菜菜鸟:前几天我中了闪存病毒,利用《电脑报》教的方法查杀了。我对闪存病毒的工作原理比较好奇,想知道它是怎么危害我们这些网民的,哪位大虾可以指点迷津?
唉!现在闪存病毒四处肆虐,像你这样的受害者数不胜数。之所以这种方法流行,一个重要原因就是黑客发现对病毒进行闪存化很简单,当真是谁用谁知道!
闪存病毒主要是通过闪存等可移动存储设备进行感染,一般是利用“Autorun.inf”文件进行病毒激活,让系统的“自动播放”功能来触发病毒进行传播,而且每当我们双击闪存分区图标时,该病毒就会通过“Autorun.inf”文件中的设置再次激活病毒,导致病毒复发,难以清除。
小知识:Autorun,也指Autorun.inf,是电脑操作系统的DVD以及闪存自动播放功能,也可以用于自动运行文件及修改磁盘图标。
一般情况下,只要右击自己的闪存,第一项显示的不是“打开”而是“Auto”、“自动播放”、“Open”、“Browser”等选项,则说明你的闪存可能已经中病毒或曾经中过病毒了(图1)。
一般Autorun.inf有这么几行命令:
[autorun]
open=**** //双击盘符自动打开****文件
icon=****.ico //将盘符图标变成****.ico
shell=**** //新增右键选择菜单项目为****
当读者打开盘符的时候就已经自动运行****这个文件了,下面我们就来剖析闪存病毒的工作原理。WWW.iTCOmpUTeR.COm.Cn
第一步: 制作病毒
新建一个文本文件或记事本文件,在文件中输入以下内容:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
其中sxs.exe是服务端文件名,也就是病毒或木马文件名。输入完毕后保存,然后用鼠标右键点击该文件,在弹出菜单中选择“重命名”,改名为AutoRun.inf。把AutoRun.inf和配置好的服务端sxs.exe一起复制到用户的驱动盘根目录下,这样不需要对方运行服务端程序,而只须对方双击D盘就会使病毒或木马运行(图2)。
第二步:感染病毒
当计算机用户将没有任何病毒的闪存插入潜伏了病毒的主机上,通过一些常用的操作后,可能就会激发病毒程序。病毒首先会将自身复制到闪存中,同时创建一个名为AutoRun.inf的文件。此时,病毒顺利地在闪存上扎根了。
第三步:传播病毒
由于Windows系统具有“自动播放”功能,当计算机用户把闪存插入到计算机上后, Windows系统的“自动播放”功能就会自动运行AutoRun.inf文件里面的设置,将病毒种植在这台计算机上,此时病毒就会在Windows系统中扎根了。
即便计算机用户利用杀毒软件杀掉了硬盘中的病毒,但只要双击闪存盘符,照样会激活闪存中的AutoRun.inf文件,病毒程序就会再次运行。
总结
知道了原理,我们就好防范了。除了要对电脑安装防火墙和杀毒软件并经常进行升级外,还应该关闭操作系统的“自动播放”功能。此外,在使用闪存之前,最好先查杀一下。
小知识:AutoRun.inf主要命令参数格式
1.自动播放运行程序
(1)Open命令:在光盘驱动器上生成“自动播放”菜单项。“=”后的文件必须是exe、bat、com类型的文件。
格式:open = =*.exe,*.bat,*.com
注意:*.exe,*.bat,*.com文件必须和AutoRun.inf文件在同一根目录下。
(2)ShellExecute命令:在所有的驱动器上生成“自动播放”菜单项。双击时自动运行“=”后的文件,此时“=”后可以为任意扩展名的文件。
格式:shellexecute=*.*或[path\]*.*
2.自定义驱动器图标
格式:icon=[path\]图标文件名或是[path\]*.exe[,0,1,2...]*.dll[,0,1,2...]
图标文件名:包含图标信息的 .ico、.bmp、.exe、.dll文件名。如果该文件包含多于一个图标,必须用一个从0开始的索引进行标记。
注意:path路径必须是本驱动器的路径,即ico bmp、exe、dll必须在本驱动器内。
3.添加右键菜单
格式:shell\n=名称
shell\n\command=命令
两者合成:shell\名称\command=命令
“shell”指菜单,“n”可以为任意字符串,“名称”即你想要的右键菜单名称,命令即你在单击该菜单项时执行的命令。
巧用Win2000控制台删感染文件 本人的一台操作系统为Win2000 Server的笔记本电脑最近被感染了病毒,我首先用新升级的Symantec AntiVirus企业版来扫描计算机,扫描报告如下:(本文为WWW.SQ120.COM电脑知识网推荐文章)
病毒名称:Hacktool
文件名:c:\winnt\system32\ntservice.exe
操作:删除失败,隔离失败,访问被拒绝
再用KV2004来杀毒,依然显示发现病毒,删除失败。
如何才能彻底删除呢?
因为c:\winnt\system32\ntservice.exe已经在运行了,直接删除显然是不可能的。于是我运行Windows任务管理器,在进程选项卡中选择结束ntservice.exe进程,结果系统显示“无法中止进程,拒绝访问”。
我突然想到在Win2000(XP)的控制台状态下是可以用DOS命令的。
什么是控制台
控制台是Windows的一种简易运行模式,它可以不启动图形界面而在命令行状态下有限制地访问FAT和NTFS分区,并对系统进行一些设置和操作。
通过控制台,我们可以更换系统文件、关闭或者禁用某个系统服务、禁用或卸载硬件设备、修复引导扇区、新建分区以及格式化硬盘分区等。
启动控制台
对于Windows2000,我们可以用光盘启动电脑,然后在安装程序的选单中按R键选择“修复Windows2000安装”,再从修复选单中按C键选择“故障恢复控制台修复Windows2000”。
对于Windows XP,同样是用光盘启动电脑,然后按R选择修复,就能直接进入控制台。
直接把控制台的相关选项安装到启动菜单中的方法:把光盘放入光驱,然后直接在运行中输入“d:\i386\winnt32/cmdcons”之后回车(这里假设你的光驱是D),再点击“是”,就可以把控制台选项安装到高级启动菜单中,这样以后直接从硬盘就可以进入控制台中。这个方法适用于Windows2000和WindowsXP。
在控制台的命令提示符下,为安全起见,我首先对ntservice.exe进行备份,然后直接运行:del c:\winnt\system32\ntservice.exe就OK了。
From:http://www.itcomputer.com.cn/Article/Network/201309/403.html