更新时间:2023-12-09 11:01
镜像劫持是指在针对杀毒软件方面,OSO病毒采用了一种新技术。效果是为了类似文件关联。通过这种技术也能够将杀毒软件置于死地。
autorun.inf 和oobtwtr.exe手动去除法:
1.首先下载autoruns
2.然后打开运行 镜像劫持;
3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)
4.输入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隐藏属性);
5.输入del autorun.inf
del oobtwtr.exe(删除)
用镜像劫持防病毒
一旦开机会自动导入这个注册表文件的.
可以在百度上搜一下就知道了.
什么是镜像劫持(IFEO)?
所谓的IFEO就是Image File Execution Options
在是位于注册表的:
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改
先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
等等。。。。。。。。。。。。。。。
随着网友的安全意识提高和众多安全软件的针对,都可以很容易的对上面的恶意启动项进行很好的处理
于是。。一种新的技术又产生了。。。。
那就是IFEO。。
嗯了,可能说了上面那么多,大家还弄不懂是什么意思,没关系,来做个小实验!
如上图了,开始-运行-regedit,展开到IFEO:
然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
Click here to open new windowCTRL+Mouse wheel to zoom in/out
选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger”
这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。
(PS:C:是系统盘,如果你系统安装在D则改为D: 如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。)
好了,实验下。~
在此之前,记得先把“隐藏已知文件类型扩展名”的勾去掉!
然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。。。
然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。HOHO~
一次简单的恶作剧就成咧。。。
同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径
SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!
原理:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
当然,把这些键删除后,程序就可以运行咧,嘿嘿~
知道了后,怎么预防呢?
一般就两个方法了,第一种比较实用。。。任何人都可以。。
方法一:
限制法。。
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到IFEO:
记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!
样本在虚拟机上分析:
扫描结果如下:
File: 74E14F81.exe
SHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764e
Packers: Unknown
Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.07072 secs
avast! 3.0.0 Clean 0.00544286 secs
AVG Anti Virus 7.5.45 Clean 2.64557 secs
BitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secs
CATQuickHeal9.00 Clean 4.37579 secs
ClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secs
Dr. Web 4.33.0 Clean 8.75147 secs
F-PROT 4.6.7 Clean 0.820435 secs
F-Secure 1.02 Clean 0.352535 secs
H+BEDV AntiVir 2.1.10-37 NULL 5.63827 secs
McAfee Virusscan 5.10.0 Clean 1.74781 secs
NOD32 2.51.1 Clean 2.92784 secs
Norman Virus Control 5.70.01 Clean 8.4982 secs
Panda 9.00.00 Clean 1.31422 secs
Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secs
Trend Micro 8.310-1002 Possible_Infostl 0.106758 secs
VBA32 3.12.0 Protected File 3.48641 secs
VirusBuster 1.3.3 Clean 2.72778 secs
打开:AutoRun.inf文件内容如下:
[AutoRun]
open=74E14F81.exe
运行此病毒74E14F81.exe 生成文件及注册表变动:
在非系统根目录下生成C68BC723.exe可执行文件(隐藏)
蔚为壮观的IFEO,稍微有些名气的都挂了:
在同样位置的文件还有:
CCenter.exe
Rav.exe
RavMonD.exe
RavStub.exe
RavTask.exe
rfwcfg.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
SmartUp.exe
FileDsty.exe
RegClean.exe
kabaload.exe
safelive.exe
Ras.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KWatch9x.exe
KWatch.exe
KWatchX.exe
TrojanDetector.exe
UpLive.EXE.exe
KVSrvXP.exe
KvDetect.exe
KRegEx.exe
kvol.exe
kvolself.exe
kvupload.exe
kvwsc.exe
UIHost.exe
IceSword.exe
iparmo.exe
mmsk.exe
adam.exe
MagicSet.exe
PFWLiveUpdate.exe
SREng.exe
WoptiClean.exe
scan32.exe
shcfg32.exe
mcconsol.exe
HijackThis.exe
mmqczj.exe
Trojanwall.exe
FTCleanerShell.exe
loaddll.exe
rfwProxy.exe
KsLoader.exe
KvfwMcl.exe
autoruns.exe
AppSvc32.exe
ccSvcHst.exe
isPwdSvc.exe
symlcsvc.exe
nod32kui.exe
avgrssvc.exe
RfwMain.exe
KAVPFW.exe
Iparmor.exe
nod32krn.exe
PFW.exe
RavMon.exe
KAVSetup.exe
NAVSetup.exe
SysSafe.exe
QHSET.exe
zxsweep.exe
AvMonitor.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UmxAgent.exe
UmxAttachment.exe
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000002
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000003
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000003
注册表值: Hidden
新的值:
类型: REG_DWORD
值: 00000002
先前值:
类型: REG_DWORD
值: 00000001
注册表值: CheckedValue
新的值:
类型: REG_DWORD
值: 00000000
先前值:
类型: REG_DWORD
值: 00000001
注册表值:
类型: REG_SZ
值:
注册表值: (默认)
类型: REG_SZ
至于解决方法可参考崔老师的连接:IFEO hijack(映象劫持)使部分程序不可运行的解决方法
对这个病毒的清除注意几点:(代表个人意见)
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)
3、找到隐藏的文件后删除即可!
4、手动删除添加的非法 IFEO 劫持项目,重启后即可.
如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。