映象劫持使部分程序不可运行的解决方法

简介:
Image File Execution Options (IFEO in short)劫持

一、典型症状
双击某些可执行程序无法正常执行(或者说执行了没看到预期的结果)但改一个名字就可以。
二、典型案例:OSO.exe新变种60{.exe 美女游戏.pif (转载如下)
============================= 转载Start================================
OSO.exe 新变种
这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种,以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星,金山均没有命名,但在病毒行为上大同小异。以下是具体分析: 
此样本于2007年02月01日截获,跟上次的变种一样是采用记事本的图标,是一类IFEO映象劫持病毒。(变种不同这处用红色加粗标识)
病毒行为分析:病毒运行后,会不断打开run time error的消息提示,直到系统资源耗尽,当然用任务管理器,结束error窗口可暂时减少提示的生成。
生成文件如下:(以系统盘为C盘,XP SP2为例)
oso.exe的分析:
生成文件:
C:\WINDOWS\system32\drivers\60{.exe 38,510
C:\WINDOWS\system32\drivers\conime.exe          38,510
C:\WINDOWS\system32\severe.exe         38510
C:\WINDOWS\system32\.exe 38510
C:\WINDOWS\system32\.dll 38400
C:\WINDOWS\system32\hx1.dat 生成运行后自删除
C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll         删除卡卡助手的动态链接库
C:\WINDOWS\system32\drivers\etc\Hosts         1,465 字节 修改HOSTS文件,屏避对手的网站:
127.0.0.1              localhost
127.0.0.1              mmsk.cn
127.0.0.1              ikaka.com
127.0.0.1              safe.qq.com
127.0.0.1              360safe.com
127.0.0.1       
[url]www.mmsk.cn[/url]
127.0.0.1       [url]www.ikaka.com[/url]
127.0.0.1              tool.ikaka.com
127.0.0.1       
[url]www.360safe.com[/url]
127.0.0.1              zs.kingsoft.com
127.0.0.1              forum.ikaka.com
127.0.0.1              up.rising.com.cn
127.0.0.1              scan.kingsoft.com
127.0.0.1              kvup.jiangmin.com
127.0.0.1              reg.rising.com.cn
127.0.0.1              update.rising.com.cn
127.0.0.1              update7.jiangmin.com
127.0.0.1              download.rising.com.cn
127.0.0.1              dnl-us1.kaspersky-labs.com
127.0.0.1              dnl-us2.kaspersky-labs.com
127.0.0.1              dnl-us3.kaspersky-labs.com
127.0.0.1              dnl-us4.kaspersky-labs.com
127.0.0.1              dnl-us5.kaspersky-labs.com
127.0.0.1              dnl-us6.kaspersky-labs.com
127.0.0.1              dnl-us7.kaspersky-labs.com
127.0.0.1              dnl-us8.kaspersky-labs.com
127.0.0.1              dnl-us9.kaspersky-labs.com
127.0.0.1              dnl-us10.kaspersky-labs.com
127.0.0.1              dnl-eu1.kaspersky-labs.com
127.0.0.1              dnl-eu2.kaspersky-labs.com
127.0.0.1              dnl-eu3.kaspersky-labs.com
127.0.0.1              dnl-eu4.kaspersky-labs.com
127.0.0.1              dnl-eu5.kaspersky-labs.com
127.0.0.1              dnl-eu6.kaspersky-labs.com
127.0.0.1              dnl-eu7.kaspersky-labs.com
127.0.0.1              dnl-eu8.kaspersky-labs.com
127.0.0.1              dnl-eu9.kaspersky-labs.com
127.0.0.1              dnl-eu10.kaspersky-labs.com
X:\autorun.inf (X在此指非系统盘,不包括移动设备)
X:\oso.exe (X在此指非系统盘,不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif
注册表修改情况:
添加自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
60{
C:\WINDOWS\system32\.exe
---------------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
@ ---默认项
C:\WINDOWS\system32\severe.exe
被映象劫持的软件名列表(这次被劫持和软件名多了NOD32杀毒软件和EGHOST
         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\WINDOWS\system32\drivers\60{.exe         都是指向此项,以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
用一个批处理hx1.dat
修改系统时间为2004-1-22 使防病毒软件失效
         由于此病毒修改的内容较多手动修复相当麻烦,U盘病毒专杀工具USBCleaner可彻底清除此病毒。
此版本已在之官方网站发布,欢迎下载使用!
永久转向域名: [url]http://nick429.126.com[/url]
友情提示:U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具
============================= 转载End================================

