基于系統文件補丁方法的Ａｕｔｏｒｕｎ型病毒根治技術

摘要：針對近年大量病毒均借助自動播放功能交叉感染和自動激活的客觀實際，提出了一種基于系統外殼文件補丁方法的Autorun型病毒根治方案，并且給出了自動部署這種方案的簡便方法，同時在此基礎上實現了全新部署系統時的針對Autorun型病毒的先天加固。

關鍵詞：病毒；自動播放；系統外殼；安全加固

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)33-1332-03

A Technology of Eliminating Autorun-type Viruses Based on System Files Patch Method

CHEN Li-jun1，WANG Cai-ping2

(1.Dept. of Mathematics，Hefei University of Technology，Hefei 230009，China;2.School of Computer Information-HFUT，Hefei 230009，China)

Abstract: Aimed to the fact that lots of viruses inter-infect and automatically activate by automatically playing in recent years， A scheme of eliminating Autorun-type Viruses based on system files patch method is presented， and the simple method of automatically arranging the scheme is also presented， furthermore， With the help of the obtained method the innate reinforcement against Autorun-type Viruses is realized as rearranging the system.

Key words: virus;automatic play; system shell; safety reinforcing

1 引言

Autorun型病毒是利用操作系統的“自動播放”功能而實現自動激活感染的一類病毒的總稱。由于自動播放功能是操作系統的默認合法功能，一套系統不需任何設置，默認情況下就能夠自動激活磁盤分區上的特定程序，因此目前幾乎所有病毒、木馬、流氓程序都充分利用了自動播放這一系統功能特性進行惡意代碼的激活和感染[1]。尤其突出的問題是，一旦系統感染有Autorun型病毒，即使格式化系統分區并完全干凈地重裝系統，只要打開任何潛藏有Autorun型病毒的磁盤分區，則病毒又會立即重新自動激活并重新交叉感染[2]。

針對Autorun型病毒的特點，傳統的防、殺毒效果越來越顯示出它們的不足：基于特征碼技術的殺毒軟件，由于必須在建立操作系統后才能安裝部署，而Autorun病毒的激活是不需要任何安裝設置操作的，優先級比安裝反病毒軟件要高；大量Autorun型病毒采取了加殼加密、代碼變形等手段，導致基于特征碼的反病毒程序失效；而一些早期有效的設置Autorun免疫文件、設置系統策略限制自動播放功能等方法，也被后來的病毒采取了針對措施，能夠自動刪除免疫文件、自動修改系統策略設置，甚至發展到殺除殺毒軟件的狀態，多起反毒軟件被此類病毒所殺的實例也充分證明了Autorun型病毒令人不可輕視的威力。

因此，本文試圖尋找一種針對Autorun型病毒的簡單、高效、可靠的根治方法，通過基于系統文件補丁技術的采用，從根本上杜絕了Autorun型病毒的自動激活途徑，并根據既有系統和新系統部署的特點，給出了比較完善的根治方案。

2 Autorun型病毒工作原理

Autorun型病毒的工作原理如圖1所示。操作系統引導成功，內核加載完成后，用戶登錄，加載用戶圖形界面，系統默認Shell的主界面模塊Shell32.dll被加載到內存。以后，任何用戶的鼠標、鍵盤等交互操作都要通過Shell32.dll來完成與系統內核功能調用的交互。這個交互過程中，如果存在一個打開磁盤根目錄的操作，則Shell32.dll將先查詢系統注冊表中是否存在限制Autorun功能的鍵值，如果不存在限制，則立即檢查磁盤根目錄是否存在autorun.inf的自動播放信息文件，當存在這個文件時，則根據此文件中“[autorun]”小節中的“OPEN=”定義條目中定義的路徑和文件名，自動執行這個條目所指向的程序。當感染了Autorun型病毒時，這個過程則演變為先自動激活病毒，然后才由病毒執行打開磁盤的操作。

以下是一則典型的Autorun型病毒的autorun.inf自動播放信息文件的內容：

[autorun]

OPEN=SVCH0ST.EXE

shell\\open=打開(O)

shell\\open\\Command=SVCH0ST.EXE

shell\\open\\Default=1

shell\\explore=資源管理器(X)

圖1

shell\\explore\\Command=SVCH0ST.EXE

其中，“SVCH0ST.EXE”即病毒文件名。從中可以看出，“Open=”條目定義了打開磁盤時系統默認執行的操作是執行指定的病毒文件；“shell\\open=打開(O)”和“shell\\explore=資源管理器(X)”條目則偽裝了鼠標右鍵點擊時，上下文菜單中的“打開”和“資源管理器”命令將自動執行的程序，這里仍然用“shell\\open\\Command=SVCH0ST.EXE”命令指向了病毒文件“SVCH0ST.EXE”。

