原创 病毒,没有最变态,只有更变态

2011-4-9 19:45 2903 3 4 分类: 工程师职场

49112264-f5c6-4e41-82f1-a5f8e8ae1614.gif病毒,没有最变态,只有更变态


wxleasyland


2011.1.3


 


我先前一直认为,WINDOWS的病毒已经不同于以前DOS了,DOS病毒都很变态,喜欢感染所有的文件,尤其是EXE。我以为WINDOWS病毒现在都是玩木马之类的,不会感染全部文件。


我原以为:


1.病毒不会感染全部EXE文件。


2.U盘打开时,只要点右键、打开,就不会执行AUTORUN.INF文件。


3. 病毒修改EXE文件后,文件的修改时间会改变。


 


结果我大错特错了,今天帮别人重装XP系统,他的系统我插上U盘,AUTORUN.INF中毒。


重新装完XP,很奇怪,我运行了一个EXE安装文件,绍果发现有的EXE文件会删不掉,U盘插上,发现AUTORUN.INF还在中毒。


再重新装一遍,U盘插上,点右键、打开,发现还是中毒了!


再重新装一遍,下载安装瑞星,查毒,发现EXE文件都中了病毒,RAR文件里也现了病毒。


 


之所以认为EXE文件未受感染,是发现文件的修改时间正常。结果我错了,病毒可以做到修改了文件,而文件的修改时间却和原来一样!


所以,以前的WINDOWS病毒还比较规矩,只是挂个木马之类,现在越来越变态了,会感染EXE、RAR、ZIP文件,好像感染ISO的不多,但也是有可能会感染!因为杀软都检查得到ISO文件里的病毒,说明ISO文件并没有什么难度,那有的病毒就可能有感染ISO里面的文件的能力。


试UltraISO,可以打开一个ISO,再添加一个新的文件进去,再保存,但保存的时候是全盘保存!就是说,如果ISO是600MB,则就要重新保存600MB,时间很久,这对于病毒来说就太麻烦了。所以感染ISO不是一个好主意。当然对于小的ISO文件就很快了。


WINRAR、WinImage可以打开ISO文件,但无法将文件添加进ISO文件中,也无法删除其中的文件!


WinImage可以修改img中的文件(比如软盘镜像img),但是对于CLONECD生成的光盘镜像img文件,无法删除其中的文件,也无法添加新的文件进去!


说明光盘的文件系统不适合修改里面的单个文件,修改了一个文件,就只能重新封装整张光盘,很麻烦。所以光盘镜像是比较安全的!


 


所有被病毒感染的文件,就废掉了!杀毒软件有的可以清掉病毒,但可能文件运行起来也有点问题了。


所以要避免这个情况,必须做成加密的RAR,然后搞成ISO,彻底避免中毒。再刻成光盘备份。


但是如果WINRAR被劫持,那就完蛋了,加密的RAR文件,输入密码后,也可能被修改掉。有这样的病毒。


另外,病毒也可能不判断扩展名,而是判断文件内容来判断这个是什么文件,从而进行感染。


另外,有的病毒会感染所有的HTML文件,嵌入JS链接脚本,真是变态。


 


这个病毒的autorun.inf:


[autorun]


OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe


shell\open=打开(&O)


shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show


shell\open\Default=1//


shell\explore=资源管理器(&X)


shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show


 


临时解决方法:


大的安装文件做成ISO,记录MD5,再编码成另一个文件,这样肯定不会被感染,刻盘避免被删除。要使用时解码回来。


小的安装文件做成加密RAR,记录MD5,再编码成另一个文件,这样肯定不会被感染,刻盘避免被删除。要使用时解码回来。


但是编码解码太麻烦了,如果不编码解码,RAR有可能被劫持,就做成ISO文件吧,改掉扩展名,同时记录MD5值,以后比较就知道有没有被改变了。


扩展名可以改成._so,符合8.3格式,如果改成.iso_,则8.3格式的文件扩展名仍然是.iso,也不保险。改成._iso后,用WINRAR关联这个文件,以后双击文件就直接WINRAR打开了。


一些软件就从网上官方下载就好了。


生成安装软件EXE文件的MD5,看来是有必要的。


SD卡写保护,避免感染。对于SD读卡器很有用!!但是,如果是直接SD卡插入电脑的,可能写保护会失效,SD卡上写保护,仍可以被写入,参见佳能相机的SD卡修改。


 


del /f/a 可以删除有“系统”“隐藏”属性的文件!!!


