隨身碟(auto病毒)類病毒分析與解決方案(zt)

內容：

隨身碟(auto病毒)類病毒分析與解決方案

來自大成天下

[@more@]

隨身碟(auto病毒)類病毒分析與解決方案

出處：資料安全實驗室 (DSW Lab Avert 小組)

日期：2007年01月07日
版權所有，轉載請保留版權!

一、隨身碟病毒簡述：

　　隨身碟(自動執行)類病毒(auto病毒)近來非常常見，並且具有一定程度危害，它的機理是依賴Windows的自動執行功能，使得我們在點選開啟磁碟的時候，自動執行相關的檔案。目前我們使用隨身碟都十分頻繁，當我們享受隨身碟所帶來的方便時，隨身碟病毒也在悄悄利用系統的自動執行功能肆意傳播，目前流行的隨身碟病毒檔案大家甚至耳熟能詳了，比如經常有網友問的SSS.EXE SXS.EXE如何查殺這類的，下面我們將對隨身碟病毒極其特性和防範辦法進行分析總結。

二、特性分析：

　　所謂的自動執行功能是指Windows系統一種方便特性，使當光碟、隨身碟插入到機器自動執行，而這種特性的實現就是透過磁碟跟目錄下的autorun.inf檔案進行。這個檔案儲存在驅動器的根目錄下(一般會是一個隱藏屬性的系統檔案)，它儲存著一些簡單的命令，告知系統新插入的光碟或隨身碟應該自動啟動什麼程式等。

　　　　常見的Autorun.inf檔案格式大致如下：

　　　　[AutoRun]　　　　//表示AutoRun部分開始，必須輸入
　　　　 icon=C:C.ico　　//指定給C盤一個個性化的磁碟機代號圖示C.ico
　　　　 open=C:1.exe　　//指定要執行程式的路徑和名稱，只要在此放入病毒程式就可自動執行；

　　在Windows系統有允許和阻止自動執行的鍵值的方法：

　　 在登錄檔中找到如下鍵：

鍵路徑：[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]

在右側窗格中有 "NoDriveTypeAutoRun"這個鍵決定了是否執行Autorun功能.其中每一位代表一個裝置,不同裝置用以下數值表示:

裝置名稱	第幾位	值	裝置用如下數值表示	裝置名稱含義
DRIVE_UNKNOWN	0	1	01h	不能識別的型別裝置
DRIVE_NO_ROOT_DIR	1	0	02h	沒有根目錄的驅動器
DRIVE_REMOVABLE	2	1	04h	可移動驅動器
DRIVE_FIXED	3	0	08h	固定的驅動器
DRIVE_REMOTE	4	1	10h	網路驅動器
DRIVE_CDROM	5	0	20h	光碟機
DRIVE_RAMDISK	6	0	40h	RAM磁碟

其中： 保留 7 1 80h 　未指定的驅動器型別

以上值"0"表示裝置執行，"1"表示裝置不執行。
從上面可以看出，對應的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自動執行的。所以要禁止硬碟自動執行AutoRun.inf檔案，就必須將DRIVE_FIXED這些鍵的值設為1，由於DRIVE_FIXED代表固定的驅動器(即硬碟)。如果僅想禁止軟體光碟的AutoRun功能，但又保留對CD音訊碟的自動播放能力，這時只需將“NoDriveTypeAutoRun”的鍵值改為：BD,00,00,00即可。

　　 隨身碟病毒就是利用這種系統特性，一般在感染後會修改系統的登錄檔，將顯示所有檔案的選項設定為禁止。甚至修改磁碟關聯，防毒軟體一般會只把病毒檔案清除，但對殘餘的檔案不會處理。這也是常見的防毒軟體為什麼常常無法清除乾淨，或者清除後雙擊無法開啟磁碟的原因。

三、解決方案：

　　　 1、使用超級巡警套裝來全面解決隨身碟病毒問題(推薦!):

①超級巡警對隨身碟病毒檢測進行了特別的處理，可以快速的監測和定位隨身碟病毒，並清除它們。
②超級巡警同時還提供對登錄檔關聯修復和自動執行阻止的處理。

2、手動解決辦法：

①根據上面的原理，自己修改登錄檔禁止磁碟的自動執行特性。
②把資料夾選項中隱藏受保護的作業系統檔案鉤掉，選中顯示所有檔案和資料夾，點選確定。這樣可以在感染病毒的移動儲存裝置中會看到幾個檔案(包括autorun.inf和病毒檔案)，刪除後，病毒就清除了。