定義
所謂的鏡像劫持,就是在注冊表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionImage File Execution Options]處新建一個以殺毒軟件主程序命名的項,例如Rav.exe。
然後再創建一個子鍵“Debugger="C:WINDOWSsystem32drivers”。
以後隻要用戶雙擊 Rav.exe就會運行OSO的病毒文件,類似文件關聯的效果。
有關操作
autorun.inf 和oobtwtr.exe手動去除法:
1.首先下載autoruns
2.然後打開運行;
3.接下來單擊開始|運行|輸入cmd,回車|x:回車(x是你的盤符)
4.輸入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隐藏屬性);
5.輸入del autorun.inf
del oobtwtr.exe(删除)
用鏡像劫持防病毒
把system.rar解壓後的文件在d:syssetmenu目錄下後上傳參數就行了。
一旦開機會自動導入這個注冊表文件的.
所謂的IFEO就是Image File Execution Options
在是位于注冊表的:
由于這個項主要是用來調試程序用的,對一般用戶意義不大。默認是隻有管理員和local system有權讀寫修改
先看看常規病毒等怎麼修改注冊表吧。。
那些病毒、蠕蟲和,木馬等仍然使用衆所皆知并且過度使用的注冊表鍵值,如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
等等。
開始-運行-regedit,展開到IFEO:
然後選上Image File Execution Options,新建個項,然後,把這個項(默認在最後面)然後改成123.exe
Click here to open new windowCTRL+Mouse wheel to zoom in/out
選上123.exe這個項,然後默認右邊是空白的,我們點右鍵,新建個“字串符”,然後改名為“Debugger"
這一步要做好,然後回車,就可以。。。再雙擊該鍵,修改數據數值(其實就是路徑)。
把它改為 C:windowssystem32CMD.exe
然後找個擴展名為EXE的,(我這裡拿IcesWord.exe做實驗),改名為123.exe。
然後運行之。出現了DOS操作框,不知情的看着一閃閃的光标,肯定覺得特鬼異。
一次簡單的惡作劇就成咧。
同理,病毒等也可以利用這樣的方法,把殺軟、安全工具等名字再進行重定向,指向病毒路徑
SO..如果你把病毒清理掉後,重定向項沒有清理的話,由于IFEO的作用,沒被損壞的程序一樣運行不了!
原理:
NT系統在試圖執行一個從命令行調用的可執行文件運行請求時,先會檢查運行程序是不是可執行文件,如果是的話,再檢查格式的,然後就會檢查是否存在。。如果不存在的話,它會提示系統找不到文件或者是“指定的路徑不正确等等。。
當然,把這些鍵删除後,程序就可以運行咧,嘿嘿~
知道了後,怎麼預防呢?
一般就兩個方法了,第一種比較實用。任何人都可以。
方法一:
限制法。。
它要修改Image File Execution Options,所先要有權限,才可讀,于是。。一條思路就成了。。
開始-運行-regedt32 (這個是系統的32位注冊表,和注冊表操作方法差不多)
然後還是展開到IFEO:
記得把有管理權限用戶都要進行設置!然後選上“權限”勾選“拒絕”按确定後會有個提示,然後點确定就可以拉!
樣本在虛拟機上分析:
掃描結果如下:
File: 74E14F81.exe
SHA-1 Digest: 1d6472eec2e8940a696010abc2fb8082a1b7764e
Packers: Unknown
Scanner Scanner Version Result Scan Time
ArcaVir 1.0.4 Clean 3.07072 secs
avast! 3.0.0 Clean 0.00544286 secs
AVG Anti Virus 7.5.45 Clean 2.64557 secs
BitDefender 7.1 Generic.Malware.SBVdld.80A995A7 4.53346 secs
CATQuickHeal9.00 Clean 4.37579 secs
ClamAV 0.90/3236 Trojan.Agent-3107 0.116282 secs
Dr. Web 4.33.0 Clean 8.75147 secs
F-PROT 4.6.7 Clean 0.820435 secs
F-Secure 1.02 Clean 0.352535 secs
H+BEDV AntiVir 2.1.10-37 NULL 5.63827 secs
McAfee Virusscan 5.10.0 Clean 1.74781 secs
NOD32 2.51.1 Clean 2.92784 secs
Norman Virus Control 5.70.01 Clean 8.4982 secs
Panda 9.00.00 Clean 1.31422 secs
Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 secs
Trend Micro 8.310-1002 Possible_Infostl 0.106758 secs
VBA32 3.12.0 Protected File 3.48641 secs
VirusBuster 1.3.3 Clean 2.72778 secs
打開:AutoRun.inf文件内容如下:
[AutoRun]
open=74E14F81.exe
shellopen=打開(&O)
