瑞星卡卡安全论坛
baohe - 2007-6-10 14:30:00
最近这类IFEO 劫持问题突出。中招后,大多数用户恐怕只有哭的份儿了。
以前曾经呼吁过几次————通过注册表操作权限彻底封死IFEO这个键。但似乎没什么人重视。
今天,我拿一个实例来说明一下“不禁止IFEO键写入/创建”的后果之严重。希望能够引起重视。
试验用的病毒样本还是那个“随机8位数”病毒。假定它做完IFEO劫持后封死了这个键(我是将此毒植入系统后利用注册表操作权限将IFEO键封死的;病毒要做这事并不难)。
然后,用特殊手段使IceSword能够启动加载。
重启系统。
系统重启后,分别用autoruns(改名运行)和IceSword查看IFEO劫持项(图1)。
结果IceSword见到的IFEO劫持项一个不少;但autoruns的Image Hikacks空空荡荡!原因在于IFEO键不但不能写入了,读都不能读了!
如果没有这个能加载运行的IceSword,即使你改名运行了autoruns,扫了个autoruns日志又有何用?
图1
附件:
1558472007610142012.jpg
baohe - 2007-6-10 14:33:00
有人可能会说,我先想办法杀掉病毒,然后用IFEO劫持修复工具修复一下IFEO就OK了!
这种想法似乎有理。但实际情况怎么样呢?
再做个试验:
用IceSword创建一个IFEO劫持项123.exe,键值名Debugger,键值123.exe。
然后,运行苏任之的“恢复注册映象”。
运行完成后,再次用IceSword查看IFEO劫持的恢复结果——————根本不能恢复(图2)。
附件:
1558472007610142228.jpg
红夜鬼1 - 2007-6-10 14:43:00
如何管理呢
hotboy - 2007-6-10 14:46:00
指望大家都重视,可能性不大
公子小白k - 2007-6-10 14:48:00
我的icesword用不了,新下了几个也一样
baohe - 2007-6-10 14:48:00
http://forum.ikaka.com/topic.asp?board=28&artid=8319685&page=4
看55-57楼的图
公子小白k - 2007-6-10 14:48:00
我的icesword用不了,新下了几个也一样
baohe - 2007-6-10 14:53:00
| 引用: |
【公子小白k的贴子】我的icesword用不了,新下了几个也一样
……………… |
封死IFEO————根本就不用IceSword。
自己打开注册表编辑器,设置一下IFEO键的操作权限即可。
天月来了 - 2007-6-10 14:57:00
是得都设置一下了
这也算是天大的漏洞吧
baohe - 2007-6-10 15:10:00
丢楼了?
补充原来1楼的图
说明:先用IceSword创建一个IFEO劫持项。
然后用苏任之的“恢复注册映象”工具修复IFEO。
最后,用IceSword观察IFEO修复结果。
显然,恢复失败了!
可见:你不事先封死IFEO,中毒以后,病毒添加完劫持项,封死了这个键,麻烦就大了。
附件:
1558472007610150018.jpg
海生 - 2007-6-10 15:20:00
这就是防患于未来
大怪怪框框 - 2007-6-10 15:26:00
猫叔,怎么封了Image File Execution Options 啊?
baohe - 2007-6-10 15:29:00
| 引用: |
【大怪怪框框的贴子】猫叔,怎么封了Image File Execution Options 啊?
……………… |
http://forum.ikaka.com/topic.asp?board=28&artid=8319685&page=4
看55-57楼的图
网上也能找到这类办法。一样的。权限设置问题。
黑灯黑火 - 2007-6-10 15:48:00
老版,在SSM的注册表规则中添加Image File Execution Options的规则,有效果吗?
孤独更可靠 - 2007-6-10 16:16:00
退一步讲``如果能预先阻止病毒的运行``
那么后面就都可以省略了````
看来HIPS有待普及````
黑灯黑火 - 2007-6-10 16:25:00
好像无效...
baohe - 2007-6-10 16:31:00
| 引用: |
【黑灯黑火的贴子】
好像无效...
……………… |
啥无效?SSM不能阻截IFEO劫持?
贴图看看。
hotboy - 2007-6-10 16:33:00
| 引用: |
【黑灯黑火的贴子】老版,在SSM的注册表规则中添加Image File Execution Options的规则,有效果吗?
……………… |
建议用tiny封此键
逍遥浪子45 - 2007-6-10 16:43:00
这个,猫叔,我今天遇到个劫持运行命令--把运行重定向为征途网站,那个估计是带木马的征途网站...如何解决重定向问题啊?请教!~
过客2007 - 2007-6-10 16:48:00
嘎嘎,老老实实地从头看到尾了,什么也看懂。
楼主能弄个批处理啥的么?方便偶们这些菜菜。。。
zhongzhi - 2007-6-10 16:55:00
想下那个镜像恢复软件,得加入360坛子,还貌似设了个下载钮,怎么说呢?
黑灯黑火 - 2007-6-10 17:00:00
| 引用: |
【hotboy的贴子】
建议用tiny封此键
……………… |
看不懂E版的...
唉~~
ywl260 - 2007-6-10 17:24:00
怎么手工的封住这个漏洞啊?
spiritfire - 2007-6-10 18:42:00
| 引用: |
【baohe的贴子】
http://forum.ikaka.com/topic.asp?board=28&artid=8319685&page=4
看55-57楼的图
……………… |
冰刃怎样运行的?我的倒是能运行,不过总是自动缩到任务栏里面!点开就缩,抓狂.........
baohe - 2007-6-10 18:51:00
| 引用: |
【spiritfire的贴子】
冰刃怎样运行的?我的倒是能运行,不过总是自动缩到任务栏里面!点开就缩,抓狂.........
……………… |
可以借鉴那些"优良"病毒的启动加载方式.
八仙过海
spiritfire - 2007-6-10 19:08:00
| 引用: |
【baohe的贴子】
可以借鉴那些"优良"病毒的启动加载方式.
八仙过海
……………… |
刚刚想起了猫叔以前提过的SSM封IFEO的方法,封了下!
wbxhs - 2007-6-10 19:25:00
猫叔,怎么封啊!
教教嘛!
baohe - 2007-6-10 19:29:00
| 引用: |
【wbxhs的贴子】猫叔,怎么封啊!
教教嘛!
……………… |
http://forum.ikaka.com/topic.asp?board=28&artid=8319685&page=4
看55-57楼的图
33887 - 2007-6-10 19:31:00
唉,不知是删了那键好,还是改权限好.我还是备份整个注册表了,一步到位.
要是中招后恢复备份的注册表,病毒会不会阻止.
两个铁球 - 2007-6-10 19:44:00
谢谢Boahe版主一片拳拳之心!
问一个一直想问又不好意思问的问题:封那个键的时候,是把所有的帐户,包刮“system”的一切权限都封了呢,还是把SYSTEM帐户的权限依然保留?
© 2000 - 2026 Rising Corp. Ltd.