[汇总]关于autorun.inf类病毒和木马彻底的解决办法

linker14年前 (2007-07-04)系统安全373
from:网络
autorun.inf类病毒和木马相信大家都中过标 一般形式以下载者类木马较为明显 下面ZZ一些方法 希望对大家有用 可以自己测试下
引用
iamcj 原创

在前面的Make a anti-autorun batch中,我们讨论了如何通过禁止Shell Hardware Detection服务的方式,来屏蔽光盘/优盘插入时候的自动运行,转载到cnbeta之后,也有相当多的讨论,去掉中间没有营养的不说,里面提出了3 点值得注意:

通过rd /s /q,可以直接删除包含带点目录的autorun.inf目录;
通过改名操作,也可以直接对包含带点目录的autorun.inf目录进行重命名;
禁用Shell Hardware Detection,会使得系统无法识别CD/DVD的驱动器类型;
最重要的是,就算禁用了自动运行,大部分的用户,还是因为在我的电脑里面的双击盘符操作,而”手动调用自动执行”,从而感染病毒……OK,今天的主角出场!

参考cnbeta上的cnlong朋友的意见,测试通过,通过注册表编辑器+权限控制,彻底杜绝双击盘符情况下的autorun.inf调用,具体的办法如下:

1.开始——运行——regedit;
2.定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2;
3.在MountPoints2上右键——权限;
4.添加——输入everyone——检查名称——确定;
5.选择完全控制栏的拒绝,应用,对安全警告回答是;

应该算是比较完美的方案了:经过这样的权限设置,任何情况下的autorun.inf调用将被屏蔽,在默认状态下,带autorun的光盘和优盘被装载的时候,目录会被打开,双击盘符的结果是打开目录,而不是执行程序,同时,右键也不会出现任何形式的自动运行菜单。

分析一下,那个键值应该就是Windows用来记录和管理双击盘符和盘符上的右键菜单的,在里面查找,然后决定执行什么操作,仔细查看的话,你会发现更多的内容。我们把这个键值的操作权限对everyone屏蔽之后,系统无法访问到这个对应表,于是只有打开的操作。

两篇文章里面提到的内容相结合,应该可以彻底的解决自动运行、以及双击盘符带来的染毒问题了,开心!

测试,可用。

点评:
优点:杜绝了autorun运行,防止U盘病毒传播;
缺点:
光盘autorun不起作用了,U3 U盘的autorun也不起作用了。
引用
我的方法是直接修改系统shell32.dll里所有autorun.inf字串,比如改成 runauto.inf,这样autorun功能照样用,病毒也没折了。
作者 golds7n

相关文章

在iceword中显示红色的iexplore

ps:我在服务器上也发现了这个,晕,恼死了!!我可以确定,有人在ui区放出了ROOTKIT木马 我使用正版的卡巴斯基家庭版,以及ewido均无反应 发了文件样本给瑞星 结果为病毒,且现在版本的瑞星,卡...

PHP session_regenerate_id函数双重释放内存破坏漏洞

发布日期:2007-03-14更新日期:2007-03-16受影响系统: PHP PHP <= 5.2.1描述: BUGTRAQ  ID: 22968PHP是广泛使用的通用目...

伪装声卡程序的病毒 AdWare.Win32.Agent.eih

利用声卡程序来隐藏病毒,够阴险,也够创意。病毒名称:AntiVir :-AVG :- Kaspersky :not-a-virus:AdWare.Win32.Agent.eihNOD32v2:arch...

轻量级网页安全漏洞扫描工具-Wapiti

网页代码好写,但写完之后的一系列测试,也是一项比较缜密的工作,怎么样保持起码的安全呢?简单,请一款工作扫描一下自己的网站吧?Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测...

MS06-040下载并执行溢出利用工具

/download/rpc.zip解压密码:ExpCode.comms06040下载并执行溢出利用工具。支持英文版和中文版本的2000sp4,xpsp1系统。Usage: rpc  <...

Foundstone终极黑客培训实记

新加坡国家图书馆管理局-傅梦(CISSP,CCNP,MCSE)2004年11月我参加了Foundstone在新加坡举办的终极黑客实战培训。培训前据老师介绍,这是Foundstone第一次在新加坡举办这...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。