三、解决方法:
可以手动删除添加的非法 IFEO 劫持项目,重启后即可。
四、提示:

防止Image File Execution Options        hijack(映象劫持)的方法是通过在SSM等行为防火墙中添加一条注册表的监控规则(如下图)来防御,
具体可google ,或点此此处链接。
图1
图2
~~~~~~~~~ 如下设置图与SSM版本有关 仅供参考,原作: [email]baohe@forume.ikaka.com[/email]
 
 
 
 
位置:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

五、部分技术内幕:

Image File Execution Options (IFEO in short)
You can set up your application to start Visual Studio when you launch the application from Windows. Visual Studio will load your application, ready for debugging, but will not commence debugging until you issue an execution command. Having Visual Studio launch the debugger in this way is useful for debugging services and COM out-of-proc servers.
To setup an application to launch the debugger automatically
  1. Start the Registry Editor (regedit).
  2. In the Registry Editor, open the HKEY_LOCAL_MACHINE folder.
  3. Navigate to HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options.
  4. Under the Image File Execution Options folder, locate the name of the application you want to debug (myapp.exe, for example). If you cannot find the application you want to debug:
    1. Right-click the Image File Execution Options folder and choose New Key from the shortcut menu.
    2. Right-click the new key and choose Rename from the shortcut menu.
    3. Edit the key name to the name of your application, for example, myapp.exe.
  5. Right-click the myapp.exe folder and choose New String Value from the shortcut menu.
  6. Right-click the new string value and choose Rename from the shortcut menu.
  7. Change the name to debugger.
  8. Right-click the new string value and choose Modify from the shortcut menu.
    The Edit String dialog box appears.
  9. In the Value data box, type devenv /debugexe.
  10. Click OK.
  11. From the Registry menu, choose Exit.
    The directory containing devenv.exe must be in your system path.
    Now, use any method to start your application. Visual Studio .NET will start and load the application.
    Note    If the application is managed, Visual Studio launches with the Debugger Type set to Auto. Before you debug, change the Debugger Type from Auto to Mixed in the Property Pages dialog box. For more information, see  Specifying Debugger Settings .

See Also

 
来自天下无毒
















本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/20665  ,如需转载请自行联系原作者

相关文章
|
开发框架 安全 .NET
记一次绕过安全狗命令执行上线
记一次绕过安全狗命令执行上线
210 1
|
SQL 开发框架 安全
绕过安全狗【后续再更新】
绕过安全狗【后续再更新】
137 0
|
存储 缓存 网络协议
3 个步骤教你轻松修复“WordPress开发重定向过多”
ordPress建站开发中,选择重定向设置之后,有时候多次重定向后就受到提示,那么如何修复“WordPress开发重定向过多”,北京六翼开源的工程师教你3步轻松修复这个问题,在下面的步骤中,您将学习如何识别冲突的重定向并快速修复您网站上的重定向循环。
3 个步骤教你轻松修复“WordPress开发重定向过多”
|
SQL 前端开发 安全
前端安全问题的解决方法
前端安全问题的解决方法
前端安全问题的解决方法
|
安全 Linux 开发工具
总结,复习,整合命令执行漏洞实现及其绕过(绕过方式大全)
>🍀1复习一下以前的内容 >🍀2总结整合一下过滤方法
256 0
|
云安全 弹性计算 安全
阿里云提示服务器有挖矿程序 该如何处理
临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器被植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之90的安全提醒,我们的服务器上并没有运行大量的网站,只是一个公司的展示网站,怎么可能会出现CPU%90以上的告警,然后致电阿里云技术帮忙检查服务器为什么CPU占用这么高,得知服务器被黑,导致中了挖矿木马,服务器含有挖矿进程,一直在不停的挖矿才导致CPU这么高。
1918 0
阿里云提示服务器有挖矿程序 该如何处理

热门文章

最新文章