揪出系统中秘密隐藏的木马（上）

　　利用AutoRun.inf加载木马　　

　　经常使用光盘的朋友都知道，某些光盘放入光驱后会自动运行，这种功能的实现主要靠两个文件，一个是系统文件之一的Cdvsd.vxd，一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。　　

　　这个貌似神奇的功能其实很简单，不仅能应用于光盘中，同样也可以应用于硬盘中（要注意的是AutoRun.inf必须存放在磁盘根目录下才能起作用）。让我们一起看看AutoRun.inf文件的内容吧。打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：

　　 [AutoRun]　　

　　 Icon=C:\Windows\System\Shell32.DLL,21　　

　　 Open=C:\Program Files\ACDSee\ACDSee.exe　　

　　 解释一下：一个标准的AutoRun文件必须以[AutoRun]开头，第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标。Shell32.DLL是Windows系统文件，里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标；第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。　　

　　如果把Open行换为木马文件，并将这个AutoRun.inf文件设置为隐藏属性（不易被发现），则点击硬盘就会启动木马！反过来讲，这倒的确是一种很不错的程序自启动方式。

　　为防止遭到这样的“埋伏”，可以禁止硬盘AutoRun功能。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗口中找到“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可关闭硬盘的AutoRun功能，把它的键值改为B5,00,00,00则可禁止光盘的AutoRun功能。注意改后要重新启动计算机才能生效。



热门推荐：让WinRAR汗颜的强力压榨机UHARC WinXP任务栏实用技巧总集