總結(jié)一下AUTORUN類病毒的防治方法

szhilei

分析這些病毒，基本上是AUTORUN病毒，去年10月和今年年初爆發(fā)的威金和熊貓燒香病毒，也是利用了AUTORUN。AUTORUN類的病毒比較可恨，因?yàn)槿绻到y(tǒng)沒(méi)做防護(hù)的話，可能導(dǎo)致插入U(xiǎn)盤及感染——即使你重做系統(tǒng)，格式化了多次。在這里，忍不住大罵微軟，組策略里有禁止光盤自動(dòng)運(yùn)行和禁止所有驅(qū)動(dòng)器自動(dòng)運(yùn)行，為什么少一個(gè)僅運(yùn)行光盤自動(dòng)運(yùn)行？而現(xiàn)在大量病毒都是利用了微軟的AUTORUN，他們打這個(gè)補(bǔ)丁應(yīng)該不難（設(shè)備是光驅(qū)或是其他驅(qū)動(dòng)器，返回值是不同的）。既然微軟不做，我們就要想著兒，怎么能夠防止AUTORUN類的病毒。
AUTORUN的運(yùn)行機(jī)制我就不說(shuō)了，以下基本上是總結(jié)他人的成果，結(jié)合自己的體會(huì)。

• 一定在斷網(wǎng)情況下安裝系統(tǒng)，因?yàn)檫@時(shí)系統(tǒng)可能缺少足夠的補(bǔ)丁，易受病毒攻擊。
• 內(nèi)置管理員帳號(hào)Administrator應(yīng)加上密碼，而且密碼不要是111、123之類的
• 系統(tǒng)重新裝好后，先不要著急裝軟件，需先設(shè)置禁止自動(dòng)運(yùn)行：方法，開(kāi)始——>運(yùn)行——>gpedit.msc——>計(jì)算機(jī)配置——>管理模版——>系統(tǒng)——>找到“關(guān)閉自動(dòng)播放”，雙擊，選擇“已啟用”，關(guān)閉自動(dòng)播放里選擇“所有驅(qū)動(dòng)器”。
  　　當(dāng)然，執(zhí)行這一步后，即使插入了帶AUTORUN病毒的U盤，病毒也不會(huì)自動(dòng)運(yùn)行。但我在實(shí)際中發(fā)現(xiàn)，有些機(jī)器也這樣設(shè)置了，但仍然感染AUTORUN病毒，出現(xiàn)這種情況，不是因?yàn)椴迦霂в蠥UTORUN病毒的U盤后病毒自動(dòng)運(yùn)行，而是因?yàn)槿藶榈脑蜃尣《具\(yùn)行了，這就是很多人打開(kāi)U盤的習(xí)慣——雙擊我的電腦或打開(kāi)我的電腦，然后雙擊盤符（當(dāng)然包括U盤盤符），如果該分區(qū)根目錄上有AUTORUN.INF，雙擊盤符的默認(rèn)動(dòng)作將是運(yùn)行AUTORUN.INF里指定的內(nèi)容，比如病毒程序。所以說(shuō)，這時(shí)病毒的運(yùn)行，完全是你自己的原因，解決辦法——?jiǎng)e雙擊盤符，改用資源管理器或者類似的軟件（如TotalCmd)打開(kāi)。
  　　有的時(shí)候，第3步的操作不能進(jìn)行，因?yàn)橛械臋C(jī)器的系統(tǒng)是XP HOME版，而不是XP Professional版，不含組策略。另外，有的人只會(huì)雙擊盤符打開(kāi)（我遇到的99%的人都是采用這種方式），一旦使用資源管理器打開(kāi)，就不會(huì)操作了或者非常不習(xí)慣，即使在資源管理器下也習(xí)慣雙擊盤符的方式，又會(huì)導(dǎo)致病毒運(yùn)行，那還有其他的方法嗎？當(dāng)然有——使用權(quán)限控制，見(jiàn)第4步。
• 禁止含有AUTORUN.INF的磁盤的默認(rèn)自動(dòng)運(yùn)行動(dòng)作
  方法：開(kāi)始——>運(yùn)行——>regedit——>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\——>找到MountPoints2分支項(xiàng)，鼠標(biāo)右鍵選擇權(quán)限——>高級(jí)——>去掉“從父項(xiàng)繼承……”那個(gè)勾選，在彈出的對(duì)話框中選擇“刪除”，然后確定。
  這樣，即使U盤里含有AUTORUN病毒，雙擊U盤盤符后，默認(rèn)動(dòng)作將不是運(yùn)行AUTORUN.INF指定的程序，而是“打開(kāi)”，從而避免了AUTORUN病毒的運(yùn)行。當(dāng)然，我們從上面的注冊(cè)表分支里看到，這種情況僅適用于“當(dāng)前用戶”，如果你的電腦上有多個(gè)用戶，那么對(duì)沒(méi)有進(jìn)行上述設(shè)置的用戶是無(wú)效的，該用戶雙擊盤符時(shí)，如果含有AUTORUN，默認(rèn)動(dòng)作是運(yùn)行。這個(gè)沒(méi)什么好的解決辦法，只能一個(gè)一個(gè)用戶地設(shè)置，好在大多數(shù)電腦上的用戶都是一個(gè)。

