廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 7166 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 當心U盤病毒和Autorun.inf文件分析[圖]
當心U盤病毒和Autorun.inf文件分析 [圖]

http://www.enorth.com.cn  2006-10-31 14:43

  最近,有關U盤病毒的情況非常嚴重,以湛江年會為例,在各人遞交的U盤上,發現有病毒的比例可以高達90%。

  這裡記錄一下有關此病毒的一些個人看法:
  首先,目前幾乎所有這類的病毒的最大特征都是利用autorun.inf這個來侵入的,而事實上autorun.inf相當於一個傳染途徑,經過這個途徑入侵的病毒,理論上是『任何』病毒。因此大家可以在網上發現,當搜索到autorun.inf之後,附帶的病毒往往有不同的名稱,正是這個道理。就好像身體上有個創口,有可能進入的細菌就不止一種,在不同環境下進入的細菌可以不同,甚至可能是AIDS病毒。這個autorun.inf就是創口。因此目前無法單純說U盤病毒就是什麼病毒,也因此導致在查殺上會存在混亂,因為U盤病毒不止一種或幾十種,詳細的數字應該沒人去統計吧。

  現在先說說autorun.inf這個所謂的創口吧……
  首先,autorun.inf這個文件是很早就存在的,在WinXP以前的其他windows系統(如Win98,2000等),需要讓光盤、U盤插入到機器自動運行的話,就要靠autorun.inf。這個文件是保存在驅動器的根目錄下的(是一個隱藏的系統文件),它保存著一些簡單的命令,告訴系統這個新插入的光盤或硬件應該自動啟動什麼程序,也可以告訴系統讓系統將它的盤符圖標改成某個路徑下的icon。所以,這本身是一個常規且合理的文件和技術。

  但相信你已經注意到,上面反復提到『自動』,這就是關鍵。病毒作者可以利用這一點,讓移動設備在用戶系統完全不知情的情況下,『自動』執行任何命令或應用程序。因此,通過這個autorun.inf文件,可以放置正常的啟動程序,如我們經常使用的各種教學光盤,一插入電腦就自動安裝或自動演示;也可以通過此種方式,放置任何可能的惡意內容。

  這裡再說說計算機病毒:跟生物界的狀況是一樣的,細菌、病毒跟人類都是生物體,甚至在大部分情況下,這些微生物也並非完全有害,也會與人體共存。電腦中的病毒跟正常程序一樣,都是使用基礎原理一致的源代碼編寫、執行的,只是軟件執行的是用戶需要的、正常的功能,病毒執行的是用戶不需要的、不正常的功能,這裡有一個辯證的相對性在裡面。簡單的例子,比如稍微熟悉電腦的朋友都知道Format、del的DOS命令代表格式化硬盤和刪除文件,假設我autorun.inf中使用了Format或del命令,那麼表示我可以讓別人的機器被格式化,或者刪除了一些文件,而這其實不需要太高深的電腦知識。

  說完autorun.inf,再說說目前相關的U盤病毒的隱藏方式:
  有了啟動方法,病毒作者肯定需要將病毒主體放進光盤或者U盤裡纔能讓其運行的,但是堂而皇之的放在U盤裡肯定會被用戶發現而刪除(即使不知道其是病毒,不是自己的不知名文件也會刪除吧),所以,病毒肯定會隱藏起來存放在一般情況下看不到的地方了。一種是假回收站方式:病毒通常在U盤中建立一個『RECYCLER』的文件夾,然後把病毒藏在裡面很深的目錄中,一般人以為這就是回收站了,而事實上,回收站的名稱是『Recycled』,而且兩者的圖標是不同的:



  另一種是假冒殺毒軟件方式:病毒在U盤中放置一個程序,改名『RavMonE.exe』,這很容易讓人以為是瑞星的程序,其實是病毒。

  也許有人會問,為什麼在你的機器上能看到上面的文件,我的機器看不到呢?很簡單,通常的系統安裝,默認是會隱藏一些文件夾和文件的,病毒就會將自己改造成系統文件夾、隱藏文件等等,一般情況下當然就看不到了。要讓自己能看到隱藏的文件,怎麼辦?個人如操作,按如下步驟:打開『我的電腦』,在菜單欄上點『工具』,點『文件夾選項』,出現一個對話框,選擇『查看』標簽,然後對照下圖:



