|
|
移动存储设备的普及,带来了信息交换便利的同时,也为病毒的传播大开方便之门。
计算机病毒以移动介质进行传播,主要经历了如下几个阶段:
一.被动copy,被动run
早期的移动介质病毒,主要通过人为的参与进行传播
即,你不点他,他不会运行……
二.主动copy,主动run
病毒可以通过利用Autorun.inf,自动将自身copy复制到移动介质中(关于Autorun.inf的信息大家可以上网找找,google上很多……)
以WORM_VB.CQE为例:
1.该病毒以文件形式到达计算机硬盘
2.在所有映射盘符和移动盘符下生成CTFMON.exe
注意:
CTFMON.EXE是Office自动加载的文字服务,正常情况下所在 路径为c:\windows\system32\,很多病毒都会伪装成该进程,如果发现进程中由不是位于c:\windows\system32\的CTFMON.EXE在运行,则基本上可以判为病毒
下图所示,为正常的ctfmon.exe所在路径,并具有特定图标
3.一旦该病毒执行(被点击或者通过计划任务运行),它会在根目录下(通常未C:\)生成名为RECYCLED的目录
4.并将自身以名为CTFMON.EXE的文件复制到如下文件夹:
C:\Recycled\Recycled 将自身伪装成回收站中的文件
%Start Menu% 启动菜单,开机时自动加载该菜单中的栏目,病毒通常都会通过这种方式达 到开机时加载自身的目的
注意:
%Start Menu%是当前用户的开始菜单,即
C:\Windows\Profiles\{user name}\Start Menu on Windows 98 and ME
C:\WINNT\Profiles\{user name}\Start Menu on Windows NT
C:\Windows\Start Menu or C:\Documents and Settings\{User name}\Start Menu on Windows 2000, XP, and Server 2003.)
5.在根目录下生成AUTORUN.INF文件,该文件内容如下:
[AutoRun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(0).
通过以上命令,病毒可以做到在双击含有该文件的盘符(包括移动硬盘的盘符)的情况下,自动加载CTFMON.exe,并出发该病毒,完成如上的步骤2.3.4
6.通过如上方式,病毒可以不断的进行对计算机和移动介质的感染
由于默认情况下,系统会对光盘、移动介质进行“自动播放”,因此,只需要完成计算机和移动介质的连接,就相当于人为地去点击盘符并激活该类病毒。同时,通过对Autorun.inf文件进行编辑,还可以完成诸如执行特定程序,甚至进行文件操作(删除!!!),共享攻击等动作。
通常情况下,移动介质如果感染病毒的话,已经是该病毒的第(1+N)次感染了(N>=1),即一定是计算机先感染,然后再传播给移动介质,举例来说:
1.快下班了,公司的工作没有完成,就用移动硬盘copy回去
2.晚上到家,复制到家里的计算机上继续
3.第二天早上,到公司,复制到公司的电脑上
而往往我们日常工作中对于移动介质的使用要复杂的多,环节也会多出很多。因此会造成实际上,移动硬盘上所带有的病毒,通常都会远远落后于现有计算机防病毒软件的可侦测组件(即,通常情况下,最新的防病毒软件都能完成对该类病毒的有效侦测,很多情况下是查的到,单杀不掉,原因很多是因为自动播放功能导致病毒已经开始运行)
因此对于该类病毒,采取的防范措施推荐如下:
1.当然是使用必要的防病毒手段,如安装防病毒客户端,并保证及时的更新,避免自身通过移动介质被感染
2.具备简单基础的计算机常识,如果盘符根目录下突然出现莫名文件,如上文提到的“回收站","autorun.inf"等文件,需要引起警觉;如果不确认的话,请联系对应的解决方案供应商(知道为什么要买防病毒软件了吧,售后服务啊!!!)
3.除了依赖技术能力外,养成好的计算机使用习惯也很必要。比如这个case中的”自动播放“功能,我本人至今都没有发现他有什么用处……,建议直接禁掉:
一、为可移动设备设置属性。
关闭单个移动存储设备的“自动播放”功能,可以通过移动存储设备的属性页来直接关闭着项功能。(这要求该移动存储设备已经存在于计算机上。)
1、在我的电脑或者资源管理器中右键单击需要关闭自动播放功能的移动存储设备。选择属性。
2、在打开的窗口中单击“自动播放”选项卡,在操作框中,选定“选择一个操作来执行”前的单选框,然后选中“不执行操作”。最后“确定”。
这样该设备就不会再自动打开文件夹了。
二、使用组策略一次性全部关闭windows xp的自动播放功能:
如果你想一次全部禁用Windows XP的自动播放功能,可以使用组策略。(如果是企业用户的话,结合域环境,可以通过组策略对全网计算机进行该功能的屏蔽,相信我,做了这个事情,你可以减少很多改类病毒的感染率)
1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;
2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。
提醒:“关闭自动播放”设置是只能使系统不再列出光盘和移动存储的目录,并不能够阻止自动播放音乐CD盘。要阻止音乐CD的自动播放,你就只有更改移动设备的属性了。 |
|
发表于 2007-4-24 17:52:51
发表于 2007-4-30 09:57:20