S60v3系统手机关于autorun.ini造成的问题报告
最近看到机油“无尽的蓝色海洋”的帖子,发现现在版子里面很多朋友遇到的死机问题都有可能是autorun.ini这个文件惹的祸,所以做了一些实验,现在汇报结果,希望对大家有所帮助。
测试方法:
在网上下载一个autorun病毒样本,解压缩使pc感染病毒,出现症状:双击无法打开分区,系统出现新进程sxs.exe,卡巴斯基提示为木马。
将小5连上pc,双击任意分区,断开后对小5的系统和程序进行检查。
一共有以下三个软件出现问题:
智能影院:在扫描影片的时候自动跳出
掌上书院:在扫描电子书的时候死机
自带播放器:在更新音乐库的时候跳出,显示“appctrl kern-exec3程序已关闭”
其余使用无异常。
解决办法:
重新连上pc,终止进程sxs.exe,右键打开分区(重要!),并显示隐藏文件,在各分区根目录下发现多出七个文件:
autorun.bat ;autorun.vbs; autorun.bin; autorun.ini; autorun.txt; autorun.reg; autorun.wsh; sxs.exe
都是隐藏、系统、只读属性。把所有这些文件删除,问题解决。
问题分析:
autorun.ini为系统配置文件,可以伪装成系统文件绕过一些杀毒软件和防火墙,它的作用为每次双击打开所在分区都会运行autorun.ini,然后链接到加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动,然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现一个循环链,最后的作用都是指向木马文件sxs.exe,使病毒能够自我复制和自动运行。
对我们的小5而言,这几个文件中的大部分都是塞班不支持的格式,所以以上的循环不可能在小5里面进行,但是autorun.ini是可以在塞班运行的,所以上面的几个软件扫描到这个文件的时候,autorun自动运行,但是找到的文件是无法运行的,造成程序无法进行而出错。而3版里面报错代码是“kern-exec3”正是程序进程遭遇空指针或者无法跳出的意思。
对于pc而言这是个病毒,但是对小5而言,因为它无法自我复制和传播,所以充其量只能算是一个bug而已。
解决的办法也很简单,按照上面红字的办法操作就可以,另外对pc也是一样。
