USB Malware Introduction�� CRTL FRANK&LEO� 2007/12/20
优盘的威胁
国家计算机病毒应急处理中心通过对互联网的监测发现,优盘已成为病毒和恶意木马程序传播的主要途径之一。
优盘病毒已经成为2007年上半年毒王,如“熊猫烧香”病毒、“优盘破坏者”病毒等
价格便宜,使用方便,几乎是人手数个。当我们享受优盘所带来的便利时,优盘病毒也在悄悄利用系统的自动运行功能肆意传播
变种繁多,
WORM_DELF病毒家族通过优盘传播
Classification
技术双刃剑
依赖微软操作系统Windows的自动运行功能。
使当光盘、优盘插入到机器自动运行
(一般会是一个隐藏属性的系统文件)
保存一些简单的命令,告知系统新插入的光盘或优盘应该自动启动什么程序等。
,指向病毒体。用户在双击打开优盘或其他磁盘时就自动执行病毒。
Windows强大的功能、贴心的设计,反而成了病毒滋生的温床。
Classification
Autorun病毒特点
通过移动设备、网络映射设备传播。,也能让硬盘自动运行程序,还能够使共享驱动器自动执行
不通过注册表实现自启动
制作简单,是非常方便的传播手段
与其他病毒技术相结合,威力惊人
强制文件隐藏
IFEO(镜像劫持)
Rootkit 守护
易于传播
符合普通用户的使用习惯
可能带有图标,诱惑力强
Classification
Autorun病毒疑似症状
优盘打不开,双击后提示选择打开方式
中文系统右键单击菜单的前几项是英文
在英文系统中右键菜单里多出了乱码或者中文
Classification
Autorun病毒实例:
感染渠道
通过USB驱动器传播
进程
执行一个Rootkit以隐藏进程,修改注册表,释放文件。Rootkit组件为<random>.sys和
释放文件
在每一个根目录( C:, D:, E:…)
(在每次打开驱动器时自动执行)
(病毒释放体)
在Windows系统文件夹
(病毒释放体)
(用于注入的DLL文件)
(rootkit 驱动文件)
<random>.sys (rootkit 驱动文件)
其他改动
在注册表中创建键值以便在系统启动时自动执行
Explorer 工具栏
强制隐藏文件
用Rootkit隐藏所有释放的文件
Classification
必须包含[AutoRun]段
OPEN=
OPEN行指定要自动运行的文件及其盘符和路径。
,就应该把OPEN行删掉,否则就会因为找不到自动播放文件而打不开硬盘,此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。
在WinXP SP2、Vista中不会自动运行
Classification
shell\标志=显示的鼠标右键菜单中内容
shell\mand=要执行的文件或命令行
所以,要让硬盘具有特色的目录菜单,,即可把默认项改为病毒的启动项,示例如下:
shell\mand=
shell=Auto
Classification
Shell\execute=
只要调用ShellExecuteAW函数试图打开U盘根目录,。
如果使用Win+R输盘符开盘,仍然会感染病毒
Classification
Shell\open=打开(&O)
Shell\mand=
Shell\open\Default=1
Shell\explore=资源管理器(&X)
这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题
但是在非中文的系统下,突然出现的乱码、中文,就会被发现
面对这种危险,尤其是第四种,仅仅依靠Explorer本身,已经很难判断可移动磁盘是否已经中毒。
Classification
优盘的威胁 来自淘豆网m.daumloan.com转载请标明出处.
