对Autorun.inf类病毒的攻防经验

来源：CnBeta 作者：出处：巧巧读书 2007-05-10 进入讨论组

引用:http://www.qqread.com/pcbase/a311859.html
　　“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。　　

　　Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。

　　Autorun.inf被病毒利用一般有4种方式　　

　　1.

　　OPEN=filename.exe

　　自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。　　

　　2.

　　shellAutocommand=filename.exe

　　shell=Auto

　　修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？　　

　　3.

　　shellexecute=filename.exe

　　ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。　　

　　4.

　　shellopen=打开(&O)

　　shellopenCommand=filename.EXE

　　shellopenDefault=1

　　shellexplore=资源管理器(&X)