none
为什么病毒和木马会在Windows里, 自动运行? RRS feed

  • 问题

  • 为什么病毒和木马会在Windows里, 自动运行?Linux就没有这个问题。




    我一直不明白。我没有点击EXE或COM文件,光盘的自动播放功能也是关闭的。为什么病毒和木马还是会在Windows里, 自动运行?

    有什么办法,设置Windows. 禁止自动运行可执行文件?当然,已经安装了的系统服务和软件就不用禁止。这样不是可以防止病毒和木马吗?
    I am using Windows Server 2003, CentOS Linux 5.2, Windows XP, VirtualBox 3.0.4, Visual Studio 2005, Eclipse 3.5, NOtepad++ 5.4.5, Microsoft.NET Framework 2.0 SP2, C# 2.0, IIS 6.0, Apache 1.3.41, Nginx-0.7.61, SQL Server 2000, MySQL 5.0, FireBird 2.1.2, PHP 5.2.10, Office 2007, OpenOffice 3.1 and EIOffice2009 SP1.
    2009年8月22日 5:23

答案

  • 个人认为,首先病毒的感染方式和启动多种多样,比如你提到的"我没有点击EXE或COM文件,光盘的自动播放功能也是关闭的"同样有可能已经常驻内存,并自动感染其它文件,因此想单靠系统本身来避免是比较困难的,不过,你可以作一些措施来减少中病毒和木马的机率.比如及时更新系统补丁,安装并打开防火墙,安装杀软,及时更新病毒库,当然安全习惯是最重要的.
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月22日 6:07
  • 你的回答很官方,尽管你只是MS-Fance,而不是MSFT。 但是,你的回答根本没有解决我的问题。 硬盘,U盘或光盘里的一个文件,我不双击它。它怎么会自动跑到内存里,并且CPU自动执行它的指令?
    I am using Windows Server 2003, CentOS Linux 5.2, Windows XP, VirtualBox 3.0.4, Visual Studio 2005, Eclipse 3.5, NOtepad++ 5.4.5, Microsoft.NET Framework 2.0 SP2, C# 2.0, IIS 6.0, Apache 1.3.41, Nginx-0.7.61, SQL Server 2000, MySQL 5.0, FireBird 2.1.2, PHP 5.2.10, Office 2007, OpenOffice 3.1 and EIOffice2009 SP1.
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月22日 12:00
  • 呵呵,不好意思,是文件名为AUTORUN的文件吗?如果是,你可能感染了类似AV终结者的病毒了.
    • 已标记为答案 dvdvip 2009年8月24日 1:02
    2009年8月22日 12:22
  • 木马通过email或者不良网站的软件下载所得到。当你运行电子邮件的附件和这些包含木马的软件时候,就会感染木马了。如果你知道木马或者病毒在这个软件里面,你就不会去运行的。所以当你运行软件安装时候,并不知道已经在打开“潘多拉魔盒”了。一旦中了病毒,就会发作,收到感染,自动运行等等。你不去运行这些软件的话,一版情况是不会中病毒和木马的。运用杀毒软件的实时监控文件的执行功能可以有效的避免可执行程序收到病毒和木马的感染。
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月22日 18:07
  • 呵呵 linux 主体是root权限。相当于现在微软的uac。当你没有root权限的时候是没办法直接执行的。除非先获得权限。windwos则可以通过驱动来直接做劫持。解决方案也和linux一样。通过配置权限禁止windows目录运行新程序。或者直接降低整个系统的权限


    fantasy over with us 努力 windows systemMVP
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月23日 13:58
  • 病毒的机制就是要首先要让自己运行,无论欺骗还是诱导,达到目的就OK,运行之后要做的工作就是隐藏自己,并让自己随系统一并启动,常见的方式有注册表、开始菜单启动项(现在估计没那么傻的了)、注册为系统服务或驱动、注入进程,恶性的就修改EXE,完全取代或捆绑……

    SO,即使你能做到不点击EXE或COM(事实上很可能你在不知道的情况下点击过,解决方法之一就是显示扩展名),仍然可能因为浏览网页(恶意脚本或组件)、安装软件(我想至少驱动程序你还是要装的吧,如果你所运行的程序已经被修改过进行了捆绑或本身就附带有恶意软件,或其本身不是恶意软件,但是会主动下载恶意软件执行)、没有做到干净重装(一般用户至少会格式化系统分区,其它逻辑分区不动,但很可能会存在残留的Autorun类型恶意程序等,一旦重装系统后直接点进去,立刻就会中,这也是最常见的原因)等等……
    还有一点,即使你关闭了自动播放(组策略中可以关闭掉),或不依靠双击打开而是选择右键菜单(除非你是用资源管理器直接在左侧的文件夹列表中选择),也可能会中招,只需要修改下Autorun.inf增加几个欺骗性的菜单项就可以了,常见的就是 打开(O)、用资源管理器打开(E)等等……

