在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被称为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
定义
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。[1]
有关操作
autorun.inf 和oobtwtr.exe手动去除法:1.首先下载autoruns2.然后打开运行 镜像劫持;3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)4.输入attrib autorun.inf -s -h -rattrib oobtwtr.exe -s -h -r (去隐藏属性);5.输入del autorun.infdel oobtwtr.exe(删除)[2] 用镜像劫持防病毒把system.rar解压后的文件在d:\sysset\menu目录下后上传参数就行了。一旦开机会自动导入这个注册表文件的.可以在百度上搜一下就知道了.什么是镜像劫持(IFEO)?[2] 所谓的IFEO就是Image File Execution Options在是位于注册表的:由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改先看看常规病毒等怎么修改注册表吧。。那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\NotifyHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce等等。。。。。。。。。。。。。。。随着网友的安全意识提高和众多安全软件的针对,都可以很容易的对上面的恶意启动项进行很好的处理于是。。一种新的技术又产生了。。。。那就是IFEO。。嗯了,可能说了上面那么多,大家还弄不懂是什么意思,没关系,来做个小实验!如上图了,开始-运行-regedit,展开到IFEO:然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exeClick here to open new windowCTRL+Mouse wheel to zoom in/out选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger"这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。。把它改为 C:\windows\system32\CMD.exe(PS:C:是系统盘,如果你系统安装在D则改为D: 如果是NT或2K的系统的话,把Windows改成Winnt,下面如有再T起,类推。。。)好了,实验下。~在此之前,记得先把“隐藏以知文件类型扩展名”的勾去掉!然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。。。然后运行之。。。嘿嘿。。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异~^_^。。HOHO~一次简单的恶作剧就成咧。。。同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!原理:NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。当然,把这些键删除后,程序就可以运行咧,嘿嘿~知道了后,怎么预防呢?一般就两个方法了,第一种比较实用。。。任何人都可以。。方法一:限制法。。它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)然后还是展开到IFEO:记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!样本在虚拟机上分析:扫描结果如下:File: 74E14F81.exeSHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764ePackers: UnknownScanner Scanner Version Result Scan TimeArcaVir 1.0.4 Clean 3.07072 secsavast! 3.0.0 Clean 0.00544286 secsAVG Anti Virus 7.5.45 Clean 2.64557 secsBitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secsCATQuickHeal9.00 Clean 4.37579 secsClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secsDr. Web 4.33.0 Clean 8.75147 secsF-PROT 4.6.7 Clean 0.820435 secsF-Secure 1.02 Clean 0.352535 secsH+BEDV AntiVir 2.1.10-37 NULL 5.63827 secsMcAfee Virusscan 5.10.0 Clean 1.74781 secsNOD32 2.51.1 Clean 2.92784 secsNorman Virus Control 5.70.01 Clean 8.4982 secsPanda 9.00.00 Clean 1.31422 secsSophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secsTrend Micro 8.310-1002 Possible_Infostl 0.106758 secsVBA32 3.12.0 Protected File 3.48641 secsVirusBuster 1.3.3 Clean 2.72778 secs打开:AutoRun.inf文件内容如下:[AutoRun]open=74E14F81.exeshell\open=打开(&O)shell\open\Command=74E14F81.exeshell\open\Default=1shell\explore=资源管理器(&X)shell\explore\Command=74E14F81.exe运行此病毒74E14F81.exe 生成文件及注册表变动:C:\Program Files\Common Files\Microsoft Shared\MSInfo\C68BC723.dll在非系统根目录下生成C68BC723.exe可执行文件(隐藏)蔚为壮观的IFEO,稍微有些名气的都挂了:在同样位置的文件还有:CCenter.exeRav.exeRavMonD.exeRavStub.exeRavTask.exerfwcfg.exerfwsrv.exeRsAgent.exeRsaupd.exeruniep.exeSmartUp.exeFileDsty.exeRegClean.exekabaload.exesafelive.exeRas.exeKASMain.exeKASTask.exeKAV32.exeKAVDX.exeKAVStart.exeKISLnchr.exeKMailMon.exeKMFilter.exeKPFW32.exeKPFW32X.exeKPFWSvc.exeKWatch9x.exeKWatch.exeKWatchX.exeTrojanDetector.exeUpLive.EXE.exeKVSrvXP.exeKvDetect.exeKRegEx.exekvol.exekvolself.exekvupload.exekvwsc.exeUIHost.exeIceSword.exeiparmo.exemmsk.exeadam.exeMagicSet.exePFWLiveUpdate.exeSREng.exeWoptiClean.exescan32.exeshcfg32.exemcconsol.exeHijackThis.exemmqczj.exeTrojanwall.exeFTCleanerShell.exeloaddll.exerfwProxy.exeKsLoader.exeKvfwMcl.exeautoruns.exeAppSvc32.execcSvcHst.exeisPwdSvc.exesymlcsvc.exenod32kui.exeavgrssvc.exeRfwMain.exeKAVPFW.exeIparmor.exenod32krn.exePFW.exeRavMon.exeKAVSetup.exeNAVSetup.exeSysSafe.exeQHSET.exezxsweep.exeAvMonitor.exeUmxCfg.exeUmxFwHlp.exeUmxPol.exeUmxAgent.exeUmxAttachment.exeHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess注册表值: Start新的值:类型: REG_DWORD值: 00000004先前值:类型: REG_DWORD值: 00000002HKLM\SYSTEM\CurrentControlSet\Services\wscsvc注册表值: Start新的值:类型: REG_DWORD值: 00000004先前值:类型: REG_DWORD值: 00000003HKLM\SYSTEM\CurrentControlSet\Services\wuauserv注册表值: Start新的值:类型: REG_DWORD值: 00000004先前值:类型: REG_DWORD值: 00000003HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced注册表值: Hidden新的值:类型: REG_DWORD值: 00000002先前值:类型: REG_DWORD值: 00000001HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL注册表值: CheckedValue新的值:类型: REG_DWORD值: 00000000先前值:类型: REG_DWORD值: 00000001HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表值:类型: REG_SZ值:HKCR\CLSID\\InProcServer32注册表值: (默认)类型: REG_SZ值: C:\Program Files\Common Files\Microsoft Shared\MSINFO\C68BC723.dll至于解决方法可参考崔老师的连接:IFEO hijack(映象劫持)使部分程序不可运行的解决方法对这个病毒的清除注意几点:(代表个人意见)1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)3、找到隐藏的文件后删除即可!4、手动删除添加的非法 IFEO 劫持项目,重启后即可.
简单解决方法
如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
