议题作者：刘的林
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

现在的U盘病毒传播是越来越猖狂了,原来建立免疫文件夹的方法现在已经失效了.因为只要把名字该下就ok了.
前几天我把U盘格式化为NTFS了,把免疫文件夹的属性设置成了 如图所示:
fyplmfo.rar (68.62 KB)

fyplmfo.rar (68.62 KB)
恶心的样本
下载次数: 99

2008-4-12 19:12

前几天上机房的时候发现又被改名了,我真的晕了..难道病毒用CACLS把权限给该了么?
我看了下权限没变啊.那它怎么该的?不可能绕过Windows磁盘的安全机制直接更改了把.
现在有什么方法可以不让U盘中病毒么?不要指望让机器怎么样,机器有还原系统,但是只还原C盘.
本来打算用System Safety Monitor来看下病毒的运行机制.但是在网吧不方便操作.还请大家想想办法把~我真的是没有办法了~
病毒样本在包里..

你那个不是简单的u盘病毒了
具体点应该是黑客类的病毒
不过好在这个病毒ms比较老一般的都可以杀了

楼主：你的图没看到。。。
如下假象：
现机房有N台机子，其中1、2号机器已经中毒。
你是在1号机器上做的权限设置（楼主提到你上机房），
现先假设你后来在2号机器上插入U盘，那么：
在2号机上当用属于Administrators 的用户登录Windows 2000/XP/2003 和关闭UAC机制的Vista系统时，你的NTFS U盘里的文件有没有设置权限都是白忙活的。（Why？）
现再假设你后来又在1号机器上插入U盘，那么：
在1号机上当用属于Administrators 的用户登录Windows 2000/XP/2003 和关闭UAC机制的Vista系统时，你对NTFS U盘里的文件设置权限有可能是白忙活的：
假如病毒已经进入Ring0，那么你怎么设置权限都是白忙活了；
假如病毒只是继承当前用户权限，那么权限设置就能生效。
另：
U盘可以如下操作而防止一打开就中毒：
1、插入U盘
2、等待一小会，观察屏幕，如有任何窗口跳出，都关闭。如果没有窗口跳出，继续下一步
3、按Windows徽标键＋E
4、在左边的树形窗口上找到你的U盘，比如是K盘，然后单击它
5、这时，在右边的区域就能显示你的U盘内容了。。。
注意：做完第三步，右边的区域就能看到U盘的图标了，但是千万不用左键或者右键打开它。

[ 本帖最后由 taiwansee 于 2008-4-16 13:20 编辑 ]

只要只要你上的那台机子是以administrator权限或以上的权限运行.怎么改都没用.实验一下.你把权限改得更加bt一点.然后用icesword修改看看.照样能改.因为icesword在ring0下运行.你把icesword想象成那个病毒.所有疑问都没了

那删掉NTFS所有者权限呢？？IS也行？？

回椅子 - -|
资源管理器确实有效，更简单的是地址栏，下拉，选择盘符

给大家说下我的权限是
      把所有的 组 都选中（包括SYSTEM） 然后都给了 拒绝的权限。
      还有我用一些 U盘专杀病毒 杀得时候 看到了 CACLS的身影。病毒该不会是 在感染的时候把权限给该了 然后成功后在给该回来吧~

我刚刚找了个叫 U盘病毒防护盒 不知道效果怎么样。我是做维护的 最烦的就是U盘病毒了

恩
很有道理
不管怎样 权限都是人赋予的
进了Ring0级 什么都是白费

引用:

原帖由 taiwansee 于 2008-4-16 13:06 发表
楼主：你的图没看到。。。
如下假象：
现机房有N台机子，其中1、2号机器已经中毒。
你是在1号机器上做的权限设置（楼主提到你上机房），
现先假设你后来在2号机器上插入U盘，那么：
在2号机上当用属于Administrators 的用户登录Windo ...