正因為Aurotun型病毒利用了系統最基本的默認功能，因此導致了對此類病毒防不勝防的尷尬局面。由于閃存介質的大量流行使用，給Autorun型病毒的傳播帶來了極大的方便，雖然安全業界也采取了不少措施，但事實上，Autorun型病毒為了能夠讓自己能夠被順利利用自動播放功能自動激活，這類病毒通常都要在通過其他途徑感染系統時，采取植入或修改磁盤根目錄下的autoruninf文件、修改系統組策略設置、修改注冊表磁盤自動播放控制鍵值、阻止常見安全軟件運行等手段，從而讓傳統的病毒防護方案效果不好甚至完全失效[3]。

3 系統外殼文件補丁技術

1) 系統外殼文件補丁修正

從Autorun型病毒的工作特征可以總結出一條經驗：任何進入用戶登錄界面后采取的防護措施都可能被病毒對抗或繞過，只有從導致Autorun型病毒威脅的系統Shell相關系統文件入手，才能從根本上徹底解除Autorun型病毒借助自動播放功能實現交叉感染和自動激活。因此，我們通過試驗，尋找到一種釜底抽薪的好辦法，即通過對Shell32.dll這個控制系統自動播放動作的系統文件進行修正，去除自動播放這個華而不實的系統功能調用，并將修改的結果做成補丁程序，從而讓大量既有的系統能夠方便地部署這種修改；在此基礎上，還可以對已經補丁過的程序重寫校驗和并重新打包以替換系統安裝光盤上的系統文件，以實現對新裝系統的先天加固式防治。

對Shell32.dll這個控制系統自動播放動作的系統文件進行修正后的磁盤訪問操作流程將如圖2所示。

用戶訪問任何磁盤根目錄時，被修正過的Shell32.dll將去尋找一個并不可能存在的自動播放信息文件，此時磁盤中可能感染了病毒的autorun.inf文件對操作系統而言已經是“視而不見”，其中定義的病毒文件及路徑根本不會被系統自動執行，這樣就達到了繞過病毒通過自動播放功能實現自動激活和感染的目的。

圖2

圖3

“autorun.inf”在Shell32.dll文件中是以Unicode字符串形式存在的，其對應的Unicode字符串如下：

61 00 75 00 74 00 6F 00 72 00 75 00 6E 00 2E 00 69 00 6E 00 66 00

2) Autorun型病毒補丁制作

要使Shell32.dll對磁盤中可能染毒的autorun.inf信息文件不進行自動操作，就必須將上述Unicode字符串修改成隨機性的等長度字串，修改的隨機性越強越好，比如改成“~

具體實現上極其簡單：通過16進制編輯器手工打開Shell32.dll進行查找，或者編程查找上述Unicode字符串，然后將之替換成等長度的隨機Unicode字符串。圖3就是使用16進制編輯器替換的例子。

考慮到便于在不同版本的Shell32.dll上實現自動修改，我們可制作一個補丁程序。使用Pmaker，利用其“字節搜索器”功能，搜索Shell32.dll 文件中的“61 00 75 00 74 00 6F 00 72 00 75 00 6E 00 2E 00 69 00 6E 00 66 00”，然后替換成等字節的其他隨機性字符串，這樣就可簡單生成一個小型的補丁程序。Pmaker生成的補丁程序支持“允許不同大小”、“忽略已打補丁的文件”以及“保留備份”等功能選項，實驗證明在不同版本的操作系統中的自動補丁效果非常理想。

3) 用于批量自動部署的自動補丁輔助程序

對于擁有大量機器的環境而言，批量自動部署這種安全加固補丁具有非常重要的現實意義。但使用補丁程序對系統文件進行自動修正時，由于操作系統自身具有系統文件保護功能，如果直接修改正在運行的系統中的Shell32.dll，則一方面會因文件正在使用而被鎖定，另一方面會激活系統文件保護機制而自動將修正后的系統文件還原到未修正時的狀態，從而導致自動修正失敗。因此，這里我們編寫了一份自動補丁的輔助程序腳本。假如在上一步制作好的自動補丁程序為AntiAutorun.exe，自動補丁輔助腳本程序如下：

