瑞星卡卡安全论坛

为了不漏掉系统补丁，XP专业版用户（本人既是其中之一），不少人都将XP的WINDOWS UPDATE设置为“自动”（图1）。
近期流行带IFEO劫持的病毒。
于是，一个灵感浮现在脑中：如果病毒通过IFEO劫持XP系统的“WINDOWS UPDATE”和安全中心程序如何？
找来一个病毒样本试试。

1、打开注册表编辑器，创建下列IFEO劫持项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscntfy.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP安全中心”）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP的自动更新”）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt1.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP的自动更新”）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wupdmgr.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP的自动更新管理”）

2、关闭安全软件，将womr.small.bn（本身就是一个通过IFEO劫持N多安全软件的蠕虫）植入系统。

3、用TINY的注册表防护模块禁止病毒程序再次写入其启动项以及IFEO劫持项。

4、删除病毒的启动项，删除病毒自带的IFEO劫持项。

5、将XP的自动更新设置为“自动”。

重启系统。连网。

连网后，Tiny的Activity Monitor窗口可见c:\windows\system32\wojhadp.exe已经加载运行！

汗死！！！

如果不是专业程序员，还是将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键彻底封死吧。
不知道怎么封？
那就先导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
然后，将这个键删除！

图1

附件: 155847200765175646.jpg

图2是autoruns扫到的这种IFEO劫持的实况（病毒程序已经被我删除）。

图2

附件: 155847200765175744.jpg

趁猫叔在问下怎么用SSM监控病毒产生日志．

学习``

先顶再看``

看完了``有点汗``

的确``思路很可怕```

还有,老大,给你发的那个随机八位数字.dat测试了么?

引用:

【xzlx3354的贴子】趁猫叔在问下怎么用SSM监控病毒产生日志． ………………

附件: 155847200765180933.jpg

引用:

【孤独更可靠的贴子】还有,老大,给你发的那个随机八位数字.dat测试了么? ………………

测试过。
采用下面这个帖子的方法也能行：
http://forum.ikaka.com/topic.asp?board=28&artid=8318165

引用:

【baohe的贴子】 ………………

这样好像不相关的东西也会有很多．

引用:

【xzlx3354的贴子】 这样好像不相关的东西也会有很多． ………………

是的。
但若不这样，你会感到“内容不全”。
SSM不是用来观测病毒的。

顶

应该锁定IFEO

呵呵,猫叔总有奇怪的念头,但愿别被病毒作者产生灵感,充分完善病毒的能力....那样我就完了,那个,希望猫叔能提供点安全工具我

那个,对于IFEO劫持,尚且不是很明白,似乎是用注册表限制该程序的运行吧?这个和我用注册表限制病毒运行是一样的原理....

前些时间做了个DLL木马查杀程序,到目前为止还没人需要,真是郁闷...虽然能发现可疑的DLL并强制删除,但无法区分被病毒感染后文件大小没变的文件....需要手动人工分辨...汗....还有个缺点就是那个,需要干净的系统无DLL木马......所以说,那个,中了DLL木马再用我的那工具就没用了,呵呵,现在发现时间特别有限..没什么时间在反病毒和写程序上了,郁闷啊...
  请猫叔一定提供点工具我,最好写个详细教程,好让我把文章整成网页,把工具打包,一齐发放给朋友们

【回复“逍遥浪子45”的帖子】
我是彻底“根治”了IFEO劫持。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
将这个整个删除了。
删除前，导出了这个键。
万一以后要用，还可以导入。

嘿嘿,猫叔的方法实在是高,麻烦提供点工具下载地址啊...那个Tiny网上没找到....还有啥实用的工具都推荐下吧!~

最好能有高人汉化个....我是英文不好,只能汗化了.........

【回复“逍遥浪子45”的帖子】
Tiny汉化版的下载————可以用百度搜索。
这种软件，我坚持用原版的。

哈哈,猫叔的回复实在是迅速啊,呵呵,马上去搜索下啦!~

严重晕倒．．．．http://www.ca.com/us/products/product.aspx?ID=5785

找是找到了，却不知道哪个页面下载．．．．．猫叔啊，帮忙找下下载页啊，看到英文怪

晕呼的．．．．．．能直接传份我，然后把截图翻译了最好．．．奢侈的愿望，希望猫叔

能满足我的要求，帮忙写个教程给我啊！～就象下面的图那样．．

附件: 756462200765210506.bmp

猫叔，那是否可以劫持系统的正常启动项？

引用:

【琼台听雨的贴子】猫叔，那是否可以劫持系统的正常启动项？ ………………

不是劫持启动项，是劫持程序。
理论上，IFEO可以劫持所有.exe。
本帖说的被劫持的WINDOWS UPDATE和“安全中心”就是系统程序。

就是随开机启动的程序，启动的过程会被劫持吗？

【回复“逍遥浪子45”的帖子】
http://www.ca.com/us/products/product.aspx?ID=5785
这是CA HIPS 的下载。
我比较鄙视CA HIPS。
找找TINY的下载吧。

引用:

【琼台听雨的贴子】就是随开机启动的程序，启动的过程会被劫持吗？ ………………

所有的.exe
如果哪天有人搞个winlogon.exe劫持会怎么样？
只是个想法。
有本事、有兴趣的可以试试。不建议瞎搞啊。
真的搞得进不了系统了，我不负责。

……估计有这样就无语了

注册表那个键值项删了有啥后果,怕怕不敢弄.只能用杀软和ssm监控那个地方.都是设置成提示操作.
    要是杀软和ssm都挨挂了,截不截持好像也没意思了,只能动手清了

猫叔，先天下之忧而忧！

引用:

【baohe的贴子】 所有的.exe 如果哪天有人搞个winlogon.exe劫持会怎么样？ 只是个想法。 有本事、有兴趣的可以试试。不建议瞎搞啊。 真的搞得进不了系统了，我不负责。 ………………

那么这个系统应该就报效了``

估计安全模式都进不了``

引用:

【33887的贴子】注册表那个键值项删了有啥后果,怕怕不敢弄.只能用杀软和ssm监控那个地方.都是设置成提示操作.     要是杀软和ssm都挨挂了,截不截持好像也没意思了,只能动手清了 ………………

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
————————先导出，后删除。
万一以后要用，再导入即可。
我已将家里台式机（XP专业版）的这个键删除了。目前，没有异常。XP家庭版——根本就没这个键。

引用:

【逍遥浪子45的贴子】哈哈,猫叔的回复实在是迅速啊,呵呵,马上去搜索下啦!~ 严重晕倒．．．．http://www.ca.com/us/products/product.aspx?ID=5785 找是找到了，却不知道哪个页面下载．．．．．猫叔啊，帮忙找下下载页啊，看到英文怪 晕呼的．．．．．．能直接传份我，然后把截图翻译了最好．．．奢侈的愿望，希望猫叔 能满足我的要求，帮忙写个教程给我啊！～就象下面的图那样．． ………………

这里有关于tiny 的东西
http://bbs.kafan.cn/viewthread.php?tid=36904&extra=page%3D1

边顶边看

希望猫叔一些比较可怕的想法别弄假成真的了。一旦成为现实，我这样的菜鸟肯定应付不了。
祈祷中………………