　　附件是一個(gè)別人做的小腳本，安裝運(yùn)行后，可以增加鼠標(biāo)右鍵“顯示/隱藏系統(tǒng)文件”，有了這個(gè)，那些隱藏的病毒文件就可以看到了。另外，碰到一些人，機(jī)器感染病毒，感覺(jué)很納悶——機(jī)器裝了殺毒軟件怎么還感染病毒？結(jié)果就換殺毒軟件，但換的結(jié)果還是不靈。其實(shí)，即使機(jī)器裝了殺毒軟件，也不見(jiàn)得能識(shí)別出病毒，這是很正常的，在我看來(lái)，各種殺毒軟件都差不多，有了附件這個(gè)小腳本，可能殺毒軟件就能看到病毒并殺之了。

smith

其實(shí)這種防治方法就很好，俺曾看到深山紅葉的解決辦法，就是修改shell32.dll，使之不能識(shí)別AUTORUN.INF，這種辦法雖然有效，但太BT了，因?yàn)樾薷牧讼到y(tǒng)的內(nèi)核文件，而且，深山紅葉的方法容易短壽，因?yàn)閄P系統(tǒng)總出漏洞，微軟經(jīng)常打補(bǔ)丁升級(jí)，其中shell32.dll就是一個(gè)重點(diǎn)關(guān)照的對(duì)象，一旦補(bǔ)丁更新了shell32.dll，深山紅葉的方法就不靈了。
附深山紅葉的解決辦法：
不少人都有這樣的經(jīng)歷：中毒了，格式化C:盤了，重裝系統(tǒng)了。但重裝后片刻，居然發(fā)現(xiàn)病毒立即又卷土重來(lái)！原來(lái)這類病毒是利用了磁盤的 Autorun 即自動(dòng)播放特性而實(shí)現(xiàn)自動(dòng)激活的——當(dāng)你重裝一套干凈系統(tǒng)后，只需點(diǎn)擊任何一只染毒的其他分區(qū)盤符，病毒應(yīng)付立即被激活！

對(duì)此，有人說(shuō)以后右擊盤符再選擇資源管理器打開(kāi)；有人說(shuō)格式化全部分區(qū)；有人說(shuō)安裝系統(tǒng)后立即安裝殺毒軟件；有人說(shuō)在PE下掃描病毒后再重裝，也有人說(shuō)安裝后立即通過(guò)組策略關(guān)閉自動(dòng)播放功能……但都有一個(gè)共同缺點(diǎn)：需要安裝后立即采取人工干預(yù)！而我們安裝系統(tǒng)后，經(jīng)?？赡軙?huì)不經(jīng)意間打開(kāi)其他分區(qū)盤符——于是就算高手也仍然難免不小心重復(fù)中招！尤其是右擊盤符打開(kāi)的操作，本來(lái)以前是安全的，但現(xiàn)在的病毒同樣在 Autorun.inf 中定義假的“打開(kāi)”和“資源管理器”的選項(xiàng)了，右擊盤符也不安全！

對(duì)此，深山紅葉提出一種徹底解決這種麻煩的辦法：既然自動(dòng)播放功能是如此的雞肋，其帶來(lái)的方便性遠(yuǎn)遠(yuǎn)比不上它帶來(lái)的安全威脅，那么何不干脆徹底“閹割”掉它！

“閹割”的原理是修改Windows系統(tǒng)文件，讓系統(tǒng)打開(kāi)磁盤時(shí)，本來(lái)是尋找 Autorun.inf 這個(gè)文件以激活自動(dòng)播放的，我們可讓它去尋找一個(gè)錯(cuò)誤的文件名！即把系統(tǒng)文件中 Autorun.inf 隨意改成其他別的不太可能存在的怪名字即可！

經(jīng)過(guò)一番跟蹤分析，發(fā)現(xiàn)調(diào)用 Autorun.inf 的功能是由 Shell32.dll 來(lái)完成的，那么就拿它開(kāi)刀！

使用任意一款 16 進(jìn)制編輯器，如 Ultra Edit 或 Winhex、Hedit 等均可，先將 Windows\system32\Shell32.dll 備份到一個(gè)臨時(shí)目錄，然后用 16 進(jìn)制編輯器打開(kāi)備份目錄中的 Shell32.dll，按 Ctrl+F，輸入 Autorun.inf，并以雙字節(jié)模式搜索（即搜索對(duì)話框中的16進(jìn)制輸入框中每對(duì)字符之間手工添加一對(duì)0，即 00），搜索到 Autorun.inf 后，改成你自己愿意的字母，越古怪越好！

修改好后存盤，同時(shí)替換 System32\dllcache 目錄和 System32 目錄下的同名文件（可先把當(dāng)前存在的文件改名后再?gòu)?fù)制修改過(guò)的文件過(guò)去），重啟后即可生效。