IEFO劫持也稱為Windows文件映像劫持技術,在Windows注冊表中有一項Image File Execution Options,主要用於調用對應程序,系統默認必須要有超級管理員級別用戶才有權修改。
當此項被用戶誤改或發生故障時應用程序就會混亂,用戶會發現運行的並不是自己指定的程序,例如雙擊IE後卻跳出了Outlook的窗口,運行Word卻打開了Excel,應用程序之間互相覆蓋,這時就出現了映像劫持現象。通常這種情況很少發生,即使發生了多半也都是由於部分程序寫入注冊表時無意破壞了此項。
而AV終結者正是利用了這個少有人注意的地方,病毒侵入系統後首先竄改注冊表中的Image File Execution Options項,查找系統中安裝的安全類軟件並在此替換為自身。
由此就出現了用戶打開殺毒軟件時絲毫沒有反應或運行了其他程序,這時殺毒軟件已經被病毒屏蔽重新定向了,系統此刻調用出來的正是病毒。於是有用戶不停點擊殺毒軟件希望能啟動,卻不知這是在不停運行病毒文件,直到最後大量病毒同時運行系統資源耗盡。TW.WInGwiT.cOM
可以說映像劫持技術為眾多惡性病毒又提供了一條逃避追殺的方法,通常的反病毒技術都會先從系統啟動項、系統服務等處攔截病毒開機自動運行。而一旦病毒利用IFEO技術劫持了殺毒軟件致使開機後系統自動加載殺毒軟件時卻自動運行了病毒。
同時,映像劫持實施容易,只要在Image File Execution Options項下多加一行代碼就能劫持對應程序,可以說稍懂注冊表的人都能做到。這就讓人不得不擔心一些病毒制作者看到AV終結者大獲成功後,紛紛將目標瞄准於此,導致映像劫持技術泛濫,類似的病毒將蜂擁而出,網絡安全面臨嚴峻威脅。因此當前要嚴密防范此技術的濫用,不可掉以輕心。
下周安全情況預警 高
病毒名稱:AV終結者(Win32.Troj.Poseidon)
病毒類型:Win32病毒
危害程度:★★★★☆
中毒症狀:鑒於AV終結者強大的破壞力且極有可能衍生變種,本周繼續預警。終止並破壞大量殺毒軟件運行,感染可移動存儲設備,無法進入安全模式,下載其它病毒木馬。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\釋放隨機8位數字字母組成的.dll與同名.bat文件。
解決辦法:下載最新專殺(http://zhuansha.duba.net/259.shtml),及時升級殺毒軟件嚴密監控。
From:http://tw.wingwit.com/Article/Network/201309/425.html