支持这种说法,我也遇到过这种情况,就是只要开机插U盘或者移动硬盘就扫描,在机房的一台机子上改了,我开始还以为成功了,但到另一台就么有用了.

还有一种情况就是图表缓冲的很这个也是一个道理,只保存在你操作的计算机上,并没有保存在硬盘中.

权限并不是万能的。记得在哪见过这么一句底底驱动层根本没有NTFS权限这个概念。。。。

就算你用cacls.exe设置免疫目录的权限,文件名还是可以改的...
作者可以先cacls.exe解除权限,然后再尝试删除目录,如果删除失败,可以把目录改名的...

防U盘病毒 试试 kill

还可以吧

用压缩文件打开试试，如果U盘里与病毒能看到，
如果是电脑的的病毒，就把自动播放关了，
U盘病毒一直监测是不是把病毒删了，所以说一直在硬盘，U盘之间读取数据，可以很明显的感觉到U盘很热，AUTOTUN害死很多U盘了。
一定要注意防范，2楼说用Windows徽标键＋E
不错，我经常用

我汗，完了完了，照这么说只有禁用自动运行了....
我几天前去学校复印店插了一下，结果U盘狂闪，就是打不开，我拔了回来插电脑上，发现原来的所有资料全没了，只在里面躺着6个不同种类的U盘病毒和一个Autorun.inf（6个病毒抢一个Autorun.inf，再汗一下）
然后就格式化成了NTFS格式。我试了好几种权限配置方法，对IceSword都是没用的。
一下的权限配置只针对Autorun.inf这一个文件。
包括：
1.添加所有用户，都拒绝访问。
2.删除所有用户。
3.添加everyone，拒绝。删除其它。
4.添加everyone，system，Administators，拒绝，删除其它。
等等......
发现这些配置对IceSword都是没用的，可以直接删，看来的确进入了Ring0，怎么配置都是徒劳.....
我最后的配置是删除所有用户。虽然过不了IceSword，一般的毒还是可以防的。
今天去了躺机房，被感染了一个sysinfo2.dll，不过Autorun.inf文件夹没有被删掉。

我也中过

前些日子简单看了下cacls的用法，然后就做写了个这个东西。。。。。
这只能说明，如果我们用Administrators组的帐户，U盘即使对权限做了设定，也是没有什么用的。
在以下权限配置下测试通过：
1.只对Autorun.inf对所有用户拒绝。
2.只对Autorun.inf删除所有用户。
3.对Autorun.inf和整个U盘都对所有用户拒绝。
4.对Autorun.inf和整个U盘都删除所有用户。
悲哀呀，我也不想这样啊，我的U盘也老遭毒，好不容易搞了个NTFS权限设定，结果现在又被自己轻易突破 。
难道我们只能关闭自动运行吗？用光盘的时候好不方便啊 高手如果想到新的U盘防毒的方法，发出来大家一起讨论啊。

下面是批处理代码（注释去掉）：
title FuckNTFS
rem Made By zerosoul(零魂)         Blog  http://www.zerosoul.cn
for /f "tokens=3* delims=," %%i in ('WMIC Path Win32_LogicalDisk Get Description^,DeviceID^,FileSystem /format:csv^|findstr /i "移动"') do (
                                                  //找到可移动磁盘
cacls %%i /c /e /p administrators:f               //对U盘给管理员完全控制权限
cacls %%i /c /e /p everyone:f                     //给Everyone完全控制权限
cacls %%i\Autorun.inf /c /e /p administrators:f   //对Autorun.inf给管理员完全控制权限
cacls %%i\Autorun.inf /c /e /p everyone:f         //给Everyone完全控制权限
%%i                                               //进入U盘目录
attrib -s -h -r autorun.inf                       //去掉系统，隐藏，只读属性
ren Autorun.inf AUT0RUN.INF                       //将Autorun.inf重命名为AUT0RUN.INF(把字母“o”改成数字“0”)
attrib +s +h +r AUT0RUN.INF                       //给AUT0RUN.INF加上系统，隐藏，只读等属性
)