D0I:10.13374/1.issnl00103.2007.s2.098 第29卷增刊2 北京科技大学学报 Vol.29 Suppl.2 2007年12月 Journal of University of Science and Technology Beijing Dee.2007 Autorun病毒启动机理分析及其根治方法研究 周芳) 刘光锋)姚宣霞) 1)北京科技大学倍息工程学院,北京1000832)北京中体信通科技有限公司,北京100081 摘要针对目前最流行的各种Autorun病毒,充分分析了其启动机理,针对病毒的结构特征和自动运行条件,提出了编辑组 策略、编辑注册表、禁止自动读取和执行及防止分区根目录下生成带病毒执行文件等防御措施,在此基础上进一步提出了根 治目前此类病毒的方法。 关键词Autorun病毒:机理分析:根治方法 分类号TP393 随着网络、移动设备的日益普及,并且由于计算 Icon=1.ico∥给当前盘符设置图标1.ico 机安全软件研发相对于病毒出现的滞后性,计算机 Open=l.exe∥指定运行程序的路径和名称 安全已是系统管理员和个人用户越来越重视的问 shel\open\Command=l.exe∥指定右键打 题,而最近最流行Autorun病毒,例如Rav 开分区时运行程序的路径和名称 MonE.exe、rose.exe、sxs·exe、copy·exe、setup.exe、 shell\explore\Command=“l,exe”∥指定用 Viking、熊猫烧香、AV终结者等著名病毒都有这种 资源管理器打开该分区时运行程序的路径和名称 Autorun传播方式,如何预防和根治该类病毒,已成 可以看出,程序结构是由一个或多个“节”组成, 为研究者关注的焦点,本文在充分分析该类病毒的 每个“节”必须以节名作为开始的一行,并位于中括 启动机理的基础上,提出了有效的防御措施和根治 号[]中,节名之下则为该节中的命令或者指向涉及 此类病毒的方法 到的文件路径和文件名,另外,自动运行程序的启 1 病毒启动机理分析 动方式使得病毒足以屏蔽用户对该分区的操作,即 只要用户想使用该分区,就会自动执行所感染的病 Autorun病毒主要凭借Windows自带的Au 毒 torun,inf文件启动.Autorun.inf文件自Windows 95就已经存在,设计初衷和功能是为了方便用户访 2病毒防御方法 问光盘、U盘、移动硬盘等移动设备·其本身不是病 2.1禁止Autorun-inf文件自动读取 毒,但其规则却使得病毒、木马、蠕虫轻松运行,从而 编辑组策略或者注册表理论上都可以禁止在对 导致某个分区无法进行访问,或导致私密信息、重要 分区操作时自动读取Autorun,inf文件从而达到免 资料外泄,甚至会在不知情的情况下成为网络攻击 疫Autorun病毒的目的 的帮凶,要根治这类病毒,必须充分了解其启动机 2.1.1编辑组策略 理 对于专业版的WinXP和Win2003等有组策略 Autorun·inf文件是驱动器(分区)根目录下的 的系统,可以通过编辑组策略来预防Autorun病毒, 有一定格式的文本文件,进入某分区的时候会首先 具体操做方法为: 判断是否有该文件,如果有则读取其内容并自动执 启动计算机“开始”菜单中的“运行…”命令,打 行Autorun,inf中指向的可执行文件,如com、exe、 开“运行”对话框,并在该对话框中输入“gpedit. bat等.因而,病毒常通过Autorun.inf方式启动. msc”,打开组策略管理器,定位到:用户配置→管理 一个典型的Autorun.inf文件内容如下(∥后面 为注释)3]: 模版→系统,在右边的窗口中“关闭自动播放”,在出 现的对话框中选择“已启用”,且将对象设置为“所有 [AutoRun]∥表示AutoRun部分开始 驱动器”,“确定”关闭对话框,然后退出组策略 收稿日期:2007-10-17 编辑组策略可以禁止包括光驱在内的所有盘的 作者简介:周芳(1972一),女,讲师,硕士 自动运行,也就截断了Autorun病毒的运行途径