  如果U盤帶有上述病毒,還會一個現象,當你點擊U盤時,會多了一些東西:



  上圖左側是帶病毒的U盤,右鍵菜單多了『自動播放』、『Open』、『Browser』等項目;右側是殺毒後的,沒有這些項目。這裡注明一下:凡是帶Autorun.inf的移動媒體,包括光盤,右鍵都會出現『自動播放』的菜單,這是正常的功能。 

  綜上所述:
  引用
  目前的U盤病毒都是通過Autorun.inf來進入的;
  Autorun.inf本身是正常的文件,但可被利用作其他惡意的操作;
  不同的人可通過Autorun.inf放置不同的病毒,因此無法簡單說是什麼病毒,可以是一切病毒、木馬、黑客程序等;

  一般情況下,U盤不應該有Autorun.inf文件;
  如果發現U盤有Autorun.inf,且不是你自己創建生成的,請刪除它,並且盡快查毒;
  如果有貌似回收站、瑞星文件等文件,而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱,同時確認該內容不是你創建生成的,請刪除它;

  同時,一般建議插入U盤時,不要雙擊U盤,另外有一個更好的技巧:插入U盤前,按住Shift鍵,然後插入U盤,建議按鍵的時間長一點。插入後,用右鍵點擊U盤,選擇『資源管理器』來打開U盤。

  注:部分U盤制造商可能也會利用Autorun.inf進行自己的特色設計,目的是為了讓用戶執行廠商的特色程序。已確認部分廠商確實使用了這種方式,因此建議購買U盤是先做識別,或諮詢銷售人員。

  下面說說RavMon.exe病毒的解決辦法吧:
  昨天某人發現她的U盤有病毒,KV報出一個RavMonE.exe文件,這個也是最經典的一個U盤病毒了……
  引用
  RavmonE.exe病毒運行後,會出現同名的一個進程,該程序並貌似沒有顯著危害性。程序大小為3.5M,貌似用Python寫的,一般會佔用19-20M左右資源,在Windows目錄內隱藏為系統文件,且自動添加到系統啟動項內。其生成的Log文件常含有不同的六位數字,估計可能在有竊取帳號密碼之類的危害吧,不過由於該疑似病毒文件過於巨大,一般隨移動存儲器傳播。

  解決方法:
  1、打開任務管理器(ctrl+alt+del或者任務欄右鍵點擊也可),終止所有ravmone.exe的進程。
  2、進入c:\windows,刪除其中的ravmone.exe。
  3、進入c:\windows,運行regedit.exe,在左邊依次點開HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右邊可以看到一項數值是c:\windows\ravmone.exe的,把他刪除掉。
  4、完成後,病毒就被清除了。

  殺掉U盤中的病毒的方法:
  對移動存儲設備,如果中毒,則把文件夾選項中隱藏受保護的操作系統文件鉤掉,點上顯示所有文件和文件夾,點擊確定,然後在移動存儲設備中會看到如下幾個文件,autorun.inf,msvcr71.dl,ravmone.exe,都刪除掉,還有一個後綴為tmp的文件,也可以刪除,完成後,病毒就清除了。

  但對於上面的處理U盤中的病毒的方法,經過我的親身經歷後作小小補充:就是在刪除autorun.inf,msvcr71.dl,RavMonE.exe這三個文件時,直接刪可能會刪不掉的,要先到進程管理那了先結束RavMonE.exe再刪除這三個文件,如果還不行就到安全模式裡刪,這樣就一定行。

  小結:
  不要以為這個是小小的病毒,它是不知不覺的在後臺運行的,它長期會佔用你差不多20M內存,它隨系統啟動。它會莫名奇妙的使你的計算機在沈默中死亡。相信這病毒在公共的計算機中非常流行,例如學校,公司等。這個病毒任你格式化U盤也格不掉,用很多殺毒軟件也奈它不何。一般讓你看不出來,不信你可以把U盤插入電腦中再把『文件夾選項中隱藏受保護的操作系統文件鉤掉』,看看……你可能見到多出了三個不明的文件,那你就是中招了!有空檢查一下你的U盤吧!祝你好運!注意:如果進程是Ravmon.exe ,這個應該是瑞星的程序而不病毒!



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-24 01:44 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.013330 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言