本文示例源代码或素材下载

　　注：本文最后四张为本人截图，其他四张图片来自网络，本人就不以身试毒了。

　　一、 AutoRun简介：

　　Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。见图0、图1。

　　图0

　　图1

　　二、运行方式：

　　A.

　　OPEN=filename.exe

　　自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

　　B.

　　shellAutocommand=filename.exe

　　shell=Auto

　　修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？ 见图2。

　　图2

　　C.

　　shellexecute=filename.exe

　　ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

　　D.

　　shellopen=打开(&O)

　　shellopenCommand=filename.EXE

　　shellopenDefault=1

　　shellexplore=资源管理器(&X)

　　这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。

　　三、 病毒清除、免疫方法：

　　A、免疫。在根目录建立autorun.inf文件夹,设置成只读。见图3。

　　图3

　　B、右键--"打开"。(手头没有任何杀毒软件的临时方法。参考“运行方式”的“D”条。)

　　C、批处理。（附件中有）清除感染的所有分区病毒。用的时候，把里面的“病毒.exe”替换掉。

　　@echo off

　　taskkill /f /im 病毒.exe

　　cd

　　for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:autorun.inf&attrib -s -a -r -h　 %%i:病毒.exe& del %%i:病毒.exe&del %%i:autorun.inf

　　D、VBS脚本。（附件中有）用于已经感染的U盘、磁盘等。见图4(设置autorun.inf路径)、图5(设置exe病毒路径)、图6(清除成功)。

　　图4

　　图5

　　图6

　　E、设置权限，进行免疫。（附件中有）即使双击磁盘，也不自动运行。如果想手动更改的话，如图7所示，设置everyone为“拒绝”。

　　图7

　　嫌麻烦的话，用附件里的批处理(免疫.bat)：

　　其中的setacl.exe大家自己google一下吧，被人说有木马之类的就不好了。