总结一下AUTORUN类病毒的防治方法

szhilei

分析这些病毒，基本上是AUTORUN病毒，去年10月和今年年初爆发的威金和熊猫烧香病毒，也是利用了AUTORUN。AUTORUN类的病毒比较可恨，因为如果系统没做防护的话，可能导致插入U盘及感染——即使你重做系统，格式化了多次。在这里，忍不住大骂微软，组策略里有禁止光盘自动运行和禁止所有驱动器自动运行，为什么少一个仅运行光盘自动运行？而现在大量病毒都是利用了微软的AUTORUN，他们打这个补丁应该不难（设备是光驱或是其他驱动器，返回值是不同的）。既然微软不做，我们就要想着儿，怎么能够防止AUTORUN类的病毒。
AUTORUN的运行机制我就不说了，以下基本上是总结他人的成果，结合自己的体会。

• 一定在断网情况下安装系统，因为这时系统可能缺少足够的补丁，易受病毒攻击。
• 内置管理员帐号Administrator应加上密码，而且密码不要是111、123之类的
• 系统重新装好后，先不要着急装软件，需先设置禁止自动运行：方法，开始——>运行——>gpedit.msc——>计算机配置——>管理模版——>系统——>找到“关闭自动播放”，双击，选择“已启用”，关闭自动播放里选择“所有驱动器”。
  　　当然，执行这一步后，即使插入了带AUTORUN病毒的U盘，病毒也不会自动运行。但我在实际中发现，有些机器也这样设置了，但仍然感染AUTORUN病毒，出现这种情况，不是因为插入带有AUTORUN病毒的U盘后病毒自动运行，而是因为人为的原因让病毒运行了，这就是很多人打开U盘的习惯——双击我的电脑或打开我的电脑，然后双击盘符（当然包括U盘盘符），如果该分区根目录上有AUTORUN.INF，双击盘符的默认动作将是运行AUTORUN.INF里指定的内容，比如病毒程序。所以说，这时病毒的运行，完全是你自己的原因，解决办法——别双击盘符，改用资源管理器或者类似的软件（如TotalCmd)打开。
  　　有的时候，第3步的操作不能进行，因为有的机器的系统是XP HOME版，而不是XP Professional版，不含组策略。另外，有的人只会双击盘符打开（我遇到的99%的人都是采用这种方式），一旦使用资源管理器打开，就不会操作了或者非常不习惯，即使在资源管理器下也习惯双击盘符的方式，又会导致病毒运行，那还有其他的方法吗？当然有——使用权限控制，见第4步。
• 禁止含有AUTORUN.INF的磁盘的默认自动运行动作
  方法：开始——>运行——>regedit——>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\——>找到MountPoints2分支项，鼠标右键选择权限——>高级——>去掉“从父项继承……”那个勾选，在弹出的对话框中选择“删除”，然后确定。
  这样，即使U盘里含有AUTORUN病毒，双击U盘盘符后，默认动作将不是运行AUTORUN.INF指定的程序，而是“打开”，从而避免了AUTORUN病毒的运行。当然，我们从上面的注册表分支里看到，这种情况仅适用于“当前用户”，如果你的电脑上有多个用户，那么对没有进行上述设置的用户是无效的，该用户双击盘符时，如果含有AUTORUN，默认动作是运行。这个没什么好的解决办法，只能一个一个用户地设置，好在大多数电脑上的用户都是一个。

　　附件是一个别人做的小脚本，安装运行后，可以增加鼠标右键“显示/隐藏系统文件”，有了这个，那些隐藏的病毒文件就可以看到了。另外，碰到一些人，机器感染病毒，感觉很纳闷——机器装了杀毒软件怎么还感染病毒？结果就换杀毒软件，但换的结果还是不灵。其实，即使机器装了杀毒软件，也不见得能识别出病毒，这是很正常的，在我看来，各种杀毒软件都差不多，有了附件这个小脚本，可能杀毒软件就能看到病毒并杀之了。

smith

其实这种防治方法就很好，俺曾看到深山红叶的解决办法，就是修改shell32.dll，使之不能识别AUTORUN.INF，这种办法虽然有效，但太BT了，因为修改了系统的内核文件，而且，深山红叶的方法容易短寿，因为XP系统总出漏洞，微软经常打补丁升级，其中shell32.dll就是一个重点关照的对象，一旦补丁更新了shell32.dll，深山红叶的方法就不灵了。
附深山红叶的解决办法：
不少人都有这样的经历：中毒了，格式化C:盘了，重装系统了。但重装后片刻，居然发现病毒立即又卷土重来！原来这类病毒是利用了磁盘的 Autorun 即自动播放特性而实现自动激活的——当你重装一套干净系统后，只需点击任何一只染毒的其他分区盘符，病毒应付立即被激活！

对此，有人说以后右击盘符再选择资源管理器打开；有人说格式化全部分区；有人说安装系统后立即安装杀毒软件；有人说在PE下扫描病毒后再重装，也有人说安装后立即通过组策略关闭自动播放功能……但都有一个共同缺点：需要安装后立即采取人工干预！而我们安装系统后，经常可能会不经意间打开其他分区盘符——于是就算高手也仍然难免不小心重复中招！尤其是右击盘符打开的操作，本来以前是安全的，但现在的病毒同样在 Autorun.inf 中定义假的“打开”和“资源管理器”的选项了，右击盘符也不安全！

对此，深山红叶提出一种彻底解决这种麻烦的办法：既然自动播放功能是如此的鸡肋，其带来的方便性远远比不上它带来的安全威胁，那么何不干脆彻底“阉割”掉它！

“阉割”的原理是修改Windows系统文件，让系统打开磁盘时，本来是寻找 Autorun.inf 这个文件以激活自动播放的，我们可让它去寻找一个错误的文件名！即把系统文件中 Autorun.inf 随意改成其他别的不太可能存在的怪名字即可！

经过一番跟踪分析，发现调用 Autorun.inf 的功能是由 Shell32.dll 来完成的，那么就拿它开刀！

使用任意一款 16 进制编辑器，如 Ultra Edit 或 Winhex、Hedit 等均可，先将 Windows\system32\Shell32.dll 备份到一个临时目录，然后用 16 进制编辑器打开备份目录中的 Shell32.dll，按 Ctrl+F，输入 Autorun.inf，并以双字节模式搜索（即搜索对话框中的16进制输入框中每对字符之间手工添加一对0，即 00），搜索到 Autorun.inf 后，改成你自己愿意的字母，越古怪越好！

修改好后存盘，同时替换 System32\dllcache 目录和 System32 目录下的同名文件（可先把当前存在的文件改名后再复制修改过的文件过去），重启后即可生效。