感染型下载器新变种的IFEO劫持————有长进但还是不大灵光！ bbs.ikaka.com

baohe - 2007-5-30 21:28:00

最近，IFEO劫持型感染型下载器非常时髦。一天就可出几个变种。
刚刚在江民论坛看见了一个新出来的下载器。
关闭Tiny的windows security，运行了一下（咱不欺负你）。

这个下载器在IFEO劫持内容方面与其前辈没什么不同（同样收录了俺常用的Tiny、ssm、autoruns、IceSword）。长进之处在于：
中招后，即使改名运行了autoruns（更何况它还不让改名），发现的IFEO劫持项，也删不掉（拒绝访问）。
牛哈！！
我调戏一下你这个牛。

我不关闭你的进程（图1）。关闭你的进程再删你的IFEO————显得有点儿欺负你。

附件: 1558472007530211826.jpg

baohe - 2007-5-30 21:29:00

你添加的IFEO劫持项怎么少了？瑞星的、Tiny、的SSM的劫持项没了吧（图2）？

不关闭你的进程，一样删你的IFEO。autoruns删不掉，我用别的删。用刀能砍，用斧子也能剁！实在不行，还能用牙咬呢！

你输了吧

附件: 1558472007530211939.jpg

wbxhs - 2007-5-30 21:43:00

顶一下！

loveperday - 2007-5-30 22:11:00

寒，怎么听不明白了。。。。
猫叔到底是怎么删的？

baohe - 2007-5-30 22:13:00

引用:

【loveperday的贴子】寒，怎么听不明白了。。。。
猫叔到底是怎么删的？
………………

用IceSword删的
不过，我的 IceSword的名字不是IceSword了，路径————也不在常规的Program Fiels文件夹。

天月来了 - 2007-5-30 22:13:00

猫猫成天就会逗我们。

又不肯说明了。

呵呵！！！！！！！！！！！！！

baohe - 2007-5-30 22:15:00

引用:

【天月来了的贴子】猫猫成天就会逗我们。

又不肯说明了。

呵呵！！！！！！！！！！！！！
………………

在这里，说得太明了，不就没“启发”的意义了吗？
是不？

天月来了 - 2007-5-30 22:17:00

呵呵！！是啊！！

loveperday - 2007-5-30 22:17:00

冰刃删注册表好像是有优势，忽略权限限制？
我要样本~~
zhangqi802@163.com
猫叔顺便看下我的那个帖子好么，关于注册表监视的

天月来了 - 2007-5-30 22:50:00

那个我也好奇呢。

过客2007 - 2007-5-30 22:53:00

那个家伙,用卡卡也能找到,不过,就是一个一个地删除麻烦

过客2007 - 2007-5-30 22:54:00

那个程序后面的路径是什么?

过客2007 - 2007-5-30 22:54:00

这个是什么:C:\windows\system32\wocfiba.exe

干什么用的?

baohe - 2007-5-31 8:51:00

引用:

【过客2007的贴子】这个是什么:C:\windows\system32\wocfiba.exe

干什么用的?
………………

这就是IFEO劫持。
图2显示的是病毒添加的部分IFEO（涉及我的应用程序的劫持项已经被我删除了）。
C:\windows\system32\wocfiba.exe————病毒程序的路径及文件名。
有了那些劫持项，被劫持的那N个程序（杀软、防火墙.....）均不能加载，加载运行的是病毒程序C:\windows\system32\wocfiba.exe。

瑞星卡卡安全论坛