您所在的位置:网络安全 > 安全观察 > 办公杀手优盘病毒安全隐患及防范研究(1)

办公杀手优盘病毒安全隐患及防范研究(1)

2008-11-11 10:46 陈小兵 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

近年来优盘作为一种方便、流行的存储介质,其应用越来越广泛。通过优盘传播病毒而发生的资料丢失、失泄密等安全事件越来越多,优盘的使用安全已经成为信息安全研究领域的一个亟待解决的问题。本文对优盘病毒的危害、传播机理等进行分析,最后给出了一些可供参考的安全解决方法。

AD:

【51CTO.com 独家特稿】美国CSI/FBI的调查结果显示,企业和政府机构因重要信息被窃所造成的损失超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部,而内部安全威胁中一个最容易出问题的地方就是移动存储设备诸如优盘的安全使用和管理问题。

随着信息战和网络战的不断发展,外军已经将病毒直接植入移动存储等硬件设备中,而优盘作为使用最为广泛的存储设备,如果将其作为病毒的载体,在战争发生时,由于病毒的巨大破坏性,轻则破坏计算机文件或者系统,重则不但可以窃取重要机密文件,还可以破坏和瘫痪计算网络。优盘病毒是指利用优盘(移动存储设备)作为载体来传播病毒,其主要特征是在被感染的优盘中生成Autorun.inf文件,并附带有一个可执行程序。

1.优盘病毒危害

早期的优盘病毒仅仅是恶作剧,被感染计算机往往出现打不开文件,或者显示一些具有搞笑性质的东西。随着优盘容量的不断扩大和广泛使用,优盘成为传输文件等数据资料的主要存储介质之一,日常使用和交换的文件,包括涉密文件均是通过优盘来进行传输,虽然市面上推出了一些保密优盘,但是这些保密优盘其主要功能是防止优盘丢失后,拾者随意浏览文件,并不能防止优盘病毒的传播,优盘病毒在使用者浏览优盘时就进行了感染。优盘病毒具有交叉感染的特点,即感染了优盘病毒的计算机,在插入一个未感染的优盘到感染计算机中时,病毒会自动感染优盘,当将已经感染优盘病毒的优盘插入未感染计算机中时,未感染病毒的计算机将感染优盘病毒。在对优盘病毒分析研究中我们发现,优盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到优盘中,当优盘插入到具有上网条件的计算机中使用时,优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。

优盘病毒作为一种传染性病毒,其危害如下:

(1)破坏软件系统,影响工作。对于一般性优盘病毒将会破坏系统文件的完整性,导致系统不能正常打开文件,其危害程度较轻。

(2)删除或者更改文件。这种优盘病毒往往带有恶作剧,例如将系统中所有的word等文件全部删除,或者将Word文件的默认后缀更改为其它名称导致文件打不开,其危害程度中等。

(3)盗取系统中各种密码帐号,实施远程控制。目前很多个人计算机大多具备上网条件,一旦连接上网络,病毒就会主动连接控制端,将系统中的密码和帐号发到指定邮箱,并实施远程控制将其作为僵尸网络的木马端。

(4)平时窃取资料,战时破坏系统。优盘病毒平时蛰伏在计算机中,当具备互联网条件时将平时复制的资料通过网络传输到指定邮箱,当发生战争时可以破坏和瘫痪计算机系统或者计算机网络,其危害程度最大。

2.优盘病毒危害机理

2.1病毒的传播原理

优盘病毒主要通过优盘与计算机的交互来进行传播。近年来,在“黑色”产业链利益驱动下,利用优盘病毒传播已经成为病毒的一大必备功能;病毒感染主要通过存在安全漏洞的网站“挂马”来实现,网站“挂马”主要利用的是IE等安全漏洞,当用户没有安装补丁程序而访问被“挂马”的网站中的网页时,系统就会“偷偷”地执行网页中指定的程序,从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行优盘病毒的传播。

2.2优盘病毒传播阶段

优盘对病毒的传播主要借助的就是autorun.inf文件,主要分为2个阶段。

第一阶段:感染病毒, 当用户将一块没有任何病毒的优盘插入一台潜伏了病毒的主机上,通过一些常用的操作后,可能就会激发病毒程序。病毒首先会将自身复制到优盘中,同时创建一个名为autorun.inf的文件。此时,这块优盘就被病毒感染了。

第二阶段:传播病毒,当这块优盘插入到一台没有任何病毒的电脑上后,使用者双击打开优盘文件浏览时,Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序,此时Windows操作系统就被感染了。

2.3 autorun.ini文件运行机理

autorun.inf是设备自动运行的设置文件,比如当插入某些驱动光盘后,Windows就会自动运行驱动安装程序,这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种:

(1)自动运行的程序

Open=filename.exe

(2)修改上下文菜单,把默认项改为病毒的启动项

ShellAutocommand=filename.exe
Shell=Auto

(3)只要调用ShellExecuteA/W函数试图打开优盘根目录,病毒就会自动运行

Shellexecute=filename.exe
ShellExecute=……

(4)伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。

Shellopen=打开(&O)
ShellopenCommand=filename.exe
ShellopenDefault=1
Shellexplore=资源管理器(&X)

2.4优盘病毒程序隐藏方式

(1)作为系统文件隐藏。一般系统文件是看不见的,所以这样就达到了隐藏的效果。但这也是比较初级的,现在的病毒一般不会采用这种方式。

(2)伪装成其他文件。由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开。

(3)藏于系统文件夹中。这些系统文件夹往往都具有迷惑性,如文件夹名是回收站的名字。

(4)运用Windows的漏洞。有些病毒所藏的文件夹的名字为 runauto...,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是 runauto...\。

内容导航



分享到:

热点职位

更多>>

热点专题

更多>>

读书

ASP网络编程从入门到精通
本书是为那些对Web开发感兴趣的读者而编写的。ASP(Active Server Pages)是微软公司在Web领域的又一次突破,它打破了以往只能由

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院