病毒,没有最变态,只有更变态
wxleasyland
2011.1.3
我先前一直认为,WINDOWS的病毒已经不同于以前DOS了,DOS病毒都很变态,喜欢感染所有的文件,尤其是EXE。我以为WINDOWS病毒现在都是玩木马之类的,不会感染全部文件。
我原以为:
1.病毒不会感染全部EXE文件。
2.U盘打开时,只要点右键、打开,就不会执行AUTORUN.INF文件。
3. 病毒修改EXE文件后,文件的修改时间会改变。
结果我大错特错了,今天帮别人重装XP系统,他的系统我插上U盘,AUTORUN.INF中毒。
重新装完XP,很奇怪,我运行了一个EXE安装文件,绍果发现有的EXE文件会删不掉,U盘插上,发现AUTORUN.INF还在中毒。
再重新装一遍,U盘插上,点右键、打开,发现还是中毒了!
再重新装一遍,下载安装瑞星,查毒,发现EXE文件都中了病毒,RAR文件里也现了病毒。
之所以认为EXE文件未受感染,是发现文件的修改时间正常。结果我错了,病毒可以做到修改了文件,而文件的修改时间却和原来一样!
所以,以前的WINDOWS病毒还比较规矩,只是挂个木马之类,现在越来越变态了,会感染EXE、RAR、ZIP文件,好像感染ISO的不多,但也是有可能会感染!因为杀软都检查得到ISO文件里的病毒,说明ISO文件并没有什么难度,那有的病毒就可能有感染ISO里面的文件的能力。
试UltraISO,可以打开一个ISO,再添加一个新的文件进去,再保存,但保存的时候是全盘保存!就是说,如果ISO是600MB,则就要重新保存600MB,时间很久,这对于病毒来说就太麻烦了。所以感染ISO不是一个好主意。当然对于小的ISO文件就很快了。
WINRAR、WinImage可以打开ISO文件,但无法将文件添加进ISO文件中,也无法删除其中的文件!
WinImage可以修改img中的文件(比如软盘镜像img),但是对于CLONECD生成的光盘镜像img文件,无法删除其中的文件,也无法添加新的文件进去!
说明光盘的文件系统不适合修改里面的单个文件,修改了一个文件,就只能重新封装整张光盘,很麻烦。所以光盘镜像是比较安全的!
所有被病毒感染的文件,就废掉了!杀毒软件有的可以清掉病毒,但可能文件运行起来也有点问题了。
所以要避免这个情况,必须做成加密的RAR,然后搞成ISO,彻底避免中毒。再刻成光盘备份。
但是如果WINRAR被劫持,那就完蛋了,加密的RAR文件,输入密码后,也可能被修改掉。有这样的病毒。
另外,病毒也可能不判断扩展名,而是判断文件内容来判断这个是什么文件,从而进行感染。
另外,有的病毒会感染所有的HTML文件,嵌入JS链接脚本,真是变态。
这个病毒的autorun.inf:
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
临时解决方法:
大的安装文件做成ISO,记录MD5,再编码成另一个文件,这样肯定不会被感染,刻盘避免被删除。要使用时解码回来。
小的安装文件做成加密RAR,记录MD5,再编码成另一个文件,这样肯定不会被感染,刻盘避免被删除。要使用时解码回来。
但是编码解码太麻烦了,如果不编码解码,RAR有可能被劫持,就做成ISO文件吧,改掉扩展名,同时记录MD5值,以后比较就知道有没有被改变了。
扩展名可以改成._so,符合8.3格式,如果改成.iso_,则8.3格式的文件扩展名仍然是.iso,也不保险。改成._iso后,用WINRAR关联这个文件,以后双击文件就直接WINRAR打开了。
一些软件就从网上官方下载就好了。
生成安装软件EXE文件的MD5,看来是有必要的。
SD卡写保护,避免感染。对于SD读卡器很有用!!但是,如果是直接SD卡插入电脑的,可能写保护会失效,SD卡上写保护,仍可以被写入,参见佳能相机的SD卡修改。
del /f/a 可以删除有“系统”“隐藏”属性的文件!!!
不要以为用右键打开U盘就不会中毒!!!!!
