定義
所謂的鏡像劫持,就是在註冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]處新建一個以防毒軟體主程式命名的項,例如Rav.exe。然後再創建一個子鍵“Debugger="C:\WINDOWS\system32\drivers\”。以後只要用戶雙擊 Rav.exe就會運行OSO的病毒檔案,類似檔案關聯的效果。
有關操作
autorun.inf 和oobtwtr.exe手動去除法:
1.首先下載autoruns
2.然後打開運行 鏡像劫持;
3.接下來單擊開始|運行|輸入cmd,回車|x:回車(x是你的盤符)
4.輸入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隱藏屬性);
5.輸入del autorun.inf
del oobtwtr.exe(刪除)
用鏡像劫持防病毒
把system.rar解壓後的檔案在d:\sysset\menu目錄下後上傳參數就行了。
一旦開機會自動導入這個註冊表檔案的.
可以在百度上搜一下就知道了.
什麼是鏡像劫持(IFEO)?
所謂的IFEO就是Image File Execution Options
在是位於註冊表的:
由於這個項主要是用來調試程式用的,對一般用戶意義不大。默認是只有管理員和local system有權讀寫修改
先看看常規病毒等怎么修改註冊表吧。。
那些病毒、蠕蟲和,木馬等仍然使用眾所皆知並且過度使用的註冊表鍵值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
等等。。。。。。。。。。。。。。。
隨著網友的安全意識提高和眾多安全軟體的針對,都可以很容易的對上面的惡意啟動項進行很好的處理
於是。。一種新的技術又產生了。。。。
那就是IFEO。。
嗯了,可能說了上面那么多,大家還弄不懂是什麼意思,沒關係,來做個小實驗!
如上圖了,開始-運行-regedit,展開到IFEO:
然後選上Image File Execution Options,新建個項,然後,把這個項(默認在最後面)然後改成123.exe
Click here to open new windowCTRL+Mouse wheel to zoom in/out
選上123.exe這個項,然後默認右邊是空白的,我們點右鍵,新建個“字串符”,然後改名為“Debugger"
這一步要做好,然後回車,就可以。。。再雙擊該鍵,修改數據數值(其實就是路徑)。。
把它改為 C:\windows\system32\CMD.exe
(PS:C:是系統盤,如果你系統安裝在D則改為D: 如果是NT或2K的系統的話,把Windows改成Winnt,下面如有再T起,類推。。。)
好了,實驗下。~
在此之前,記得先把“隱藏已知檔案類型擴展名”的勾去掉!
然後找個擴展名為EXE的,(我這裡拿IcesWord.exe做實驗),改名為123.exe。。。
然後運行之。。。嘿嘿。。出現了DOS操作框,不知情的看著一閃閃的游標,肯定覺得特鬼異~^_^。。HOHO~
一次簡單的惡作劇就成咧。。。
同理,病毒等也可以利用這樣的方法,把殺軟、安全工具等名字再進行重定向,指向病毒路徑
SO..如果你把病毒清理掉後,重定向項沒有清理的話,由於IFEO的作用,沒被損壞的程式一樣運行不了!
原理:
NT系統在試圖執行一個從命令行調用的執行檔運行請求時,先會檢查運行程式是不是執行檔,如果是的話,再檢查格式的,然後就會檢查是否存在。。如果不存在的話,它會提示系統找不到檔案或者是“指定的路徑不正確等等。。
當然,把這些鍵刪除後,程式就可以運行咧,嘿嘿~
知道了後,怎么預防呢?
一般就兩個方法了,第一種比較實用。。。任何人都可以。。
方法一:
限制法。。
它要修改Image File Execution Options,所先要有許可權,才可讀,於是。。一條思路就成了。。
開始-運行-regedt32 (這個是系統的32位註冊表,和註冊表操作方法差不多)
然後還是展開到IFEO:
記得把有管理許可權用戶都要進行設定!然後選上“許可權”勾選“拒絕”按確定後會有個提示,然後點確定就可以拉!
