qū)動器自動運行，為什么少一個僅運行光盤自動運行？而現(xiàn)在大量病毒都是利用了微軟的AUTORUN，他們打這個補丁應(yīng)該不難（設(shè)備是光驅(qū)或是其他驅(qū)動器，返回值是不同的）。既然微軟不做，我們就要想著兒，怎么能夠防止AUTORUN類的病毒。
AUTORUN的運行機制我就不說了，以下基本上是總結(jié)他人的成果，結(jié)合自己的體會。

• 一定在斷網(wǎng)情況下安裝系統(tǒng)，因為這時系統(tǒng)可能缺少足夠的補丁，易受病毒攻擊。
• 內(nèi)置管理員帳號Administrator應(yīng)加上密碼，而且密碼不要是111、123之類的
• 系統(tǒng)重新裝好后，先不要著急裝軟件，需先設(shè)置禁止自動運行：方法，開始——>運行——>gpedit.msc——>計算機配置——>管理模版——>系統(tǒng)——>找到“關(guān)閉自動播放”，雙擊，選擇“已啟用”，關(guān)閉自動播放里選擇“所有驅(qū)動器”。
  　　當然，執(zhí)行這一步后，即使插入了帶AUTORUN病毒的U盤，病毒也不會自動運行。但我在實際中發(fā)現(xiàn)，有些機器也這樣設(shè)置了，但仍然感染AUTORUN病毒，出現(xiàn)這種情況，不是因為插入帶有AUTORUN病毒的U盤后病毒自動運行，而是因為人為的原因讓病毒運行了，這就是很多人打開U盤的習慣——雙擊我的電腦或打開我的電腦，然后雙擊盤符（當然包括U盤盤符），如果該分區(qū)根目錄上有AUTORUN.INF，雙擊盤符的默認動作將是運行AUTORUN.INF里指定的內(nèi)容，比如病毒程序。所以說，這時病毒的運行，完全是你自己的原因，解決辦法——別雙擊盤符，改用資源管理器或者類似的軟件（如TotalCmd)打開。
  　　有的時候，第3步的操作不能進行，因為有的機器的系統(tǒng)是XP HOME版，而不是XP Professional版，不含組策略。另外，有的人只會雙擊盤符打開（我遇到的99%的人都是采用這種方式），一旦使用資源管理器打開，就不會操作了或者非常不習慣，即使在資源管理器下也習慣雙擊盤符的方式，又會導(dǎo)致病毒運行，那還有其他的方法嗎？當然有——使用權(quán)限控制，見第4步。
• 禁止含有AUTORUN.INF的磁盤的默認自動運行動作
  方法：開始——>運行——>regedit——>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\——>找到MountPoints2分支項，鼠標右鍵選擇權(quán)限——>高級——>去掉“從父項繼承……”那個勾選，在彈出的對話框中選擇“刪除”，然后確定。
  這樣，即使U盤里含有AUTORUN病毒，雙擊U盤盤符后，默認動作將不是運行AUTORUN.INF指定的程序，而是“打開”，從而避免了AUTORUN病毒的運行。當然，我們從上面的注冊表分支里看到，這種情況僅適用于“當前用戶”，如果你的電腦上有多個用戶，那么對沒有進行上述設(shè)置的用戶是無效的，該用戶雙擊盤符時，如果含有AUTORUN，默認動作是運行。這個沒什么好的解決辦法，只能一個一個用戶地設(shè)置，好在大多數(shù)電腦上的用戶都是一個。

　　附件是一個別人做的小腳本，安裝運行后，可以增加鼠標右鍵“顯示/隱藏系統(tǒng)文件”，有了這個，那些隱藏的病毒文件就可以看到了。另外，碰到一些人，機器感染病毒，感覺很納悶——機器裝了殺毒軟件怎么還感染病毒？結(jié)果就換殺毒軟件，但換的結(jié)果還是不靈。其實，即使機器裝了殺毒軟件，也不見得能識別出病毒，這是很正常的，在我看來，各種殺毒軟件都差不多，有了附件這個小腳本，可能殺毒軟件就能看到病毒并殺之了。

smith

其實這種防治方法就很好，俺曾看到深山紅葉的解決辦法，就是修改shell32.dll，使之不能識別AUTORUN.INF，這種辦法雖然有效，但太BT了，因為修改了系統(tǒng)的內(nèi)核文件，而且，深山紅葉的方法容易短壽，因為XP系統(tǒng)總出漏洞，微軟經(jīng)常打補丁升級，其中shell32.dll就是一個重點關(guān)照的對象，一旦補丁更新了shell32.dll，深山紅葉的方法就不靈了。
附深山紅葉的解決辦法：
不少人都有這樣的經(jīng)歷：中毒了，格式化C:盤了，重裝系統(tǒng)了。但重裝后片刻，居然發(fā)現(xiàn)病毒立即又卷土重來！原來這類病毒是利用了磁盤的 Autorun 即自動播放特性而實現(xiàn)自動激活的——當你重裝一套干凈系統(tǒng)后，只需點擊任何一只染毒的其他分區(qū)盤符，病毒應(yīng)付立即被激活！

對此，有人說以后右擊盤符再選擇資源管理器打開；有人說格式化全部分區(qū)；有人說安裝系統(tǒng)后立即安裝殺毒軟件；有人說在PE下掃描病毒后再重裝，也有人說安裝后立即通過組策略關(guān)閉自動播放功能……但都有一個共同缺點：需要安裝后立即采取人工干預(yù)！而我們安裝系統(tǒng)后，經(jīng)常可能會不經(jīng)意間打開其他分區(qū)盤符——于是就算高手也仍然難免不小心重復(fù)中招！尤其是右擊盤符打開的操作，本來以前是安全的，但現(xiàn)在的病毒同樣在 Autorun.inf 中定義假的“打開”和“資源管理器”的選項了，右擊盤符也不安全！

對此，深山紅葉提出一種徹底解決這種麻煩的辦法：既然自動播放功能是如此的雞肋，其帶來的方便性遠遠比不上它帶來的安全威脅，那么何不干脆徹底“閹割”掉它！

“閹割”的原理是修改Windows系統(tǒng)文件，讓系統(tǒng)打開磁盤時，本來是尋找 Autorun.inf 這個文件以激活自動播放的，我們可讓它去尋找一個錯誤的文件名！即把系統(tǒng)文件中 Autorun.inf 隨意改成其他別的不太可能存在的怪名字即可！

經(jīng)過一番跟蹤分析，發(fā)現(xiàn)調(diào)用 Autorun.inf 的功能是由 Shell32.dll 來完成的，那么就拿它開刀！

使用任意一款 16 進制編輯器，如 Ultra Edit 或 Winhex、Hedit 等均可，先將 Windows\system32\Shell32.dll 備份到一個臨時目錄，然后用 16 進制編輯器打開備份目錄中的 Shell32.dll，按 Ctrl+F，輸入 Autorun.inf，并以雙字節(jié)模式搜索（即搜索對話框中的16進制輸入框中每對字符之間手工添加一對0，即 00），搜索到 Autorun.inf 后，改成你自己愿意的字母，越古怪越好！

修改好后存盤，同時替換 System32\dllcache 目錄和 System32 目錄下的同名文件（可先把當前存在的文件改名后再復(fù)制修改過的文件過去），重啟后即可生效。