autorun.inf 病毒

 

        今天在學生家中，在課時突然發生小紅傘跳出了病毒通知，說我隨身碟中了病毒，檔案是autorun.inf，這個towns就比較少見了，多半都會出現是其他檔名，這次到是直接說是病毒，查看了一下，果然只有autorun.inf 這支程式，type 看一下這個檔案，他不在是一個文字檔，他本身就是病毒。towns來試一試，看看他會做什麼！

       測式環境：
       OS：windows XP PRO SP3
       受測病毒：ctfmen.exe
       監測工具：ProcessExplorer 1121版
                            Regmon.exe
                            Filemon.exe
                            ZoneAlarm 80298版

        經過towns的測試，發現該程式並沒有在機碼、檔案、網路做什麼特別的行為，只有幾個可見的行為（可能是towns沒查覺）
1.插入隨身碟後，自動跳出\Device\Harddisk1\DR7錯誤（1.jpg）
2.異常的外接硬碟圖（2.jpg）。
3.而在小紅傘中則抓到Virus or unwanted program 'WORM/Conficker.Autorun.Gen [worm]'  detected in file 'F:\autorun.inf.這樣的資訊。
4.無法正常顯示隱藏檔
        因為看不出什麼，所以towns將該程式送交 threatExpert （http://www.threatexpert.com/default.aspx）分析處理，靜待該公司回應
註：要傳給該公司，請將檔案壓縮成*.rar，*.zip等檔案。

中毒電腦的環境
OS：windows XP PRO SP2，並沒有做安全性更新

        真是的，該公司告訴我，他們的資料庫中沒有相關病毒的資訊 = =，我又要自己找了。
        今天將該電腦帶回來，並確定病毒原因，經過比對查測，發覺是 svchost.exe 這個程序造成，當關閉該程序後，就不會再產生autorin.inf 這個支病毒。
        該程序是啟動了兩個服務DCOM Server Process Launcher [DOCMLaunch] 及Terminal Service [ TermService]，DCOM是開啟防火的必要服務（相關資料可見http://support.microsoft.com/kb/892504/zh-tw），而Terminal Service則是比較奇怪的，一般使用者的電腦，並不需要將 [TermService] 服務啟動，不過，這個服務到是預設啟動的，SP2、SP3都有開，看來是遭到了利用。

整理：
1. autorun.inf 程式的產生，是跟隨 svchost.exe這個程序啟動，而更精細的說，是該程序開啟了TermService 服務，該服務停止後，autorun.inf 檔就不再產生
2. autorun.inf 這隻程式不會產生什麼奇怪的機碼、檔案等等，不過有病毒的行為
3. 這台電腦比較像是被植入木馬，或是成為了僵屍電腦，透過windows 的漏洞造成
4. 更新到 SP3後，及使Terminal Service是啟動的，也不會再出現 autorun.inf 病毒檔了
5. windows系統還是要乖乖的上安全性更新，不然，有很多的漏洞
6. 如果有使用IP分享器、個人主控式防火牆，這個問題似乎也不會發生