樣本在虛擬機上分析:
掃描結果如下:
File: 74E14F81.exe
SHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764e
Packers: Unknown
Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.07072 secs
avast! 3.0.0 Clean 0.00544286 secs
AVG Anti Virus 7.5.45 Clean 2.64557 secs
BitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secs
CATQuickHeal9.00 Clean 4.37579 secs
ClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secs
Dr. Web 4.33.0 Clean 8.75147 secs
F-PROT 4.6.7 Clean 0.820435 secs
F-Secure 1.02 Clean 0.352535 secs
H+BEDV AntiVir 2.1.10-37 NULL 5.63827 secs
McAfee Virusscan 5.10.0 Clean 1.74781 secs
NOD32 2.51.1 Clean 2.92784 secs
Norman Virus Control 5.70.01 Clean 8.4982 secs
Panda 9.00.00 Clean 1.31422 secs
Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secs
Trend Micro 8.310-1002 Possible_Infostl 0.106758 secs
VBA32 3.12.0 Protected File 3.48641 secs
VirusBuster 1.3.3 Clean 2.72778 secs
打開:AutoRun.inf檔案內容如下:
[AutoRun]
open=74E14F81.exe
shell\open=打開(&O)
shell\open\Command=74E14F81.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=74E14F81.exe
運行此病毒74E14F81.exe 生成檔案及註冊表變動:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\C68BC723.dll
在非系統根目錄下生成C68BC723.exe執行檔(隱藏)
蔚為壯觀的IFEO,稍微有些名氣的都掛了:
在同樣位置的檔案還有:
CCenter.exe
Rav.exe
RavMonD.exe
RavStub.exe
RavTask.exe
rfwcfg.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
SmartUp.exe
FileDsty.exe
RegClean.exe
kabaload.exe
safelive.exe
Ras.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KWatch9x.exe
KWatch.exe
KWatchX.exe
TrojanDetector.exe
UpLive.EXE.exe
KVSrvXP.exe
KvDetect.exe
KRegEx.exe
kvol.exe
kvolself.exe
kvupload.exe
kvwsc.exe
UIHost.exe
IceSword.exe
iparmo.exe
mmsk.exe
adam.exe
MagicSet.exe
PFWLiveUpdate.exe
SREng.exe
WoptiClean.exe
scan32.exe
shcfg32.exe
mcconsol.exe
HijackThis.exe
mmqczj.exe
Trojanwall.exe
FTCleanerShell.exe
loaddll.exe
rfwProxy.exe
KsLoader.exe
KvfwMcl.exe
autoruns.exe
AppSvc32.exe
ccSvcHst.exe
isPwdSvc.exe
symlcsvc.exe
nod32kui.exe
avgrssvc.exe
RfwMain.exe
KAVPFW.exe
Iparmor.exe
nod32krn.exe
PFW.exe
RavMon.exe
KAVSetup.exe
NAVSetup.exe
SysSafe.exe
QHSET.exe
zxsweep.exe
AvMonitor.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UmxAgent.exe
UmxAttachment.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
註冊表值: Start
新的值:
類型: REG_DWORD
值: 00000004
先前值:
類型: REG_DWORD
值: 00000002
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
註冊表值: Start
新的值:
類型: REG_DWORD
值: 00000004
先前值:
類型: REG_DWORD
值: 00000003
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
註冊表值: Start
新的值:
類型: REG_DWORD
值: 00000004
先前值:
類型: REG_DWORD
值: 00000003
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
註冊表值: Hidden
新的值:
類型: REG_DWORD
值: 00000002
先前值:
類型: REG_DWORD
值: 00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
註冊表值: CheckedValue
新的值:
類型: REG_DWORD
值: 00000000
先前值:
類型: REG_DWORD
值: 00000001
HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
註冊表值:
類型: REG_SZ
值:
HKCR\CLSID\\InProcServer32
註冊表值: (默認)
類型: REG_SZ
值: C:\Program Files\Common Files\Microsoft Shared\MSINFO\C68BC723.dll
至於解決方法可參考崔老師的連線:IFEO hijack(映象劫持)使部分程式不可運行的解決方法
對這個病毒的清除注意幾點:(代表個人意見)
1、重啟進入安全模式下後所有硬碟操作都要右鍵打開,切記不要雙擊打開各個分區!
2、進入後要去掉隱藏的系統屬性。(這一步要先編輯註冊表否則實現不了,病毒已經更改註冊表使隱藏的檔案選項失效)
3、找到隱藏的檔案後刪除即可!
4、手動刪除添加的非法 IFEO 劫持項目,重啟後即可.
簡單解決方法
如果電腦上有防毒軟體或360什麼的但是中了鏡像劫持是安全軟體無法運行的話,
其實只需要更改一下安全軟體的名字就能不被鏡像劫持利用,個人認為這是最適合初學者的最簡單辦法。
首先找到安全軟體的位置大部分都放在program files資料夾下。 找到名字例如拿360做例子原檔案路徑X:\Program Files\360safe原名為360Safe.exe 你把名字改為36015safe.exe(名字什麼都行不過就不能是安全軟體的名字)然後雙擊此安全軟體就會過鏡像劫持開始運行,後面的查殺就不需要說什麼了吧。這小操作可以解決燃眉之急啦。
