让Windows彻底免疫Autorun病毒威胁

---

作者： IT专家网
CNETNews.com.cn
2008-04-29 12:54:18
关键词： U盘 技巧 病毒 Windows

　　目前，U盘病毒的情况非常严重，几乎所有带病毒的U盘，根目录里都有一个autorun.inf。右键菜单多了“自动播放”、“Open”、“Browser”等项目。由于我们习惯用双击来打开磁盘，但现在我们双击，通常不是打开U盘，而是让autorun.inf里所设的程序自动播放。所以对于很多人来说相当麻烦。其实Autorun.inf被病毒利用一般有4种方式

　　

OPEN=filename.exe自动运行。

　　但是对于很多XP、SP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

　　

shellAutocommand=filename.exe shell=Auto

　　修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。聪明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢?

　　

shellexecute=filename.exe

　　ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

　　

shellopen=打开(&O) shellopenCommand=filename.EXE shellopenDefault=1 shellexplore=资源管理器(&X)

　　这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。

　　面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。

　　免疫的办法，对可移动磁盘和硬盘

　　1、同名目录

　　目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf”在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

　　2、autorun.inf下的非法文件名目录

　　有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。在Windows NT Win32子系统下，诸如“filename.”这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性(.后为空非法)，直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf”目录建立一个此类特殊目录“MDx:autorun.infyksoft..”，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录(如con、lpt1、prn等)也能达到相似的目的。