不要以为用右键打开U盘就不会中毒!!!!!


最安全的打开方式是用快捷键(windows+E)打开资源管理器,不能通过右键菜单中“资源管理器”打开。


也可用地址栏下拉或者资源管理器左边来打开。


也可以用winrar查找各个盘符下的autorun文件,然后删除就行了


也可以用ACDSEE来浏览。


XP中运行"sigverif",可以用来查看WINDOWS的文件是否是签名正常,签名正常就没有被病毒感染。


 


禁止U盘自动播放方法:组策略关闭法


“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定” 按钮,打开“组策略”窗口,然后在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放 ”,单击“设置”选项,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。


 


也可以用TWEAK UI来设置


 


小红伞杀软可以自动禁止U盘的AUTORUN.INF,这样很安全。


 


对于XPSP2 和Vista,Autorun已经变成了AutoPlay,不会自动运行程序,会弹出窗口说要你干什么。


 


 


 


wxleasyland试验:


新的xp SP2系统:


一、


[autorun]


OPEN=\NOTEPAD.exe


shell\open=打开(&O)


shell\open\Command=\NOTEPAD.exe Show


shell\open\Default=1//


shell\explore=资源管理器(&X)


shell\explore\Command=\NOTEPAD.exe Show


 


这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”


1。双击磁盘,“拒绝访问”


2。右键,打开,“拒绝访问”


3。右键,资源管理器,“拒绝访问”


4。右键,自动播放,出来选择窗口,“打开文件夹”,或“不执行操作”


5。WIN+E,在资源管理器中,点这个磁盘,正常显示出来了!不会运行NOTEPAD.exe


6。CMD,可以进入这个磁盘


 


 


更改AUTORUN.inf文件后,要重新插U盘,才能生效。


 


 


二、


[autorun]


OPEN=NOTEPAD.exe


shell\open=打开(&O)


shell\open\Command=NOTEPAD.exe Show


shell\open\Default=1//


shell\explore=资源管理器(&X)


shell\explore\Command=NOTEPAD.exe Show


这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”


1。双击磁盘,这时运行了NOTEPAD.exe,提示找不到show.txt


2。右键,打开,这时运行了NOTEPAD.exe,提示找不到show.txt


3。右键,资源管理器,这时运行了NOTEPAD.exe,提示找不到show.txt


4。右键,自动播放,出来选择窗口,“打开文件夹”,或“不执行操作”


5。WIN+E,在资源管理器中,点这个磁盘,正常显示,不会运行NOTEPAD.exe


6. 右键,用ACDSEE浏览,则不会运行NOTEPAD.exe


 


 


 


如果组策略中关闭所有驱动器的自动运行,则:


这时,插上U盘,什么都没有


1。双击磁盘,打开了磁盘,不会运行NOTEPAD.exe


2。右键,打开,打开了磁盘,不会运行NOTEPAD.exe


3。右键,资源管理器,打开了磁盘,不会运行NOTEPAD.exe


4。右键,没有“自动播放”


 


如果TWEAK UI中只取消“激活可移动媒体的自动播放功能”,则:


这时,插上U盘,什么都没有


1。双击磁盘,打开了磁盘,不会运行NOTEPAD.exe


2。右键,打开,打开了磁盘,不会运行NOTEPAD.exe


3。右键,资源管理器,打开了磁盘,不会运行NOTEPAD.exe


4。右键,没有“自动播放”


 


 


如果TWEAK UI中只取消自动播放功能的各个驱动器盘符,则:


这时,插上U盘,什么都没有


1。双击磁盘,打开了磁盘,不会运行NOTEPAD.exe


2。右键,打开,打开了磁盘,不会运行NOTEPAD.exe


3。右键,资源管理器,打开了磁盘,不会运行NOTEPAD.exe


4。右键,没有“自动播放”


 


 


所以3种方式,任一种都可以!