Autorun 病毒启动机理分析及其根治方法研究 周 芳1) 刘光锋2) 姚宣霞1) 1) 北京科技大学信息工程学院北京100083 2) 北京中体信通科技有限公司北京100081 摘 要 针对目前最流行的各种 Autorun 病毒充分分析了其启动机理针对病毒的结构特征和自动运行条件提出了编辑组 策略、编辑注册表、禁止自动读取和执行及防止分区根目录下生成带病毒执行文件等防御措施在此基础上进一步提出了根 治目前此类病毒的方法. 关键词 Autorun 病毒;机理分析;根治方法 分类号 TP393 收稿日期:2007-10-17 作者简介:周 芳(1972—)女讲师硕士 随着网络、移动设备的日益普及并且由于计算 机安全软件研发相对于病毒出现的滞后性计算机 安全已是系统管理员和个人用户越来越重视的问 题[1—2].而最近最流行 Autorun 病毒例如 RavMonE.exe、rose.exe、sxs.exe、copy.exe、setup.exe、 Viking、熊猫烧香、AV 终结者等著名病毒都有这种 Autorun 传播方式.如何预防和根治该类病毒已成 为研究者关注的焦点.本文在充分分析该类病毒的 启动机理的基础上提出了有效的防御措施和根治 此类病毒的方法. 1 病毒启动机理分析 Autorun 病毒主要凭借 Windows 自带的 Autorun.inf 文件启动.Autorun.inf 文件自 Windows 95就已经存在设计初衷和功能是为了方便用户访 问光盘、U 盘、移动硬盘等移动设备.其本身不是病 毒但其规则却使得病毒、木马、蠕虫轻松运行从而 导致某个分区无法进行访问或导致私密信息、重要 资料外泄甚至会在不知情的情况下成为网络攻击 的帮凶.要根治这类病毒必须充分了解其启动机 理. Autorun.inf 文件是驱动器(分区)根目录下的 有一定格式的文本文件进入某分区的时候会首先 判断是否有该文件如果有则读取其内容并自动执 行 Autorun.inf 中指向的可执行文件如 com、exe、 bat 等.因而病毒常通过 Autorun.inf 方式启动. 一个典型的 Autorun.inf 文件内容如下(∥后面 为注释) [3]: [AutoRun]∥表示 AutoRun 部分开始 Icon=1.ico∥给当前盘符设置图标1.ico Open=1.exe∥指定运行程序的路径和名称 shell\open\Command=1.exe∥指定右键打 开分区时运行程序的路径和名称 shell\explore\Command=“1.exe”∥指定用 资源管理器打开该分区时运行程序的路径和名称 可以看出程序结构是由一个或多个“节”组成 每个“节”必须以节名作为开始的一行并位于中括 号[ ]中节名之下则为该节中的命令或者指向涉及 到的文件路径和文件名.另外自动运行程序的启 动方式使得病毒足以屏蔽用户对该分区的操作即 只要用户想使用该分区就会自动执行所感染的病 毒. 2 病毒防御方法 2∙1 禁止 Autorun.inf 文件自动读取 编辑组策略或者注册表理论上都可以禁止在对 分区操作时自动读取 Autorun.inf 文件从而达到免 疫 Autorun 病毒的目的. 2∙1∙1 编辑组策略 对于专业版的 WinXP 和 Win2003等有组策略 的系统可以通过编辑组策略来预防 Autorun 病毒. 具体操做方法为: 启动计算机“开始”菜单中的“运行…”命令打 开“运行” 对话框并在该对话框中输入“gpedit. msc”打开组策略管理器定位到:用户配置→管理 模版→系统在右边的窗口中“关闭自动播放”在出 现的对话框中选择“已启用”且将对象设置为“所有 驱动器”“确定”关闭对话框然后退出组策略. 编辑组策略可以禁止包括光驱在内的所有盘的 自动运行也就截断了 Autorun 病毒的运行途径. 第29卷 增刊2 2007年 12月 北 京 科 技 大 学 学 报 Journal of University of Science and Technology Beijing Vol.29Suppl.2 Dec.2007 DOI:10.13374/j.issn1001-053x.2007.s2.098
.188 北京科技大学学报 2007年增刊2 2.1.2编辑注册表 为前提: 相对于编辑组策略,这种方法基本上不受Wi~ (I)确保分区的文件系统为NTFS; dows操作系统版本的限制,应用面更广泛,但要求 (2)在管理员权限下设置完毕后,用户的权限设 用户拥有Administrator(管理员)权限. 为Power User和User, 在“运行对话框中输入regedit,打开注册表编 然后选中所建立的“Autorun·inf”子目录,在右 辑器,展开到HKEY-CURRENT-USER\Soft- 键菜单中选择“属性”,然后选择“安全”“高级”,取 ware\Microsoft\Windows Current Version Poli- 消“允许父项的继承”并确认,即可实现所有用 cies\Exploer主键下,在右侧窗格中找到“NoDriv 户都无法访问该子目录,如图1所示 eTypeAutoRun'”项,它决定了是否执行各驱动器Au t的西绿支全男 服州华填的理 toRun功能, 该健值是一个8位的二进制数,其中第3位代 能把湖于新有用户材t一d读有人笔的树时m,范且月有新有重才起法 表移动硬盘(包括U盘),第4位代表硬盘,第6位 他形电世鸣中 代表光驱.