@echo off

echo 如果系統彈出文件保護提示時，請同意并忽略修改！

echo 任意鍵開始……

pause＞nul

copy /y %SystemRoot%\\System32\\Shell32.dll %TEMP%\\＞nul 2＞nul

copy /y AntiAutorun.exe %TEMP%\\＞nul 2＞nul

cd /d %TEMP%

start /wait %TEMP%\\AntiAutorun.exe

if exist %SystemRoot%\\System32\\Shell32.dl_1 del %SystemRoot%\\System32\\Shell32.dl_1＞nul 2＞nul

if exist %SystemRoot%\\System32\\Shell32.dl_ ren %SystemRoot%\\System32\\Shell32.dl_ Shell32.dl_1＞nul 2＞nul

ren %SystemRoot%\\System32\\DllCach\\Shell32.dll Shell32.dl_＞nul 2＞nul

ren %SystemRoot%\\System32\\Shell32.dll Shell32.dl_＞nul 2＞nul

copy /y %TEMP%\\Shell32.dll %SystemRoot%\\System32\\DllCache＞nul 2＞nul

copy /y %TEMP%\\Shell32.dll %SystemRoot%\\System32\\＞nul 2＞nul

echo 補丁完成！請保存所有工作，系統將重啟后生效！

echo 任意鍵退出并重啟……

del %TEMP%\\Shell32.dll＞nul 2＞nul

del %TEMP%\\AntiAutorun.exe＞nul 2＞nul

pause＞nul

shutdown -r

上述補丁輔助程序的目的是先在臨時目錄中完成對Shell32.dll的補丁，然后再將系統中的Shell32.dll文件進行改名和替換，并在重啟后完成補丁文件的替換過程。

以后要在其他系統中部署自動播放補丁時，只需同時拷貝補丁程序和補丁輔助程序，再在目標系統中執行一次補丁輔助程序，即可簡單完成Autorun型病毒的防治。

4) 新系統的先天加固部署

由于Autorun型病毒在全新安裝好的系統中都可能被立即自動激活，因此在上述修正系統文件的基礎上，可以用修正過的系統文件Shell32.dll來替換系統原始安裝光盤上的同名文件，從而完成對這套安裝光盤的先天加固。這樣，用此光盤新安裝的系統不需進行任何額外處理，即可對Autorun型病毒具有先天的抵抗能力，非常適合大量系統的安裝部署。

按前文方法對Shell32.dll進行修正處理后，用以下命令重寫該系統文件的校驗和信息（否則操作系統安裝程序會認為該文件已經損壞）：

modifyPE.exe shell32.dll –c

再用以下命令將Shell32.dll壓縮成Cab類型的壓縮包：

makecab shell32.dll shell32.dl_

將原始安裝光盤用UltraISO等制作成ISO格式的光盤映像文件，將上述修正、壓縮后的Shell32.dl_文件替換此光盤映像文件的i386目錄中的同名文件，保存；再用保存后的光盤映像來刻錄成新的安裝光盤，此光盤就具有對Autorun型病毒的先天抵抗能力了。

5) 強化先天加固的輔助設置

Autorun型病毒的感染途徑往往是多樣的，除了利用自動播放實現大量的反復交叉感染外，還可能利用系統漏洞、誘騙捆綁等其他途徑來感染系統。因此為了強化根治此類病毒的防治效果，還可采取一種簡便有效的方法，這就是不要使用系統默認的管理員賬戶登錄系統來進行日常工作，而是創建專門的賬戶，并以Power users組成員的身份登錄并完成日常的系統使用。

假如要創建的賬戶名為PAdmin，則以下兩條命令即可完成以Power users組成員賬戶的設置：

net user PAdmin password /add //創建用戶名為Padmin、密碼為password的賬戶

net localgroup “Power Users” PAdmin /add //把“PAdmin”添加到PowerUsers組

以后除非特殊需要，一律以新創建的PAdmin賬戶登錄系統，即可保證在日常工作不受影響的同時，得到最大限度的系統安全性[4]。

4 結論

通過將本文的方法在上萬臺電腦操作系統上的實際使用驗證，對系統外殼文件的補丁處理能夠以最小的限制自動播放功能的代價得到非常理想的Autorun型病毒防護效果，而且由于是從系統功能本身入手，各種改進版本的Autorun型病毒自動修改系統策略等的回避防護的手段在本方案下全部失效；用戶用可移動介質交換數據時，根本不需要考慮對可移動介質的殺毒和交叉染毒問題，也不需擔心出現新的病毒變種而導致的殺毒軟件失效；另外，使用補丁修正技術處理過的安裝光盤也徹底解決了新裝系統后可能立即重新自動激活Autorun型病毒的難題。

參考文獻：

[1] 國家計算機病毒應急處理中心.中國計算機病毒疫情調查技術分析報告[R].2007.

[2] 張友生，等.計算機病毒與木馬程序剖析[M].北京：北京科海電子出版社，2003，4.

[3] 鄒水龍，陳鳳琴，毛錦庚.計算機病毒的防范及安全策略[J].考試周刊，2007(03):116-117.

[4] 張仁斌，李鋼，侯整風.計算機病毒與反病毒技術[M].北京:清華大學出版社，2006.