shellopenCommand=74E14F81.exe
shellopenDefault=1
shellexplore=資源管理器(&X)
shellexploreCommand=74E14F81.exe
運行此病毒74E14F81.exe 生成文件及注冊表變動:
C:Program FilesCommon FilesMicrosoft SharedMSInfoC68BC723.dll
在非系統根目錄下生成C68BC723.exe可執行文件(隐藏)
蔚為壯觀的IFEO,稍微有些名氣的都挂了:
在同樣位置的文件還有:
CCenter.exe
Rav.exe
RavMonD.exe
RavStub.exe
RavTask.exe
rfwcfg.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
SmartUp.exe
FileDsty.exe
RegClean.exe
kabaload.exe
safelive.exe
Ras.exe
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KWatch9x.exe
KWatch.exe
KWatchX.exe
TrojanDetector.exe
UpLive.EXE.exe
KVSrvXP.exe
KvDetect.exe
KRegEx.exe
kvol.exe
kvolself.exe
kvupload.exe
kvwsc.exe
UIHost.exe
IceSword.exe
iparmo.exe
mmsk.exe
adam.exe
MagicSet.exe
PFWLiveUpdate.exe
SREng.exe
WoptiClean.exe
scan32.exe
shcfg32.exe
mcconsol.exe
HijackThis.exe
mmqczj.exe
Trojanwall.exe
FTCleanerShell.exe
loaddll.exe
rfwProxy.exe
KsLoader.exe
KvfwMcl.exe
autoruns.exe
AppSvc32.exe
ccSvcHst.exe
isPwdSvc.exe
symlcsvc.exe
nod32kui.exe
avgrssvc.exe
RfwMain.exe
KAVPFW.exe
Iparmor.exe
nod32krn.exe
PFW.exe
RavMon.exe
KAVSetup.exe
NAVSetup.exe
SysSafe.exe
QHSET.exe
zxsweep.exe
AvMonitor.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UmxAgent.exe
UmxAttachment.exe
HKLMSYSTEMCurrentControlSetServicesSharedAccess
注冊表值: Start
新的值:
類型: REG_DWORD
值: 00000004
先前值:
類型: REG_DWORD
值: 00000002
HKLMSYSTEMCurrentControlSetServiceswscsvc
注冊表值: Start
新的值:
類型: REG_DWORD
值: 00000004
先前值:
類型: REG_DWORD
值: 00000003
HKLMSYSTEMCurrentControlSetServiceswuauserv
注冊表值: Start
新的值:
類型: REG_DWORD
值: 00000004
先前值:
類型: REG_DWORD
值: 00000003
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
注冊表值: Hidden
新的值:
類型: REG_DWORD
值: 00000002
先前值:
類型: REG_DWORD
值: 00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
注冊表值: CheckedValue
新的值:
類型: REG_DWORD
值: 00000000
先前值:
類型: REG_DWORD
值: 00000001
HKLMSOFTWARE MicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
注冊表值:
類型: REG_SZ
值:
HKCRCLSIDInProcServer32
注冊表值: (默認)
類型: REG_SZ
值: C:Program FilesCommon FilesMicrosoft SharedMSINFOC68BC723.dll
至于解決方法可參考崔老師的連接:IFEO hijack(映象劫持)使部分程序不可運行的解決方法
對這個病毒的清除注意幾點:(代表個人意見)
1、重啟進入安全模式下後所有硬盤操作都要右鍵打開,切記不要雙擊打開各個分區!
2、進入後要去掉隐藏的系統屬性。(這一步要先編輯注冊表否則實現不了,病毒已經更改注冊表使隐藏的文件選項失效)
3、找到隐藏的文件後删除即可!
4、手動删除添加的非法 IFEO 劫持項目,重啟後即可.
解決方法
如果電腦上有殺毒軟件或360什麼的但是中了鏡像劫持是安全軟件無法運行的話,其實隻需要更改一下安全軟件的名字就能不被鏡像劫持利用,這是最适合初學者的最簡單辦法。首先找到安全軟件的位置大部分都放在program files文件夾下。找到名字例如拿360做例子原文件路徑X:Program Files360safe原名為360Safe.exe 你把名字改為36015safe.exe(名字什麼都行不過就不能是安全軟件的名字)然後雙擊此安全軟件就會過鏡像劫持開始運行,後面的查殺就不需要說什麼了吧。
