IEFO劫持也称为Windows文件映像劫持技术,在Windows注册表中有一项Image File Execution Options,主要用于调用对应程序,系统默认必须要有超级管理员级别用户才有权修改。
当此项被用户误改或发生故障时应用程序就会混乱,用户会发现运行的并不是自己指定的程序,例如双击IE后却跳出了Outlook的窗口,运行Word却打开了Excel,应用程序之间互相覆盖,这时就出现了映像劫持现象。通常这种情况很少发生,即使发生了多半也都是由于部分程序写入注册表时无意破坏了此项。
而AV终结者正是利用了这个少有人注意的地方,病毒侵入系统后首先窜改注册表中的Image File Execution Options项,查找系统中安装的安全类软件并在此替换为自身。
由此就出现了用户打开杀毒软件时丝毫没有反应或运行了其他程序,这时杀毒软件已经被病毒屏蔽重新定向了,系统此刻调用出来的正是病毒。于是有用户不停点击杀毒软件希望能启动,却不知这是在不停运行病毒文件,直到最后大量病毒同时运行系统资源耗尽。wWW.itcomPuTER.CoM.Cn
可以说映像劫持技术为众多恶性病毒又提供了一条逃避追杀的方法,通常的反病毒技术都会先从系统启动项、系统服务等处拦截病毒开机自动运行。而一旦病毒利用IFEO技术劫持了杀毒软件致使开机后系统自动加载杀毒软件时却自动运行了病毒。
同时,映像劫持实施容易,只要在Image File Execution Options项下多加一行代码就能劫持对应程序,可以说稍懂注册表的人都能做到。这就让人不得不担心一些病毒制作者看到AV终结者大获成功后,纷纷将目标瞄准于此,导致映像劫持技术泛滥,类似的病毒将蜂拥而出,网络安全面临严峻威胁。因此当前要严密防范此技术的滥用,不可掉以轻心。
下周安全情况预警 高
病毒名称:AV终结者(Win32.Troj.Poseidon)
病毒类型:Win32病毒
危害程度:★★★★☆
中毒症状:鉴于AV终结者强大的破坏力且极有可能衍生变种,本周继续预警。终止并破坏大量杀毒软件运行,感染可移动存储设备,无法进入安全模式,下载其它病毒木马。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\释放随机8位数字字母组成的.dll与同名.bat文件。
解决办法:下载最新专杀(http://zhuansha.duba.net/259.shtml),及时升级杀毒软件严密监控。
y66.us木马是什么
看来这伙犯罪分子丝毫不知悔改,硬要与广大网民斗争到底。继7y7、5y5、16a、9166之后一个新的y66.us又被炮制出来了,与前者无异,依旧是ARP欺骗感染全网用户,并利用微软MS06-14、MS07-17系统漏洞植入木马下载器,随后下载10多种盗号木马,盗取包括《魔兽世界》、《征途》、《梦幻西游》等多款热门网络游戏账户。
这些恶性ARP病毒将自身伪装成网关,在网民访问网页时调用并添加http://y66.us/2.js的病毒代码,打开任何网页杀毒软件都会报警且屡杀不净。
轮番ARP攻击已经使众多校园网、企业局域网、网吧遭受重创,垃圾数据在网内疯狂传播,使网络负荷超载,出现频繁掉线、网速下降严重等情况。部分院校的校园网甚至濒临崩溃的境地,客户端之间互相传毒,只能靠不断封杀IP地址的方式隔离染毒客户端,严重影响了正常的工作和学习。
建议网管及普通用户尝试以下方法应对:
1. 所有客户机及服务器下载并安装微软MS06-14、MS07-17补丁。
2. 关闭系统还原清空临时文件夹,局域网用户在路由器中屏蔽http://y66.us及对应IP地址,普通用户在IE受限地址中进行屏蔽。删除HOST文件中被添加的网址和IP地址。
3. 下载360ARP安装专杀工具(http://dl.360safe.com/kill_arp.exe)清理ARP病毒。
4. 将网卡MAC地址与IP地址绑定后进入安全模式,用杀毒软件彻底查杀侵入系统的木马下载器及残留病毒。
由于其传播速度和破坏性超强,预计此类ARP病毒还将持续更新,广大网民和网络管理员要提高警惕预防,及时屏蔽恶性病毒网站。
琴咯游戏网
恶意链接:www.qinlo.com
举报人数:509
危害程度 ★★★★
IP地址:60.191.239.100
恶意下载网站,其页面不仅嵌有病毒,此站所有软件下载地址均指向一个名为“Csetup2957.exe”的恶意软件包,强行安装大量木马及恶意插件,危害严重。
解决方法:在路由器或IE受限地址中屏蔽此站,如已中招则进入安全模式用Windows清理大师清理后,用杀毒软件全盘查杀。
什么是鼠标指针病毒
树树接到读者举报,说遭遇http://w.qbbd.com/0.htm 恶意网页。接到投诉后,树树对http://w.qbbd.com/0.htm进行了调查,它的主域名www.qbbd.com和二级域名均不能访问,而http://w.qbbd.com/0.htm页面内容显示空白(如图)。
树树在测试中发现,这个恶意页面居然躲过了多款杀毒软件的检测。可是,在查看源代码时,发现有一行代码为fuckie = http://d.qbbd.com/0.exe。
原来打开该页面后,浏览器会从此地址下载0.EXE恶意程序,这时主动防御软件报警,发现了名为Script.HttpDownloader.i的病毒。
由于该网页调用的恶意程序变种更新十分频繁,导致杀毒软件不能第一时间识别,这也是近期流氓网站的最新战术,和杀毒厂商开始比拼速度。
树树建议直接将此地址屏蔽,如有o.exe等不明程序出站访问,则予以拦截,然后进入安全模式全盘查杀。
其他流氓网站
www.henbang.net
恶意页面http://files.henbang.net/Ac
ed/550/601.htm
危害程度:★★★★
页面挂有利用ANI鼠标指针漏洞的病毒,恶意窜改浏览器,只要开启IE便自动弹出。
解决办法:立即安装补丁号为KB925902的微软MS07-017补丁程序,进入安全模式用杀毒软件全盘扫描清除。
闪讯下载站
恶意页面:http://www.yayalao.com
危害程度:★★★★
该下载站是一个恶意下载站,站内所有软件均为流氓软件包,网民受骗下载运行后即被强行安装数十种流氓插件及木马病毒。
解决办法:尽量去正规下载站,软件下载后用杀毒软件扫描确认无毒后再运行。建议直接屏蔽此站。
www.yxgm78.com
恶意页面:http://www.yxgm78.com/
危害程度:★★
典型的纯恶意网页,空白的页面嵌有7种恶意代码,并在页面中安装了两套统计系统统计受害人数和来源。
解决方法:断网后清空系统所有临时文件,关闭系统还原。进入安全模式用反流氓工具清理后再用杀毒软件全盘查杀,注意禁用不明启动项加载。
From:http://www.itcomputer.com.cn/Article/Network/201309/425.html