D0I:10.13374/1.issnl00103.2007.s2.098 第29卷增刊2 北京科技大学学报 Vol.29 Suppl.2 2007年12月 Journal of University of Science and Technology Beijing Dee.2007 Autorun病毒启动机理分析及其根治方法研究 周芳) 刘光锋)姚宣霞) 1)北京科技大学倍息工程学院，北京1000832)北京中体信通科技有限公司，北京100081 摘要针对目前最流行的各种Autorun病毒，充分分析了其启动机理，针对病毒的结构特征和自动运行条件，提出了编辑组 策略、编辑注册表、禁止自动读取和执行及防止分区根目录下生成带病毒执行文件等防御措施，在此基础上进一步提出了根 治目前此类病毒的方法。 关键词Autorun病毒：机理分析：根治方法 分类号TP393 随着网络、移动设备的日益普及，并且由于计算 Icon=1.ico∥给当前盘符设置图标1.ico 机安全软件研发相对于病毒出现的滞后性，计算机 Open=l.exe∥指定运行程序的路径和名称 安全已是系统管理员和个人用户越来越重视的问 shel\open\Command=l.exe∥指定右键打 题，而最近最流行Autorun病毒，例如Rav 开分区时运行程序的路径和名称 MonE.exe、rose.exe、sxs·exe、copy·exe、setup.exe、 shell\explore\Command=“l,exe”∥指定用 Viking、熊猫烧香、AV终结者等著名病毒都有这种 资源管理器打开该分区时运行程序的路径和名称 Autorun传播方式，如何预防和根治该类病毒，已成 可以看出，程序结构是由一个或多个“节”组成， 为研究者关注的焦点，本文在充分分析该类病毒的 每个“节”必须以节名作为开始的一行，并位于中括 启动机理的基础上，提出了有效的防御措施和根治 号[]中，节名之下则为该节中的命令或者指向涉及 此类病毒的方法 到的文件路径和文件名，另外，自动运行程序的启 1 病毒启动机理分析 动方式使得病毒足以屏蔽用户对该分区的操作，即 只要用户想使用该分区，就会自动执行所感染的病 Autorun病毒主要凭借Windows自带的Au 毒 torun,inf文件启动.Autorun.inf文件自Windows 95就已经存在，设计初衷和功能是为了方便用户访 2病毒防御方法 问光盘、U盘、移动硬盘等移动设备·其本身不是病 2.1禁止Autorun-inf文件自动读取 毒，但其规则却使得病毒、木马、蠕虫轻松运行，从而 编辑组策略或者注册表理论上都可以禁止在对 导致某个分区无法进行访问，或导致私密信息、重要 分区操作时自动读取Autorun,inf文件从而达到免 资料外泄，甚至会在不知情的情况下成为网络攻击 疫Autorun病毒的目的 的帮凶，要根治这类病毒，必须充分了解其启动机 2.1.1编辑组策略 理 对于专业版的WinXP和Win2003等有组策略 Autorun·inf文件是驱动器（分区）根目录下的 的系统，可以通过编辑组策略来预防Autorun病毒， 有一定格式的文本文件，进入某分区的时候会首先 具体操做方法为： 判断是否有该文件，如果有则读取其内容并自动执 启动计算机“开始”菜单中的“运行…”命令，打 行Autorun,inf中指向的可执行文件，如com、exe、 开“运行”对话框，并在该对话框中输入“gpedit. bat等.因而，病毒常通过Autorun.inf方式启动. msc”,打开组策略管理器，定位到：用户配置→管理 一个典型的Autorun.inf文件内容如下（∥后面 为注释)3]： 模版→系统，在右边的窗口中“关闭自动播放”，在出 现的对话框中选择“已启用”，且将对象设置为“所有 [AutoRun]∥表示AutoRun部分开始 驱动器”，“确定”关闭对话框，然后退出组策略 收稿日期：2007-10-17 编辑组策略可以禁止包括光驱在内的所有盘的 作者简介：周芳(1972一)，女，讲师，硕士 自动运行，也就截断了Autorun病毒的运行途径.Autorun 病毒启动机理分析及其根治方法研究 周 芳1） 刘光锋2） 姚宣霞1） 1） 北京科技大学信息工程学院‚北京100083 2） 北京中体信通科技有限公司‚北京100081 摘 要 针对目前最流行的各种 Autorun 病毒‚充分分析了其启动机理‚针对病毒的结构特征和自动运行条件‚提出了编辑组 策略、编辑注册表、禁止自动读取和执行及防止分区根目录下生成带病毒执行文件等防御措施‚在此基础上进一步提出了根 治目前此类病毒的方法． 