作者spotline (叶子有几片)
看板AntiVirus
标题[讨论]可能可以分辨出病毒autorun.inf的方法
时间Tue Jun 17 14:41:32 2008
前几天想到说
因为病毒的autorun.inf是直接使用open或是shellexecute这个指令
而open只能开启exe档
shellexecute可以开启很多其他的东西,例如:特定网页、音乐播放清单
假如open或shellexecute有设定了特定的目标的话
那随身碟就点不开了
因为open就是设定说点两下会执行的东西是什麽
然後会直接执行特定的程式(病毒)
这就是病毒的autorun里面常见的情况
所以一般自己写autorun的话并不会这样写吧
要不然的话随身碟点不进去不就很麻烦
可是假如把open的=後面直接放空白的话
autoplay就没办法正常使用了
所以我的话是在後面加上一行
shell=nagle
有写过autorun就知道这是设定"预设事件"的"名称"
=後面随便写都可以
也就是不管你open後面接了什麽东西
除了在autoplay的选单上直接点选以外
直接用"我的电脑"点进随身碟的话
会直接执行"预设事件"所指定的东西
而不是open後面接的东西
然後呢
我并没有去设定nagle这个事件要做啥XDXD
因为这样才会直接开启随身碟
而不是去执行我只想让autoplay执行的程式
所以nagle这个事件只是"空壳子"
所以说
病毒绝对不会在autorun里面这样写呀
因为这样就没办法骗我们点两下执行病毒了XDXDXD
所以假如防毒程式把这一行"shell=nagle"当成"特徵"来检查
而且要注意後面不可以出现
shell\nagle\Command=
这样一行东西
因为这样这个事件就会被指定为执行特定程式
假如autorun是这样写的话
那点两下开随身碟的时候会发生的事就只有
纯粹地打开随身碟
而不会做其他什麽事
这种规则应该是不会被病毒规避
因为病毒敢这样写的话就等於放弃了一个大好机会
逻辑上应该是没有错
只要自己写inf的人能够把"点两下随身碟来执行特定程式"的功能牺牲掉的话
另外
假如能够更进一步
在确定随身碟被感染之後
利用病毒的autorun里面所写的东西
像是我保留的这个病毒的autorun
[AutoRun]
open=xwatmaf.exe
shell\open=湖羲(&O)
shell\open\Command=xwatmaf.exe
shell\open\Default=1
shell\explore=訧埭夺烩け(&X)
shell\explore\Command=xwatmaf.exe
在open和每个事件的command後面
全都是接着同一个病毒的执行档的名字
要是防毒程式能够直接读取出後面的档名的话
就可以直接在随身碟里面找出确定的病毒直接删掉
不会有误删的问题
而且就算是没听过的也可以删掉
应该是可以的方法吧
另外还有一点要注意的就是
shell\open=湖羲(&O)
shell\open\Command=xwatmaf.exe
shell\open\Default=1
这三行会把按右键叫出来的选单的"开启(O)"这个事件
换成去执行病毒,而不是开启随身碟
因为open这个事件名称好像就是预设的"开启"的事件名称
所以假如自订的事件名称和系统预设的有冲突的时候
会选择执行自订的事件
不过其实第三行好像有没有都没差
下面这两行也有一样的效果,可以把选单中的"档案总管(X)"换成去执行病毒
shell\explore=訧埭夺烩け(&X)
shell\explore\Command=xwatmaf.exe
所以对於open和explore这两个系统预设的事件名称
还有其他的像是搜寻和自动播放的事件名称
也都需要检查是不是被改成执行病毒
而且平常自己写inf的时候应该也不会把这几个事件名称拿来用吧
当时发现这个病毒的时候
因为刚好好像是对岸的人写的病毒
所以选单的地方就多出这两个奇怪的选项
因为原本要写成"开启"的地方变成了"湖羲"
所以并没有把原本的开启取代掉
然後就注意到这点了
文章好长...
所以来总结一下重点
1. 假如在autorun里面加上一行 shell=nagle 来当做特徵码来检查
那或许就可以检查出病毒的autorun,因为病毒应该不太可能会这样写
当然还要防止病毒把shell=nagle这一行做手脚
像是
;shell=nagle 这样这行就没有效果了
然後还要小心病毒在後面加了
shell\nagle\Command=
所以检查的原则应该是 : 确保 shell=nagle 这一行能够确实执行
(应该只要不被当成注解就没问题了吧)
并且这个事件名称没有被指定去执行任何的程式
(应该只要确定没有"nagle\Command="这种东西出现就行了)
另外可能还要确定这一行放置的位置
要不然可能也会因为位置的关系而出错
不过我试过之後发现这行就算被丢在最後面也没问题
2. 也必须要防止病毒利用右键选单
所以对於系统预设的事件名称应该要禁止使用
只是我不清楚预设的事件名称总共有哪些
应该查一下就没问题了
3. 假如病毒把一个项目加到autoplay的项目上的话
那样不是很奇怪吗
除了"开启"和一些程式装上去的以外,不就没其他预设项目了
所以病毒应该也不会这样做才对
假如能够利用程式来用这些规则来检查autorun的内容
或许有机会把利用autorun的病毒都抓出来吧
只是我不会写这种程式
所以只能停留在想法的阶段
而且这些规则可能还有漏洞吧
其实这些想法在前面有一篇文章有出现过
可能文章太长的关系吧,所以好像没人想跟我讨论
所以今天重新整理再补充一些这一两天额外想出来的东西
假如这些想法其实漏洞百出的话就当我来骗p币的吧( ̄y▽ ̄)╭
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.113.242.59
1F:推 MixCopy:把shell=nagle当特徵检查,个人认为autorun很多种 06/17 17:05
2F:→ MixCopy:但是不是每个人的习惯都一样,用这个当特徵太笼统 06/17 17:05
3F:→ MixCopy:autorun算是一种途径或方式,先即时砍掉autorun先避免感染 06/17 17:09
4F:→ MixCopy:病毒个人认为比较实际 06/17 17:10
5F:→ spotline:其实这只能当做一种免疫的手段,实际使用的话,必须要先 06/17 20:46
6F:→ spotline:安装能够进行检查的程式,然後在随身碟里面放入有特徵的 06/17 20:47
7F:→ spotline:autorun,所以其实是有一点麻烦,使用者愿不愿意这麽做 06/17 20:49
8F:→ spotline:大概也只能看个人了。 06/17 20:50
9F:→ spotline:至於autorun的使用习惯,其实好像会自己弄autorun的人 06/17 20:51
10F:→ spotline:没有很多,所以这样想想,真的是直接删掉也没差XD 06/17 20:54
11F:推 MixCopy:我不知道检查内容时autorun是否还会运行 06/17 23:55
12F:→ MixCopy:我也没仔细研究过autorun的内容就是了... 06/17 23:56
13F:→ spotline:其实我也只是略懂一点而已﹨(╯▽╰)∕ 06/18 01:07
14F:推 jtmh:想请教一下点档案总管左侧树状结构的动作有可能用 autorun 06/18 05:57
15F:→ jtmh:来改变它的预设行为吗?我看它在右键选单是对应到展开/摺叠 06/18 05:58
16F:→ jtmh:会问这个主要是我平常都用这个方法来避掉病毒 autorun, 06/18 06:01
17F:→ jtmh:但万一病毒是有可能改掉这个的话,那就完蛋了 XD 06/18 06:02
18F:→ spotline:这个我也不知道耶( ̄□ ̄|||)a 06/18 12:02
19F:→ spotline:参考CD的autorun写法应该就可以比较确定 06/18 12:06