办公杀手优盘病毒安全隐患及防范研究
2008-11-12 13:33:12 来源:WEB开发网第二阶段:传播病毒,当这块优盘插入到一台没有任何病毒的电脑上后,使用者双击打开优盘文件浏览时,Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序,此时Windows操作系统就被感染了。
2.3 autorun.ini文件运行机理
autorun.inf是设备自动运行的设置文件,比如当插入某些驱动光盘后,Windows就会自动运行驱动安装程序,这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种:
(1)自动运行的程序
Open=filename.exe
(2)修改上下文菜单,把默认项改为病毒的启动项
ShellAutocommand=filename.exe
Shell=Auto
(3)只要调用ShellExecuteA/W函数试图打开优盘根目录,病毒就会自动运行
Shellexecute=filename.exe
ShellExecute=……
(4)伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。
Shellopen=打开(&O)
ShellopenCommand=filename.exe
ShellopenDefault=1
Shellexplore=资源管理器(&X)
2.4优盘病毒程序隐藏方式
(1)作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的,现在的病毒一般不会采用这种方式。
(2)伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。
(3)藏于系统文件夹中。这些系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。
(4)运用Windows的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是 runauto...。
更多精彩
赞助商链接