    如果真的受够了病毒或木马,也忍受不了杀软对系统资源的霸道占用,那么首先养成好的习惯(这一点很重要,系统稳定与否安全与否关键因素除了设计原因,很大程度取决于用户的使用方式)、多熟悉下你的操作系统,了解下恶意软件的机理,熟悉下一些常用的工具软件(IceSword、Auroruns、Process Monitor、Unlocker等)尝试着自己想办法去解决,经验都是积累出来的(俺第一次的战斗是和3721(这东西应该不陌生吧)进行的,至今记忆深刻),多思考原因多学习多查资料,会好的……

    补充点:

    对于陌生或非正规渠道获取的软件,最好能在沙盘或虚拟机中先运行一次(记得跟踪下执行过程),确保没有问题后再使用。

    最好能有个专属于自己的收藏夹,收藏那些自己经常使用的确保没有问题的正规站点,不要轻易访问陌生站点,如果因为查找资料等必须要大量访问,使用搜索引擎的网页快照功能查阅,或者关闭掉浏览器的JavaScript、ActiveX、Flash支持再浏览,有些依赖于JavaScript的站点可能显示不出内容,所幸答案并不是唯一的,安全第一。

    再有就是给自己的移动设备(重点)和本地磁盘分区都设置一个免疫文件夹 Autorun.inf,运行CMD输入如下命令(以D盘为例):

    D:
    CD\
    MD Autorun.inf
    CD Autorun.inf
    MD SYSTEM..\
    CD\
    ATTRIB +S +H +R Autorun.inf

    如此在其它分区依次建立此文件夹,然后尝试下,是删除不掉的,同理,恶意程序也无法修改和覆盖,因为里面那层目录的不确定性和特殊性。

    最后,如果移动设备经常在外使用,拿回来后(前提是关闭了自动播放),将 System Volume Information(文件系统是 NTFS 的话,记得修改权限添加Administrators组)和 RECYCLER 文件夹删除一次。


    ㄗ.s_どうしてそんなことするの、思い出さないほうがいいんじゃないの..
    • 已编辑 ㄨ柒默然ㄨ 2009年8月28日 0:57 补充
    • 已标记为答案 dvdvip 2009年8月29日 11:39
    2009年8月28日 0:46

全部回复

  • 个人认为,首先病毒的感染方式和启动多种多样,比如你提到的"我没有点击EXE或COM文件,光盘的自动播放功能也是关闭的"同样有可能已经常驻内存,并自动感染其它文件,因此想单靠系统本身来避免是比较困难的,不过,你可以作一些措施来减少中病毒和木马的机率.比如及时更新系统补丁,安装并打开防火墙,安装杀软,及时更新病毒库,当然安全习惯是最重要的.
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月22日 6:07
  • 你的回答很官方,尽管你只是MS-Fance,而不是MSFT。 但是,你的回答根本没有解决我的问题。 硬盘,U盘或光盘里的一个文件,我不双击它。它怎么会自动跑到内存里,并且CPU自动执行它的指令?
    I am using Windows Server 2003, CentOS Linux 5.2, Windows XP, VirtualBox 3.0.4, Visual Studio 2005, Eclipse 3.5, NOtepad++ 5.4.5, Microsoft.NET Framework 2.0 SP2, C# 2.0, IIS 6.0, Apache 1.3.41, Nginx-0.7.61, SQL Server 2000, MySQL 5.0, FireBird 2.1.2, PHP 5.2.10, Office 2007, OpenOffice 3.1 and EIOffice2009 SP1.
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月22日 12:00
  • 呵呵,不好意思,是文件名为AUTORUN的文件吗?如果是,你可能感染了类似AV终结者的病毒了.
    • 已标记为答案 dvdvip 2009年8月24日 1:02
    2009年8月22日 12:22
  • 木马通过email或者不良网站的软件下载所得到。当你运行电子邮件的附件和这些包含木马的软件时候,就会感染木马了。如果你知道木马或者病毒在这个软件里面,你就不会去运行的。所以当你运行软件安装时候,并不知道已经在打开“潘多拉魔盒”了。一旦中了病毒,就会发作,收到感染,自动运行等等。你不去运行这些软件的话,一版情况是不会中病毒和木马的。运用杀毒软件的实时监控文件的执行功能可以有效的避免可执行程序收到病毒和木马的感染。
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月22日 18:07
  • 呵呵 linux 主体是root权限。相当于现在微软的uac。当你没有root权限的时候是没办法直接执行的。除非先获得权限。windwos则可以通过驱动来直接做劫持。解决方案也和linux一样。通过配置权限禁止windows目录运行新程序。或者直接降低整个系统的权限


