定义
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。
然后再创建一个子键“Debugger="C:WINDOWSsystem32drivers”。
以后只要用户双击 Rav.exe就会运行OSO的病毒文件,类似文件关联的效果。
有关操作
autorun.inf 和oobtwtr.exe手动去除法:
1.首先下载autoruns
2.然后打开运行;
3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)
4.输入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隐藏属性);
5.输入del autorun.inf
del oobtwtr.exe(删除)
用镜像劫持防病毒
把system.rar解压后的文件在d:syssetmenu目录下后上传参数就行了。
一旦开机会自动导入这个注册表文件的.
所谓的IFEO就是Image File Execution Options
在是位于注册表的:
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改
先看看常规病毒等怎么修改注册表吧。。
那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
等等。
开始-运行-regedit,展开到IFEO:
然后选上Image File Execution Options,新建个项,然后,把这个项(默认在最后面)然后改成123.exe
Click here to open new windowCTRL+Mouse wheel to zoom in/out
选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger"
这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。
把它改为 C:windowssystem32CMD.exe
然后找个扩展名为EXE的,(我这里拿IcesWord.exe做实验),改名为123.exe。
然后运行之。出现了DOS操作框,不知情的看着一闪闪的光标,肯定觉得特鬼异。
一次简单的恶作剧就成咧。
同理,病毒等也可以利用这样的方法,把杀软、安全工具等名字再进行重定向,指向病毒路径
SO..如果你把病毒清理掉后,重定向项没有清理的话,由于IFEO的作用,没被损坏的程序一样运行不了!
原理:
NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。。
当然,把这些键删除后,程序就可以运行咧,嘿嘿~
知道了后,怎么预防呢?
一般就两个方法了,第一种比较实用。任何人都可以。
方法一:
限制法。。
它要修改Image File Execution Options,所先要有权限,才可读,于是。。一条思路就成了。。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)
然后还是展开到IFEO:
记得把有管理权限用户都要进行设置!然后选上“权限”勾选“拒绝”按确定后会有个提示,然后点确定就可以拉!
样本在虚拟机上分析:
扫描结果如下:
File: 74E14F81.exe
SHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764e
Packers: Unknown
Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.07072 secs
avast! 3.0.0 Clean 0.00544286 secs
AVG Anti Virus 7.5.45 Clean 2.64557 secs
BitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secs
CATQuickHeal9.00 Clean 4.37579 secs
ClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secs
Dr. Web 4.33.0 Clean 8.75147 secs
F-PROT 4.6.7 Clean 0.820435 secs
F-Secure 1.02 Clean 0.352535 secs
H+BEDV AntiVir 2.1.10-37 NULL 5.63827 secs
McAfee Virusscan 5.10.0 Clean 1.74781 secs
NOD32 2.51.1 Clean 2.92784 secs
Norman Virus Control 5.70.01 Clean 8.4982 secs
Panda 9.00.00 Clean 1.31422 secs
Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secs
Trend Micro 8.310-1002 Possible_Infostl 0.106758 secs
VBA32 3.12.0 Protected File 3.48641 secs
VirusBuster 1.3.3 Clean 2.72778 secs
打开:AutoRun.inf文件内容如下:
[AutoRun]
open=74E14F81.exe
shellopen=打开(&O)
shellopenCommand=74E14F81.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=74E14F81.exe
运行此病毒74E14F81.exe 生成文件及注册表变动:
C:Program FilesCommon FilesMicrosoft SharedMSInfoC68BC723.dll
在非系统根目录下生成C68BC723.exe可执行文件(隐藏)
蔚为壮观的IFEO,稍微有些名气的都挂了:
在同样位置的文件还有:
CCenter.exe
Rav.exe
RavMonD.exe
RavStub.exe
RavTask.exe
rfwcfg.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
SmartUp.exe
FileDsty.exe
RegClean.exe
kabaload.exe
safelive.exe
Ras.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KWatch9x.exe
KWatch.exe
KWatchX.exe
TrojanDetector.exe
UpLive.EXE.exe
KVSrvXP.exe
KvDetect.exe
KRegEx.exe
kvol.exe
kvolself.exe
kvupload.exe
kvwsc.exe
UIHost.exe
IceSword.exe
iparmo.exe
mmsk.exe
adam.exe
MagicSet.exe
PFWLiveUpdate.exe
SREng.exe
WoptiClean.exe
scan32.exe
shcfg32.exe
mcconsol.exe
HijackThis.exe
mmqczj.exe
Trojanwall.exe
FTCleanerShell.exe
loaddll.exe
rfwProxy.exe
KsLoader.exe
KvfwMcl.exe
autoruns.exe
AppSvc32.exe
ccSvcHst.exe
isPwdSvc.exe
symlcsvc.exe
nod32kui.exe
avgrssvc.exe
RfwMain.exe
KAVPFW.exe
Iparmor.exe
nod32krn.exe
PFW.exe
RavMon.exe
KAVSetup.exe
NAVSetup.exe
SysSafe.exe
QHSET.exe
zxsweep.exe
AvMonitor.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UmxAgent.exe
UmxAttachment.exe
HKLMSYSTEMCurrentControlSetServicesSharedAccess
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000002
HKLMSYSTEMCurrentControlSetServiceswscsvc
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000003
HKLMSYSTEMCurrentControlSetServiceswuauserv
注册表值: Start
新的值:
类型: REG_DWORD
值: 00000004
先前值:
类型: REG_DWORD
值: 00000003
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
注册表值: Hidden
新的值:
类型: REG_DWORD
值: 00000002
先前值:
类型: REG_DWORD
值: 00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
注册表值: CheckedValue
新的值:
类型: REG_DWORD
值: 00000000
先前值:
类型: REG_DWORD
值: 00000001
HKLMSOFTWARE MicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
注册表值:
类型: REG_SZ
值:
HKCRCLSIDInProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:Program FilesCommon FilesMicrosoft SharedMSINFOC68BC723.dll
至于解决方法可参考崔老师的连接:IFEO hijack(映象劫持)使部分程序不可运行的解决方法
对这个病毒的清除注意几点:(代表个人意见)
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)
3、找到隐藏的文件后删除即可!
4、手动删除添加的非法 IFEO 劫持项目,重启后即可.
解决方法
如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,其实只需要更改一下安全软件的名字就能不被镜像劫持利用,这是最适合初学者的最简单办法。首先找到安全软件的位置大部分都放在program files文件夹下。找到名字例如拿360做例子原文件路径X:Program Files360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。
