2007年10月11日星期四

U盘自动播放病毒原理

  随着U盘的白菜价,几乎要人手一个了,通过自动播放来传播的病毒的也越来越多。
  自动播放并不是什么新鲜事物,更不能说 autorun.inf 就是病毒。常见光盘放入驱动器后自动打开安装程序,使安装起来更为方便。也有自带播放器的歌曲光盘。这是怎么实现的呢,其实基本的就是简单的三个文件:autorun.inf、autorun.exe、LABEL.ICO,其中 autorun.inf 以如下内容调用程序和光盘的图标即可。
  [AUTORUN]
  OPEN=AUTORUN.EXE
  icon=LABEL.ICO
  有些文章就草草说U盘病毒就是这样传播,其实不然。我们可以尝试将上述三个文件拷入U盘来试验,重新插入后程序并未自动执行(只是U盘图标有了而已)。这是由于U盘作为可移动的设备 windows 默认是不会自动播放其中程序的,当然这可以通过修改注册表改变。
  既然U盘并没有自动播放功能,在未改注册表时情况下,又是如何传播的呢?通过查找资料我发现 autorun.inf 中除了 OPEN 命令外,还有类似功能的 shellexecute 等多个命令。
  试将 OPEN=AUTORUN.EXE 改为 shellexecute=AUTORUN.EXE
  虽然并不会插入U盘就被自动执行,但是只是你打开“我的电脑”——“双击U盘”,神奇的现象出现的了:AUTORUN.EXE被成功运行。这要是把 AUTORUN.EXE 换成是没有界面并未有传染性的病毒,结果可想可知。
  有人说避免用双击,可以用“右击U盘”——“打开”来使用就没事了,事实证明,病毒可以通过 shell\open\Command=autorun.exe,这样一来使用“打开”也是会运行程序了。推而广之,病毒编者只要在 autorun.inf 中再多写几行,连右键的“资源管理器”、甚至点击“搜索”都无法幸免了。
  对了,你可以用以上办法做一个带菜单的U盘,来方便使用U盘中的文件,显得专业漂亮,一定引人羡慕。记得哟:想绕过这个菜单时,打开“资源管理器”(Win+E),在左边目录树中就点击就能看到U盘全部内容了!

2 评论:

Geuro 说...

感谢分享,我一般不用别人的u盘,还好没这么中毒过。

百思有解 说...

谢谢,呵呵!