默认值是1010100(各位的0值表示允 许自动运行,1值表示禁止),对应16进制的数值为 口光清父球世单数用保对家养有子对康,售的悲在北形他定女有面烟。 95,可以看出其中硬盘默认为是允许自动运行设备, 将其改为1后值为1011100(16进制值为9D). 质一中7解边拉 将该键值设定为9D即可关闭硬盘分区的自动 运行, 2.2禁止生成Autorun-inf文件 图1文件系统中文件安全属性设置 上述方法除受系统版本限制或者受用户权限限 制之外,还一个先天不足,因为这种编辑方法,既可 3 Autorun病毒清除方法 以手工修改,也可以通过程序修改,如果在用户修改 如果在采用防预措施之前系统就已经感染了 之前已经中毒了,或者有其他相关病毒,可以将用户 Autorun病毒,用户可以使用该类病毒的专杀软件 编辑过的组策略或者注册表再改成原来的值,就失 但是由于病毒专杀软件一般都有自己的盲区,如果 去这种免疫力,因而需要进一步研究可靠的防预方 用户熟悉于Windows系统,建议使用手动清除则能 法· 得到更好的效果, 对于Windows而言,目录是一种特殊的文件, 由于使用Windows的文件管理器浏览分区时 而同一个目录下是不能有两个相同文件名的,针对 会不可避免地触发Autorun病毒,因而清除该类病 Autorun病毒的免疫机理就在于此 毒时建议用户使用第三方文件管理软件,如使用 2.2.1普通免疫方法 Total Commander(简称TC),能尽量避免病毒启动 在硬盘每个分区、移动设备的根目录下手动建 可能性, 立一个“Autorun.inf”子目录,并设置其属性为“隐 在TC中打开驱动器,找到Autorun.inf文件, 藏、系统、只读”,病毒就不能自动再生成Autorun, 用记事本打开,找到并记住默认执行的病毒文件的 inf文件以运行病毒,达到免疫目的, 文件名和路径,退出后删除该文件,然后分不同情况 这种处理方式由于可以通过简单的DOS命令 进行处理, 删除,所以一般只对老版本的Autorun病毒有效,可 3.1能进入安全模式 以通过在Autorun·inf子目录下再建立一层子目录 对于有些病毒,可以在任务管理器中查看其相 或者在DOS下用“mda…\”这类命令建立特殊子 应的进程,可直接结束该病毒进程后按Autorun,inf 目录,使得该目录不能轻易被删除已达到更安全的 文件中所指示的文件,删除病毒即可 目的 而有些病毒在任务管理器中找不到,或者具有 2.2.2高级免疫方法 互锁的双进程,被结束又会重新运行,则需要在 如果病毒的版本足够新、足够恶毒,上述Au~ Windows系统安全模式中删除病毒主体. torun·inf目录仍然可以被破坏,面对这样的病毒,需 重新启动电脑,在硬件自检后,Windows系统启 要更高级的免疫方法 动画面刚出现的时候按F8键,选择“安全模式”即 能彻底防预Autorun病毒的方法,以如下两点 可进入安全模式,安全模式只加载了必要的内核程
2∙1∙2 编辑注册表 相对于编辑组策略这种方法基本上不受 Windows 操作系统版本的限制应用面更广泛.但要求 用户拥有 Administrator(管理员)权限. 在“运行”对话框中输入 regedit打开注册表编 辑器展开到 HKEY— CURRENT — USER \Software\Microsoft\Windows\CurrentVersion\Policies\Exploer 主键下在右侧窗格中找到“NoDriveTypeAutoRun”项它决定了是否执行各驱动器 AutoRun 功能. 该健值是一个8位的二进制数其中第3位代 表移动硬盘(包括 U 盘)第4位代表硬盘第6位 代表光驱.默认值是1010100(各位的0值表示允 许自动运行1值表示禁止)对应16进制的数值为 95可以看出其中硬盘默认为是允许自动运行设备 将其改为1后值为1011100(16进制值为9D). 将该键值设定为9D 即可关闭硬盘分区的自动 运行. 2∙2 禁止生成 Autorun.inf 文件 上述方法除受系统版本限制或者受用户权限限 制之外还一个先天不足因为这种编辑方法既可 以手工修改也可以通过程序修改如果在用户修改 之前已经中毒了或者有其他相关病毒可以将用户 编辑过的组策略或者注册表再改成原来的值就失 去这种免疫力因而需要进一步研究可靠的防预方 法. 对于 Windows 而言目录是一种特殊的文件 而同一个目录下是不能有两个相同文件名的针对 Autorun 病毒的免疫机理就在于此. 2∙2∙1 普通免疫方法 在硬盘每个分区、移动设备的根目录下手动建 立一个“Autorun.inf ”子目录并设置其属性为“隐 藏、系统、只读”病毒就不能自动再生成 Autorun. inf 文件以运行病毒达到免疫目的. 