在我居住的地方(玻利维亚),我遇到的大约 2/3 的 USB 驱动器似乎都带有恶意软件,这些恶意软件会通过主机执行autorun.inf并试图感染主机。这里的大多数互联网访问都是在公共计算机上进行的,而这些计算机的安全和恶意软件防护通常比较松懈。
在阅读完熊猫USB疫苗最近,我一直在提议为同事的 USB 驱动器“接种疫苗”,以防止这种瘟疫的严重影响(我们所有机器上的自动运行都被禁用,但同事经常使用家用电脑工作,而家用电脑总是以这种方式崩溃)。疫苗的工作原理是创建一个无害的程序autorun.inf并试图阻止其他程序替换它(我假设是通过所有权/权限,但我不是 Windows 用户,所以我真的不知道)。
直到最近,许多磁盘又开始出现恶意autorun.inf文件,这种方法似乎一直很有效。我想尝试了解这种情况是如何发生的,以及是否值得尝试其他类似的疫苗应用程序。
换句话说,期望任何可移动媒体疫苗都能发挥作用是否现实,或者是否存在难以克服的漏洞(如果是,漏洞是什么)?
答案1
放置一个空白的 autorun.inf 并设置文件权限使其无法更改,只能让病毒无法预料到这种伎俩。对于更复杂的病毒来说,病毒很容易覆盖受保护的 autorun.inf(尽管不可否认,这确实有助于减少一些较旧的病毒)。正如您所猜测的,除非使 USB 驱动器完全不可写入,否则无法关闭此漏洞。
一种常见的做法是购买具有写入开关的 USB 驱动器,并且仅在需要写入数据时且仅在受信任的计算机上打开写入开关。
答案2
一个好办法是autorun.inf完全禁用所有机器。将以下代码保存在记事本中,并确保它具有.reg扩展名,然后.txt运行它。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
答案3
您可以完全禁用 autorun.inf。我认为您可以通过每个设备的硬件设置来做到这一点,或者在注册表中将其全部禁用。
有关如何禁用它的更多信息: