假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE
为了不漏掉系统补丁,XP专业版用户(本人既是其中之一),不少人都将XP的WINDOWS UPDATE设置为“自动”(图1)。
近期流行带IFEO劫持的病毒。
于是,一个灵感浮现在脑中:如果病毒通过IFEO劫持XP系统的“WINDOWS UPDATE”和安全中心程序如何?
找来一个病毒样本试试。
1、打开注册表编辑器,创建下列IFEO劫持项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscntfy.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"(劫持“XP安全中心”)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"(劫持“XP的自动更新”)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt1.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"(劫持“XP的自动更新”)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wupdmgr.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"(劫持“XP的自动更新管理”)
2、关闭安全软件,将womr.small.bn(本身就是一个通过IFEO劫持N多安全软件的蠕虫)植入系统。
3、用TINY的注册表防护模块禁止病毒程序再次写入其启动项以及IFEO劫持项。
4、删除病毒的启动项,删除病毒自带的IFEO劫持项。
5、将XP的自动更新设置为“自动”。
重启系统。连网。
连网后,Tiny的Activity Monitor窗口可见c:\windows\system32\wojhadp.exe已经加载运行!
汗死!!!
如果不是专业程序员,还是将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键彻底封死吧。
不知道怎么封?
那就先导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
然后,将这个键删除!
图1