这种处理方式由于可以通过简单的 DOS 命令 删除所以一般只对老版本的 Autorun 病毒有效可 以通过在 Autorun.inf 子目录下再建立一层子目录 或者在 DOS 下用“md a…\”这类命令建立特殊子 目录使得该目录不能轻易被删除已达到更安全的 目的. 2∙2∙2 高级免疫方法 如果病毒的版本足够新、足够恶毒上述 Autorun.inf 目录仍然可以被破坏面对这样的病毒需 要更高级的免疫方法. 能彻底防预 Autorun 病毒的方法以如下两点 为前提: (1)确保分区的文件系统为 NTFS; (2)在管理员权限下设置完毕后用户的权限设 为 Power User 和 User. 然后选中所建立的“Autorun.inf ”子目录在右 键菜单中选择“属性”然后选择“安全”→“高级”取 消“允许父项的继承……”并确认即可实现所有用 户都无法访问该子目录如图1所示. 图1 文件系统中文件安全属性设置 3 Autorun 病毒清除方法 如果在采用防预措施之前系统就已经感染了 Autorun 病毒用户可以使用该类病毒的专杀软件. 但是由于病毒专杀软件一般都有自己的盲区如果 用户熟悉于 Windows 系统建议使用手动清除则能 得到更好的效果. 由于使用 Windows 的文件管理器浏览分区时 会不可避免地触发 Autorun 病毒因而清除该类病 毒时建议用户使用第三方文件管理软件如使用 Total Commander(简称 TC)能尽量避免病毒启动 可能性. 在 TC 中打开驱动器找到 Autorun.inf 文件 用记事本打开找到并记住默认执行的病毒文件的 文件名和路径退出后删除该文件然后分不同情况 进行处理. 3∙1 能进入安全模式 对于有些病毒可以在任务管理器中查看其相 应的进程可直接结束该病毒进程后按 Autorun.inf 文件中所指示的文件删除病毒即可. 而有些病毒在任务管理器中找不到或者具有 互锁的双进程被结束又会重新运行则需要在 Windows 系统安全模式中删除病毒主体. 重新启动电脑在硬件自检后Windows 系统启 动画面刚出现的时候按 F8键选择“安全模式”即 可进入安全模式.安全模式只加载了必要的内核程 ·188· 北 京 科 技 大 学 学 报 2007年 增刊2
Vol.29 Suppl.2 周芳等:Autorun病毒启动机理分析及其根治方法研究 ·189 序,自动运行的程序、第三方软件等都不加载,因此 如果要删除病毒,需要用到DOS命令, 病毒体无法进入系统进程,在安全模式下运行TC, 打开DOS命令操作窗口,切换到相应的分区, 删除病毒文件即可· 然后用CD命令进入这种特殊目录,删除病毒文件, 3.2不能进入安全模式 4 一度“享誉全球的“AV终结者”不仅利用映像 结论 劫持技术自动终止常见的杀毒软件进程,导致杀毒 通过对Autorun病毒的启动机理分析,有针对 软件不能运行:更甚者是其删除了注册表中安全模 性地总结了多种简单可行的防御和清除该类病毒的 式相关的项目,导致不能进入安全模式, 方法,经实验均可行有效,方便Windows用户快速 因而需要下载“修复安全模式”的注册表文件, 清除Autorun病毒并确保不再受目前己有的Au 导入修复注册表,恢复Windows系统安全模式,然 torun病毒危害 后在安全模式下清除病毒文件. 如果有Windows PE工具,亦可在其图形界面 参考文献 下可视化操作,删除病毒文件. [】木塔里甫·木明,买尔旦·阿不拉.浅谈计算机病毒防范·科技 信息,2007(22):206 3.3不能进入病毒所在的目录 [2]张健,苏圣魁,梁宏,等.2007年计算机病毒发展趋势展望.信 对于某些特殊目录,如“a·.”、“autorun.”(注 息网络安全,2007(1):42 意,有两个点号),Windows的文件管理器无法访问, [3]House Luke.妙用Autorun-inf让闪存盘远离自动运行,电脑 TC也不能访问,而有些病毒便隐藏在此类目录中, 爱好者,2007(7).66 Study on Autorun virus startup mechanism and effective killed method ZHOU Fang,LIU Guangfeng2,YAO Xuanxia) 1)School of Information Engineering.University of Science and Technology Beijing.Beijing 100083,China 2)Zhongti Xuntong Science and Technology Corporation Ltd.,Beijing 100081.China ABSTRACI In allusion to all kinds of Autorun virus