爱华网镜像劫持是计算机术语,是一种将杀毒软件置于死地的技术,是病毒在注册表中新建的一个用以屏蔽杀毒软件的项,引诱用户点击相应的病毒文件启发文件关联的技术。
镜像劫持_镜像劫持 -镜像劫持的意义
在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options]处新建一个以杀毒软件主程序命名的项,例如rav.exe。然后再创建一个子键“Debugger="C:WINDOWSsystem32driversceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。
镜像劫持_镜像劫持 -镜像劫持有关操作
autorun.inf 和oobtwtr.exe手动去除法:
1.首先下载autoruns;(http://www.greendown.cn/soft/2151.html)
2.然后打开运行镜像劫持;
3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)
4.输入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隐藏属性);
5.输入delautorun.inf
deloobtwtr.exe(删除).
用镜像劫持防病毒
把system.rar解压后的文件在d:syssetmenu目录下后上传参数就行了。
易游开机会自动导入这个注册表文件的.
可以在百度上搜一下就知道了.
什么是IFEO?所谓的IFEO就是Image File Execution Options
在是位于注册表的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改
先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
等等。。。。。。。。。。。。。。。
随着网友的安全意识提高和众多安全软件的针对,都可以很容易的对上面的恶意启动项进行很好的处理
于是。。一种新的技术又产生了。。。。
那就是IFEO。。
嗯了,可能说了上面那么多,大家还弄不懂是什么意思,没关系,来做个小实验!
如上图了,开始-运行-regedit,展开到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
Click here to open new windowCTRL+Mouse wheel to zoom in/out
选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger"
这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。
把它改为 C:windowssystem32CMD.exe
(PS:C:是系统盘,如果你系统安装在D则改为D: 如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。)
好了,实验下。~
在此之前,记得先把“隐藏以知文件类型扩展名”的勾去掉!
然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。。。
然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。HOHO~
一次简单的恶作剧就成咧。。。
同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径
SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!
原理:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
当然,把这些键删除后,程序就可以运行咧,嘿嘿~
知道了后,怎么预防呢?
一般就两个方法了,第一种比较实用。。。任何人都可以。。
方法一:
限制法。。
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
如图了,记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!
嗯了,看下效果。。
样本在虚拟机上分析:
扫描结果如下:
File: 74E14F81.exe
SHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764e
Packers: Unknown
Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.07072 secs
avast! 3.0.0 Clean 0.00544286 secs
AVG Anti Virus 7.5.45 Clean 2.64557 secs
BitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secs
CATQuickHeal9.00 Clean 4.37579 secs
ClamAV0.90/3236 Trojan.Agent-3107 0.116282 secs
Dr. Web4.33.0 Clean 8.75147 secs
F-PROT 4.6.7 Clean 0.820435 secs
F-Secure 1.02 Clean 0.352535 secs
H+BEDVAntiVir2.1.10-37 NULL 5.63827 secs
McAfee VirusScan5.10.0 Clean 1.74781 secs
NOD32 2.51.1 Clean 2.92784 secs
Norman Virus Control5.70.01 Clean 8.4982 secs
Panda 9.00.00 Clean 1.31422 secs
Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secs
Trend Micro 8.310-1002 Possible_Infostl 0.106758 secs
vba323.12.0 Protected File 3.48641 secs
VirusBuster1.3.3 Clean 2.72778 secs
----------------------------------------------------------
打开:AutoRun.inf文件内容如下:
[AutoRun]
open=74E14F81.exe
shellopen=打开(&O)
shellopenCommand=74E14F81.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=74E14F81.exe
-------------------------------------------------------------
运行此病毒74E14F81.exe 生成文件及注册表变动:
C:Program FilesCommon FilesMicrosoft SharedMSInfoC68BC723.dll
在非系统根目录下生成C68BC723.exe可执行文件(隐藏)
--------------------------------------------------------------
蔚为壮观的IFEO,稍微有些名气的都挂了:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsagentsvr.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMonD.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavStub.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwcfg.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwsrv.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsAgent.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRsaupd.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsruniep.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssmartup.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFileDsty.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegClean.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0tray.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0Safe.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0rpt.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssafelive.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASMain.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKASTask.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAV32.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVDX.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskavstart.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKISLnchr.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskmailmon.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKMFilter.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPfw32.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskpfw32X.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKPfwSvc.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch9x.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatch.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKWatchX.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsTrojanDetector.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUpLive.EXE.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvsrvxp.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvDetect.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskregex.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvol.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvolself.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvupload.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskvwsc.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuihost.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiparmo.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmsk.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsadam.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMagicSet.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFWLiveUpdate.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSREng.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsWoptiClean.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsscan32.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsshcfg32.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmcconsol.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionshijackthis.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmqczj.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsTROJANWALL.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFTCleanerShell.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsloaddll.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwproxy.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKsLoader.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvfwMcl.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAppSvc32.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsccSvcHst.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsisPwdSvc.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssymlcsvc.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnod32kui.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavgrssvc.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsrfwmain.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVpfw.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiparmor.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnod32krn.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFW.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMon.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSetup.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNAVSetup.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSysSafe.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQHSET.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionszxsweep.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAvMonitor.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUmxCfg.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUmxFwHlp.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUmxPol.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUmxAgent.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsUmxAttachment.exe
-------------------------------------------------------
HKLMSYSTEMCurrentControlSetServicesSharedAccess
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000002
HKLMSYSTEMCurrentControlSetServiceswscsvc
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000003
HKLMSYSTEMCurrentControlSetServiceswuauserv
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000003
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
注册表值: Hidden
新的值:
类型: REG_DWORD
值: 00000002
先前值:
类型: REG_DWORD
值: 00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
注册表值: CheckedValue
新的值:
类型: REG_DWORD
值: 00000000
先前值:
类型: REG_DWORD
值: 00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
注册表值:
类型: REG_SZ
值:
HKCRCLSID\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:Program FilesCommon FilesMicrosoft SharedMSINFOC68BC723.dll
----------------------------------------------------
至于解决方法可参考崔老师的连接:IFEO hijack(映象劫持)使部分程序不可运行的解决方法
对这个病毒的清除注意几点:(代表个人意见)
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)
3、找到隐藏的文件后删除即可!
4、手动删除添加的非法 IFEO 劫持项目,重启后即可.
镜像劫持_镜像劫持 -镜像劫持的简单解决方法
如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,
其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:Program Files360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