    fantasy over with us 努力 windows systemMVP
    • 已标记为答案 dvdvip 2009年8月24日 1:01
    2009年8月23日 13:58
  • 病毒的机制就是要首先要让自己运行,无论欺骗还是诱导,达到目的就OK,运行之后要做的工作就是隐藏自己,并让自己随系统一并启动,常见的方式有注册表、开始菜单启动项(现在估计没那么傻的了)、注册为系统服务或驱动、注入进程,恶性的就修改EXE,完全取代或捆绑……

    SO,即使你能做到不点击EXE或COM(事实上很可能你在不知道的情况下点击过,解决方法之一就是显示扩展名),仍然可能因为浏览网页(恶意脚本或组件)、安装软件(我想至少驱动程序你还是要装的吧,如果你所运行的程序已经被修改过进行了捆绑或本身就附带有恶意软件,或其本身不是恶意软件,但是会主动下载恶意软件执行)、没有做到干净重装(一般用户至少会格式化系统分区,其它逻辑分区不动,但很可能会存在残留的Autorun类型恶意程序等,一旦重装系统后直接点进去,立刻就会中,这也是最常见的原因)等等……
    还有一点,即使你关闭了自动播放(组策略中可以关闭掉),或不依靠双击打开而是选择右键菜单(除非你是用资源管理器直接在左侧的文件夹列表中选择),也可能会中招,只需要修改下Autorun.inf增加几个欺骗性的菜单项就可以了,常见的就是 打开(O)、用资源管理器打开(E)等等……

    如果真的受够了病毒或木马,也忍受不了杀软对系统资源的霸道占用,那么首先养成好的习惯(这一点很重要,系统稳定与否安全与否关键因素除了设计原因,很大程度取决于用户的使用方式)、多熟悉下你的操作系统,了解下恶意软件的机理,熟悉下一些常用的工具软件(IceSword、Auroruns、Process Monitor、Unlocker等)尝试着自己想办法去解决,经验都是积累出来的(俺第一次的战斗是和3721(这东西应该不陌生吧)进行的,至今记忆深刻),多思考原因多学习多查资料,会好的……

    补充点:

    对于陌生或非正规渠道获取的软件,最好能在沙盘或虚拟机中先运行一次(记得跟踪下执行过程),确保没有问题后再使用。

    最好能有个专属于自己的收藏夹,收藏那些自己经常使用的确保没有问题的正规站点,不要轻易访问陌生站点,如果因为查找资料等必须要大量访问,使用搜索引擎的网页快照功能查阅,或者关闭掉浏览器的JavaScript、ActiveX、Flash支持再浏览,有些依赖于JavaScript的站点可能显示不出内容,所幸答案并不是唯一的,安全第一。

    再有就是给自己的移动设备(重点)和本地磁盘分区都设置一个免疫文件夹 Autorun.inf,运行CMD输入如下命令(以D盘为例):

    D:
    CD\
    MD Autorun.inf
    CD Autorun.inf
    MD SYSTEM..\
    CD\
    ATTRIB +S +H +R Autorun.inf

    如此在其它分区依次建立此文件夹,然后尝试下,是删除不掉的,同理,恶意程序也无法修改和覆盖,因为里面那层目录的不确定性和特殊性。

    最后,如果移动设备经常在外使用,拿回来后(前提是关闭了自动播放),将 System Volume Information(文件系统是 NTFS 的话,记得修改权限添加Administrators组)和 RECYCLER 文件夹删除一次。


    ㄗ.s_どうしてそんなことするの、思い出さないほうがいいんじゃないの..
    • 已编辑 ㄨ柒默然ㄨ 2009年8月28日 0:57 补充
    • 已标记为答案 dvdvip 2009年8月29日 11:39
    2009年8月28日 0:46