优盘的威胁.pptVIP

USB Malware Introduction CRTL FRANKLEO 2007/12/20 优盘的威胁 国家计算机病毒应急处理中心通过对互联网的监测发现，优盘已成为病毒和恶意木马程序传播的主要途径之一。 优盘病毒已经成为2007年上半年毒王，如“熊猫烧香”病毒、“优盘破坏者”病毒等 价格便宜，使用方便，几乎是人手数个。当我们享受优盘所带来的便利时，优盘病毒也在悄悄利用系统的自动运行功能肆意传播 变种繁多，如auto.exe几乎每天都会有变种 WORM_DELF病毒家族通过优盘传播 技术双刃剑 依赖微软操作系统Windows的自动运行功能。 使当光盘、优盘插入到机器自动运行 通过磁盘根目录下的Autorun.inf文件执行(一般会是一个隐藏属性的系统文件) 保存一些简单的命令，告知系统新插入的光盘或优盘应该自动启动什么程序等。 病毒释放Autorun.inf文件，指向病毒体。用户在双击打开优盘或其他磁盘时就自动执行病毒。 Windows强大的功能、贴心的设计，反而成了病毒滋生的温床。 Autorun病毒特点 通过移动设备、网络映射设备传播。Autorun.inf不光能让光盘自动运行程序，也能让硬盘自动运行程序，还能够使共享驱动器自动执行 在磁盘根目录释放Autorun.inf和病毒本体 不通过注册表实现自启动 制作简单，是非常方便的传播手段 与其他病毒技术相结合，威力惊人 强制文件隐藏 IFEO(镜像劫持) Rootkit 守护 易于传播 符合普通用户的使用习惯 可能带有图标，诱惑力强 Autorun病毒疑似症状 优盘打不开，双击后提示选择打开方式 中文系统右键单击菜单的前几项是英文 在英文系统中右键菜单里多出了乱码或者中文 在每个分区下有Autorun.inf文件 Autorun病毒实例：TROJ_NSPM.IJ 感染渠道 通过USB驱动器传播 进程 将kavo0.dll注入到Explorer.exe 执行一个Rootkit以隐藏进程，修改注册表，释放文件。Rootkit组件为random.sys和 wincab.sys 释放文件 在每一个根目录（ C:, D:, E:…） Autorun.inf (在每次打开驱动器时自动执行) N (病毒释放体) 在Windows系统文件夹 Kavo.exe (病毒释放体) Kavo0.dll (用于注入的DLL文件) Wincab.sys (rootkit 驱动文件) random.sys (rootkit 驱动文件) 其他改动 在注册表中创建键值以便在系统启动时自动执行 锁定Internet Explorer 工具栏 强制隐藏文件 用Rootkit隐藏所有释放的文件 Autorun.inf执行文件的方式 Autorun.inf采用.ini文件结构 必须包含[AutoRun]段 OPEN=filename.exe OPEN行指定要自动运行的文件及其盘符和路径。 如果硬盘根目录下没有filename.exe，就应该把OPEN行删掉，否则就会因为找不到自动播放文件而打不开硬盘，此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。 在WinXP SP2、Vista中不会自动运行 Autorun.inf执行文件的方式 shell\标志＝显示的鼠标右键菜单中内容 shell\标志\command＝要执行的文件或命令行 所以，要让硬盘具有特色的目录菜单，在AutoRun.inf文件中加入上述语句，即可把默认项改为病毒的启动项，示例如下： shell\Auto\command=filename.exe shell=Auto Autorun.inf执行文件的方式 Shell\execute=filename.exe 只要调用ShellExecuteAW函数试图打开U盘根目录，filename.exe就会自动运行。 如果使用Win+R输盘符开盘，仍然会感染病毒 Autorun.inf执行文件的方式 Shell\open=打开(O) Shell\open\Command=filename.EXE Shell\open\Default=1 Shell\explore=资源管理器(X) 这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题 但是在非中文的系统下，突然出现的乱码、中文，就会被发现 面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。 在防御上下足功夫