最安全的打开方式是用快捷键(windows+E)打开资源管理器,不能通过右键菜单中“资源管理器”打开。
也可用地址栏下拉或者资源管理器左边来打开。
也可以用winrar查找各个盘符下的autorun文件,然后删除就行了
也可以用ACDSEE来浏览。
XP中运行"sigverif",可以用来查看WINDOWS的文件是否是签名正常,签名正常就没有被病毒感染。
禁止U盘自动播放方法:组策略关闭法
“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定” 按钮,打开“组策略”窗口,然后在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放 ”,单击“设置”选项,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。
也可以用TWEAK UI来设置
小红伞杀软可以自动禁止U盘的AUTORUN.INF,这样很安全。
对于XPSP2 和Vista,Autorun已经变成了AutoPlay,不会自动运行程序,会弹出窗口说要你干什么。
wxleasyland试验:
新的xp SP2系统:
一、
[autorun]
OPEN=\NOTEPAD.exe
shell\open=打开(&O)
shell\open\Command=\NOTEPAD.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=\NOTEPAD.exe Show
这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”
1。双击磁盘,“拒绝访问”
2。右键,打开,“拒绝访问”
3。右键,资源管理器,“拒绝访问”
4。右键,自动播放,出来选择窗口,“打开文件夹”,或“不执行操作”
5。WIN+E,在资源管理器中,点这个磁盘,正常显示出来了!不会运行NOTEPAD.exe
6。CMD,可以进入这个磁盘
更改AUTORUN.inf文件后,要重新插U盘,才能生效。
二、
[autorun]
OPEN=NOTEPAD.exe
shell\open=打开(&O)
shell\open\Command=NOTEPAD.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=NOTEPAD.exe Show
这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”
1。双击磁盘,这时运行了NOTEPAD.exe,提示找不到show.txt
2。右键,打开,这时运行了NOTEPAD.exe,提示找不到show.txt
3。右键,资源管理器,这时运行了NOTEPAD.exe,提示找不到show.txt
4。右键,自动播放,出来选择窗口,“打开文件夹”,或“不执行操作”
5。WIN+E,在资源管理器中,点这个磁盘,正常显示,不会运行NOTEPAD.exe
6. 右键,用ACDSEE浏览,则不会运行NOTEPAD.exe
如果组策略中关闭所有驱动器的自动运行,则:
这时,插上U盘,什么都没有
1。双击磁盘,打开了磁盘,不会运行NOTEPAD.exe
2。右键,打开,打开了磁盘,不会运行NOTEPAD.exe
3。右键,资源管理器,打开了磁盘,不会运行NOTEPAD.exe
4。右键,没有“自动播放”
如果TWEAK UI中只取消“激活可移动媒体的自动播放功能”,则:
这时,插上U盘,什么都没有
1。双击磁盘,打开了磁盘,不会运行NOTEPAD.exe
2。右键,打开,打开了磁盘,不会运行NOTEPAD.exe
3。右键,资源管理器,打开了磁盘,不会运行NOTEPAD.exe
4。右键,没有“自动播放”
如果TWEAK UI中只取消自动播放功能的各个驱动器盘符,则:
这时,插上U盘,什么都没有
1。双击磁盘,打开了磁盘,不会运行NOTEPAD.exe
2。右键,打开,打开了磁盘,不会运行NOTEPAD.exe
3。右键,资源管理器,打开了磁盘,不会运行NOTEPAD.exe
4。右键,没有“自动播放”
所以3种方式,任一种都可以!
三、
[autorun]
OPEN=NOTEPAD.exe
这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”
1。双击磁盘,没有运行NOTEPAD.exe
2。右键,打开,没有运行NOTEPAD.exe
3。右键,资源管理器,没有运行NOTEPAD.exe
4。右键,自动播放,出来选择窗口,“打开文件夹”,或“不执行操作”
四、
[autorun]
shellexecute=notepad.exe
这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”
1。双击磁盘,运行了NOTEPAD.exe,没有打开磁盘
2。右键,打开,打开了磁盘,没有运行NOTEPAD.exe
3。右键,资源管理器,打开了磁盘,没有运行NOTEPAD.exe
4。右键,有二个自动播放!点上面一个黑色的“自动播放”,运行了NOTEPAD.exe,没有打开磁盘。
点下面一个“自动播放”,出来选择窗口,“打开文件夹”,或“不执行操作”
五、
[autorun]
OPEN=NOTEPAD.exe
shellexecute=notepad.exe
这时,插上U盘,出来选择窗口,“打开文件夹”,或“不执行操作”
1。双击磁盘,出来选择窗口,“打开文件夹”,或“不执行操作”
2。右键,打开,打开了磁盘,没有运行NOTEPAD.exe
3。右键,只有一个黑色的“自动播放”,出来选择窗口,“打开文件夹”,或“不执行操作”
六、
[autorun]
shell\Auto\command=notepad.exe
这时,插上U盘,什么都没有
1。双击磁盘,打开了磁盘
2。右键,打开,打开了磁盘,没有运行NOTEPAD.exe
3。右键,有一个Auto,会运行盘上的NOTEPAD.EXE
===================================
惊讶,文件名上做手脚,利用从右向左阅读――把exe木马文件名改为txt,jpg等
见http://www.linuxso.com/a/jiaobenruqin/518.html
图片是:
wxleasyland试验,发现:
XP资源管理器发现不了这个问题,正常文件名文件、倒序文件名文件、正序文件名文件可 以放在一个目录中,不冲突。
WINRAR也发现不了这个问题,WINRAR兼容性很好。
ACDSEE浏览器,可以发现这个问题,对于倒序文件名文件、正序文件名文件都显示成前面带?的正常文件名,但是点这个文件,没有反应,无法进行操作。可能是ACDSEE不兼容非正常文件名的文件,正好这样子ACDSEE就可以拿来发现有问题的文件名文件!
用户377235 2016-5-17 14:19