关于映像劫持威胁知识
最近流行的u盘传染性病毒AV终结者(暂命名)。利用windwos注册表映像诊断值对大多数杀毒软件和防火墙、安全软件等进行劫持。
现象是现今著名的防火墙、杀软、安全工具、辅助工具等全部无法运行。(因为我们大家宣传和推广德国avira过多,最近名气太大,人怕出名猪怕壮,结果没有逃过该病毒的黑名单,还排在第一位。都怪我们大家推广太积极了 ,以后要注意低调 )。
该病毒监视并关闭杀软、安全软件、防火墙、系统工具进程以及窗口
例如:
AntiVirus、TrojanFirewall、Kaspersky、JiangMin
Rising、RAV、RFW、KAV200、KAV6、McAfe ……几乎囊括当今所有杀软、防火墙、安全工具等。
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
……等文字
病毒删除注册表相关安全模式键值破坏安全模式。
比较新颖的就是利用映像劫持技术。
针对系统注册表中:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
其实说起映像劫持,就是当系统执行某一个文件时,被映像劫持的系统会自动跳转到另一个程序去,而如果映像为空,也就是没有设置另一个程序,自然,就出现错误提示了,比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是调用 abc.exe 来调试 svchost.exe,关键就是 abc.exe 可能不是调试器,所以它不会启动 svchost.exe 于是系统报错。
利用此功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RFW.exe项下的"Debugger"="logo_1.exe"
这个就是当你企图运行rfw.exe时,其实是转向运行logo_1.exe。如果病毒这样作,你只有运行rfw.exe就运行病毒了。
知道这个,如果病毒把所有的安全软件的可执行文件和服务等全部列入,就出现了av病毒的功能了。
不过,要解除这个很简单。把安全工具的exe文件改名就可以执行了。
彻底的办法是删除所有这类劫持的定义:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面有很多,正常的键很多。(千千万不要随便乱删除,否则会导致系统问题,例如,右键菜单无效)
经本人研究以后发现,有个特征,一个是新建的劫持键名普遍为安全软件的exe文件;另外一个是该新建的键下面有个Debugger值。找到这些删除就行了(只有一个例外:Your Image File Name Here without a path,这个的debugger值是"ntsd -d",注意不要删除,其他的只要有debugger值的把它的键一起删除)。
另外,利用autoruns这个工具可以容易的找出被劫持的映像值并删除。该工具为Sysinternals公司制作,我早已在3年前就开始使用并汉化。现在,由于微软公司看中该公司所有工具均比微软自己开发的强大,已经于今年年初收购了该公司。归属于微软TechNET。新版本的autoruns可以扫描出映像劫持值并进行处理(也要注意不可删除"Your Image File Name Here without a path”这项,在autoruns中设置隐藏微软项目,可以屏蔽该项显示,以免误删)。
特别说明:
如果是对付最近流行的av终结者病毒,首先删除该注册表内容是无效的,因为需要先干掉病毒的看护。
以上只是先介绍关于映像劫持的知识,让你知道自己的杀软们是怎么死的!! 如果要杀掉这个AV病毒,需要另外发文章说明了。不在此文范围。 |
发表于 2007-12-3 11:37:03