which is most popular at present,the Autorun virus s structure and auto run conditions were sufficiently studied.Autorun virus startup mechanism was analyzed.Re- covery methods,such as edit group strategy,edit register table,forbidding auto reading and executing,and pre- venting virus executable files created in root directory were brought forw ard.Furthermore,an effective virus- killed method was offered. KEY WORDS Autorun virus;startup mechanism analysis;effective method
序自动运行的程序、第三方软件等都不加载因此 病毒体无法进入系统进程在安全模式下运行 TC 删除病毒文件即可. 3∙2 不能进入安全模式 一度“享誉全球”的“AV 终结者”不仅利用映像 劫持技术自动终止常见的杀毒软件进程导致杀毒 软件不能运行;更甚者是其删除了注册表中安全模 式相关的项目导致不能进入安全模式. 因而需要下载“修复安全模式”的注册表文件 导入修复注册表恢复 Windows 系统安全模式然 后在安全模式下清除病毒文件. 如果有 Windows PE 工具亦可在其图形界面 下可视化操作删除病毒文件. 3∙3 不能进入病毒所在的目录 对于某些特殊目录如“a..”、“autorun..” (注 意有两个点号)Windows 的文件管理器无法访问 TC 也不能访问而有些病毒便隐藏在此类目录中 如果要删除病毒需要用到 DOS 命令. 打开 DOS 命令操作窗口切换到相应的分区 然后用 CD 命令进入这种特殊目录删除病毒文件. 4 结论 通过对 Autorun 病毒的启动机理分析有针对 性地总结了多种简单可行的防御和清除该类病毒的 方法经实验均可行有效方便 Windows 用户快速 清除 Autorun 病毒并确保不再受目前已有的 Autorun 病毒危害. 参 考 文 献 [1] 木塔里甫·木明买尔旦·阿不拉.浅谈计算机病毒防范.科技 信息2007(22):206 [2] 张健苏圣魁梁宏等.2007年计算机病毒发展趋势展望.信 息网络安全2007(1):42 [3] House Luke.妙用 Autorun.inf 让闪存盘远离自动运行.电脑 爱好者2007(7):66 Study on Autorun virus startup mechanism and effective killed method ZHOU Fang 1)LIU Guangfeng 2)Y AO Xuanxia 1) 1) School of Information EngineeringUniversity of Science and Technology BeijingBeijing100083China 2) Zhongti Xuntong Science and Technology Corporation Ltd.Beijing100081China ABSTRACT In allusion to all kinds of Autorun virus which is most popular at presentthe Autorun virus’s structure and auto-run conditions were sufficiently studied.Autorun virus startup mechanism was analyzed.Recovery methodssuch as edit group strategyedit register tableforbidding auto reading and executingand preventing virus executable files created in root directory were brought forward.Furthermorean effective viruskilled method was offered. KEY WORDS Autorun virus;startup mechanism analysis;effective method Vol.29Suppl.2 周 芳等: Autorun 病毒启动机理分析及其根治方法研究 ·189·
