瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 7个可疑键值,供大家分析用
最硬的石头 - 2008-7-28 22:19:00
一:Run键值
典型病毒:AV终结者变种
目的现象:开机启动双进程坚守、关闭杀毒程序等。
检测位置:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
补充说明:该位置属于常规启动项,很多程序会写。

二:执行挂钩
典型病毒:大量恶意软件以及病毒均会写入
目的现象:杀毒软件难于清理、关闭杀毒程序等。
检测位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
补充说明:很少有正常程序会写入该位置,病毒几率非常大。典型例外:瑞星反病毒软件

三:Appinit_dlls****:default2: (小心点)
典型病毒:机器狗新变种、磁碟机变种。
目的现象:安全模式也加载、关闭杀毒程序等。
检测位置:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
补充说明:很少有正常程序会写入该位置,病毒几率变态大。典型例外:AVG互联网安全套装

四:服务以及驱动:
典型病毒:灰鸽子变种
目的现象:难于发现与清理、关闭杀毒程序等。
检测位置:
HKLM\System\CurrentControlSet\Services
补充说明:病毒写入底层服务与rootkits驱动,导致清除困难。

五:映像劫持
典型病毒:大多数AV病毒均会写入此位置
目的现象:简单粗暴地让某个特定文件名的文件无法执行
检测位置:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
补充说明:被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时,为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。

六:目前已知删除安全软件文件的检测位置
典型病毒:飘雪变种
目的现象:杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
补充说明:已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。

七:Boot.ini文件
典型病毒:磁碟机变种
目的现象:独占访问Boot.ini文件,导致未更新的grub重启删除工具失效。
检测位置:Boot.ini
补充说明:在Vista操作系统下对该项检测没有意义。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA; TheWorld)
hotboy - 2008-7-28 23:05:00
目前危险的键值大大超过了这些
1
查看完整版本: 7个可疑键值,供大家分析用