 


 


 


三、


[autorun]


OPEN=NOTEPAD.exe


这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”


1。双击磁盘,没有运行NOTEPAD.exe


2。右键,打开,没有运行NOTEPAD.exe


3。右键,资源管理器,没有运行NOTEPAD.exe


4。右键,自动播放,出来选择窗口,“打开文件夹”,或“不执行操作”


 


 


四、


[autorun]


shellexecute=notepad.exe


这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”


1。双击磁盘,运行了NOTEPAD.exe,没有打开磁盘


2。右键,打开,打开了磁盘,没有运行NOTEPAD.exe


3。右键,资源管理器,打开了磁盘,没有运行NOTEPAD.exe


4。右键,有二个自动播放!点上面一个黑色的“自动播放”,运行了NOTEPAD.exe,没有打开磁盘。


点下面一个“自动播放”,出来选择窗口,“打开文件夹”,或“不执行操作”


 


 


五、


[autorun]


OPEN=NOTEPAD.exe


shellexecute=notepad.exe


这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”


1。双击磁盘,出来选择窗口,“打开文件夹”,或“不执行操作”


2。右键,打开,打开了磁盘,没有运行NOTEPAD.exe


3。右键,只有一个黑色的“自动播放”,出来选择窗口,“打开文件夹”,或“不执行操作”


 


 


 


六、


[autorun]


shell\Auto\command=notepad.exe


这时,插上U盘,什么都没有


1。双击磁盘,打开了磁盘


2。右键,打开,打开了磁盘,没有运行NOTEPAD.exe


3。右键,有一个Auto,会运行盘上的NOTEPAD.EXE


 


 


===================================


 


惊讶,文件名上做手脚,利用从右向左阅读――把exe木马文件名改为txt,jpg等


见http://www.linuxso.com/a/jiaobenruqin/518.html


图片是:



 


wxleasyland试验,发现:


XP资源管理器发现不了这个问题,正常文件名文件、倒序文件名文件、正序文件名文件可 以放在一个目录中,不冲突。


WINRAR也发现不了这个问题,WINRAR兼容性很好。


ACDSEE浏览器,可以发现这个问题,对于倒序文件名文件、正序文件名文件都显示成前面带?的正常文件名,但是点这个文件,没有反应,无法进行操作。可能是ACDSEE不兼容非正常文件名的文件,正好这样子ACDSEE就可以拿来发现有问题的文件名文件!


 


 


 


 


 

PARTNER CONTENT

文章评论1条评论)

登录后参与讨论

用户377235 2016-5-17 14:19

可以用以毒攻毒的方法来进行删除
相关推荐阅读
wxleasyland 2016-06-23 20:35
简单翻译W25Q64BV数据手册(Winbond串行闪存SPI总线)
百度文库 http://wenku.baidu.com/view/7bfd82fd5901020206409c1b...
wxleasyland 2016-06-22 17:33
安卓手机中加入busybox命令,打包tar,HC-KTOOL备份EFS的efs.tar.gz长度为0解决
安卓手机中加入busybox命令,打包tar,HC-KTOOL备份EFS的efs.tar.gz长度为0解决 wxleasyland@sina.com 2016.6.17 I9300手机,4....
wxleasyland 2016-06-19 21:17
电脑机箱USB扩展面板失灵原因查找
wxleasyland@sina.com 2016.6   山寨电脑机箱前面的2个USB口扩展面板,是通过排线接到主板上的插座的。 用得好好的,中间有搞了搞电脑,后来就发现有一个...
wxleasyland 2016-06-17 13:44
I9300手机解锁亮屏慢,是Exynos处理器的原因
I9300手机解锁亮屏慢,是Exynos处理器的原因 三星I9300手机,全新刷的官方系统,没有装任何软件。 按电源键或HOME键,亮屏慢,需要1~2秒屏幕才亮起来,找遍网上,没有解法。 后...
wxleasyland 2016-06-16 13:48
华硕主板FW status recovery error故障修复,双BIOS功能分析
华硕主板FW status recovery error故障修复,双BIOS功能分析 wxleasyland@sina.com 2016.6   最近买了一个二手华硕主板P8B75...
wxleasyland 2016-05-01 19:47
WINDOWS(WIN7等)用U盘安装方便(非WINPE)、XP需PE
WINDOWS(WIN7等)用U盘安装方便(非WINPE)、XP需PE 2016年5月1日     一、在WINDOWS中安装WINDOWS 在已运行的WINDOWS中,点击硬...
EE直播间
更多
我要评论
1
3
关闭 站长推荐上一条 /3 下一条