注:本文最後四張爲本人截圖,其他四張圖片來自網絡,本人就不以身試毒了。
一、 AutoRun簡介:
Windows95以後的系統都有一個“自動運行”的功能。通過在卷插入時讀取磁盤捲上的Autorun.inf文件來獲得Explorer中卷的自定義圖標和對捲圖標的上下文菜單進行修改,並對某些媒體自動運行Autorun.inf中定義的可執行文件。05年以後,隨着各種可移動存儲設備的普及,國內有些黑客製作了盜取U盤內容並將自身複製到U盤利用Autorun.inf傳播的病毒。著名的僞ravmon、copy+host、sxs、Viking、熊貓燒香等著名病毒都有這種傳播方式。它們有時是根目錄下的神祕幽靈,有時是出現在不應該出現的地方的回收站,總之,它們是系統安全的嚴重威脅。見圖0、圖1。
圖0
圖1
二、運行方式:
A.
OPEN=filename.exe
自動運行。但是對於很多XPSP2用戶和Vista用戶,Autorun已經變成了AutoPlay,不會自動運行它,會彈出窗口說要你幹什麼。
B.
shellAutocommand=filename.exe
shell=Auto
修改上下文菜單。把默認項改爲病毒的啓動項。但此時只要用戶在圖標上點擊右鍵,馬上發現破綻。精明點的病毒會改默認項的名字,但如果你在非中文的系統下發現右鍵菜單裏多出了亂碼或者中文,你會認爲是什麼呢? 見圖2。
圖2
C.
shellexecute=filename.exe
ShellExecute=....只要調用ShellExecuteA/W函數試圖打開U盤根目錄,病毒就會自動運行。這種是對付那些用Win+R輸盤符開盤的人。
D.
shellopen=打開(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=資源管理器(&X)
這種迷惑性較大,是新出現的一種形式。右鍵菜單一眼也看不出問題,但是在非中文的系統下,原形畢露。突然出現的亂碼、中文當然難逃法眼。