关键词 Autorun 病毒；机理分析；根治方法 分类号 TP393 收稿日期：2007-10-17 作者简介：周 芳（1972—）‚女‚讲师‚硕士 随着网络、移动设备的日益普及‚并且由于计算 机安全软件研发相对于病毒出现的滞后性‚计算机 安全已是系统管理员和个人用户越来越重视的问 题［1—2］．而最近最流行 Autorun 病毒‚例如 Rav￾MonE．exe、rose．exe、sxs．exe、copy．exe、setup．exe、 Viking、熊猫烧香、AV 终结者等著名病毒都有这种 Autorun 传播方式．如何预防和根治该类病毒‚已成 为研究者关注的焦点．本文在充分分析该类病毒的 启动机理的基础上‚提出了有效的防御措施和根治 此类病毒的方法． 1 病毒启动机理分析 Autorun 病毒主要凭借 Windows 自带的 Au￾torun．inf 文件启动．Autorun．inf 文件自 Windows 95就已经存在‚设计初衷和功能是为了方便用户访 问光盘、U 盘、移动硬盘等移动设备．其本身不是病 毒‚但其规则却使得病毒、木马、蠕虫轻松运行‚从而 导致某个分区无法进行访问‚或导致私密信息、重要 资料外泄‚甚至会在不知情的情况下成为网络攻击 的帮凶．要根治这类病毒‚必须充分了解其启动机 理． Autorun．inf 文件是驱动器（分区）根目录下的 有一定格式的文本文件‚进入某分区的时候会首先 判断是否有该文件‚如果有则读取其内容并自动执 行 Autorun．inf 中指向的可执行文件‚如 com、exe、 bat 等．因而‚病毒常通过 Autorun．inf 方式启动． 一个典型的 Autorun．inf 文件内容如下（∥后面 为注释） ［3］： ［AutoRun］∥表示 AutoRun 部分开始 Icon＝1．ico∥给当前盘符设置图标1．ico Open＝1．exe∥指定运行程序的路径和名称 shell＼open＼Command＝1．exe∥指定右键打 开分区时运行程序的路径和名称 shell＼explore＼Command＝“1．exe”∥指定用 资源管理器打开该分区时运行程序的路径和名称 可以看出‚程序结构是由一个或多个“节”组成‚ 每个“节”必须以节名作为开始的一行‚并位于中括 号［ ］中‚节名之下则为该节中的命令或者指向涉及 到的文件路径和文件名．另外‚自动运行程序的启 动方式使得病毒足以屏蔽用户对该分区的操作‚即 只要用户想使用该分区‚就会自动执行所感染的病 毒． 2 病毒防御方法 2∙1 禁止 Autorun．inf 文件自动读取 编辑组策略或者注册表理论上都可以禁止在对 分区操作时自动读取 Autorun．inf 文件从而达到免 疫 Autorun 病毒的目的． 2∙1∙1 编辑组策略 对于专业版的 WinXP 和 Win2003等有组策略 的系统‚可以通过编辑组策略来预防 Autorun 病毒． 具体操做方法为： 启动计算机“开始”菜单中的“运行…”命令‚打 开“运行” 对话框‚并在该对话框中输入“gpedit． msc”‚打开组策略管理器‚定位到：用户配置→管理 模版→系统‚在右边的窗口中“关闭自动播放”‚在出 现的对话框中选择“已启用”‚且将对象设置为“所有 驱动器”‚“确定”关闭对话框‚然后退出组策略． 编辑组策略可以禁止包括光驱在内的所有盘的 自动运行‚也就截断了 Autorun 病毒的运行途径． 第29卷 增刊2 2007年 12月 北 京 科 技 大 学 学 报 Journal of University of Science and Technology Beijing Vol．29Suppl．2 Dec．2007 DOI:10．13374／j．issn1001－053x．2007．s2．098