新蠕虫病毒突破防线利用Action参数自动运行

导读：最近一种新的蠕虫病毒值得引起注意，它能够突破停用自动播放(AutoPlay)功能的壁垒，达到利用Action参数自动运行的目的，对于此类病毒,应及时更新杀毒软件加强防范.

透过Autorun.inf档案来执行是蠕虫广泛使用的一种自动执行技巧。透过这个档案，蠕虫可以在使用者存取已感染的磁盘时自动执行。多年来，使用者已经发展出一些专门移除这类恶意程序并且防止它执行的手动技巧。其中几种技巧如下：

·在命令列输入指令手动删除档案

·停用系统的自动播放(AutoPlay)功能

·使用Windows档案总管来浏览 (在磁盘驱动器上按鼠标右键，然选择开启)

尽管使用者透过各种技巧来防止恶意程序自动执行，但恶意程序还是能够找到新的突破方法。其中之一就是利用autorun.inf档案的Action参数。Action是autorun.inf当中的一个参数，仅适用于可卸除式磁盘和内接硬盘。此参数主要是配合autorun.inf档案中所指定的open(开启)或shellexecute(执行)参数，用来指定自动播放对话框中所显示的文字。

新的蠕虫为了应付使用者停用自动播放功能或者手动使用Windows档案总管来开启磁盘的情况，因此利用这个Action参数来增加一些动作名称，例如：

·Open folder to view files(开启数据夹检视档案)

·Open folder to view files using Windows Explorer(使用Windows档案总管开启数据夹检视档案)

目前所侦测到的WORM_KOLAB.CQ就是利用这种手法的随身盘蠕虫之一，其自动执行(AutoRun)程序代码如下：

透过action=Open folder to view files(开启数据夹检视档案)这行设定，当使用者以Windows档案总管来开启受感染的磁盘驱动器时，就会执行恶意程序。由于网络犯罪者无不处心积虑发掘更多潜入目标系统的方法，因此，使用者应该更小心预防恶意程序进入自己的系统。数字相框、iPod、MP3播放器、PDA、USB 随身盘、快闪盘以及数字相机等等，都可能暗藏足以瘫痪家用网络的恶意程序。

至于企业用户，则应制订并实施企业整体数据存取与外接装置使用规范。 正如前述说明，光是停用自动播放(AutoPlay)功能再也无法阻挡这类恶意程序。使用者还需格外小心使用外接磁盘的场所，并且随时更新信息安全软件来对抗潜在威胁。

(责任编辑：网盾)

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点