Navicy's .NET

天将降大任于斯人也,必先苦其心智,劳其筋骨,饿其体肤,空乏其身......

导航

Windows的AutoRun.inf文件是近期木马、病毒传播的罪魁祸首

今天发现自己的电脑用中了病毒,此病毒通过U盘等移动设备传播,U盘插入后响应缓慢,盘符右键菜单出现了“open”和“close”的英文选项,查看进程,发现不明的wincfgs.exe进程存在,在系统开机时还会自动弹出“记事本”,又是一个蠕虫病毒,解决方法可以参考http://www.openlab.net.cn/blogs/minady/archive/2006/05/26/539400.aspx
中的说明。
我要说的是这个病毒的运行原理,和前几次遇到的病毒一样,它又是通过AutoRun.inf来运行它自己的。事实上,大部分病毒程序进入电脑以后,如果没有执行条件,它是很难运行的,所以病毒就要想办法让用户来执行它,但是用户不能白痴到不点击不清楚的程序来运行,所以病毒就需要来伪装自己或者假借一个依托来执行,这是windows大名鼎鼎的AutoRun.inf文件就派上用场了,它可以说是许多木马、病毒执行的入口。
AutoRun.inf起初是用在光盘上的能让光盘插入后自动播放的文件,设计是为了方便使用者,不用点击就能运行某个文件,这恰恰是病毒执行的可靠门路i。它不仅能让光盘自动运行程序,也能让硬盘自动运行程序,方法很简单,先打开记事本,然后用鼠标右键点击该文件,在弹出菜单中选择“重命名”,将其改名为AutoRun.inf,在AutoRun.inf中键入以下内容:
  [AutoRun]    //表示AutoRun部分开始,必须输入
  Icon=C:\C.ico  //给C盘一个个性化的盘符图标C.ico
  Open=C:\1.exe  //指定要运行程序的路径和名称,在此为C盘下的1.exe
  保存该文件,按F5刷新桌面,再看“我的电脑”中的该盘符(在此为C盘),你会发现它的磁盘图标变了,双击进入C盘,还会自动播放C盘下的1.exe文件!
看到了吧,如果1.exe就是一个病毒执行文件的话,用户不经意插入光盘或者双击盘符就会导致它的执行。以前遇到的病毒大部分都是通过AutoRun.inf来执行的,看来微软的这个AutoRun.inf文件可真是病毒传播的温床啊!
既然如此,我们可以通过关闭系统驱动器的“自动运行”功能来达到禁止AutoRun.inf文件运行的目的,方法是可以在组策略编辑器gpedit.msc中关闭此功能,或者参考以下文章:
http://lancao.blogdriver.com/lancao/1162271.html

posted on 2006-06-09 12:03  Navicy  阅读(1898)  评论(3编辑  收藏  举报