科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道IFEO劫持病毒的原理与分析

IFEO劫持病毒的原理与分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

IFEO劫持其实是指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键值Image File Execution Options前面字母的简写,该项一般用来调试命令。

作者:zdnet安全频道 来源:论坛整理 2008年6月16日

关键字: 病毒 IFEO

  • 评论
  • 分享微博
  • 分享邮件
IFEO劫持病毒的原理与分析
IFEO劫持其实是指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键值Image File Execution Options前面字母的简写,该项一般用来调试命令,很少被人们熟知,IFEO劫持主要是靠建立
Debugger键值来劫持需要劫持的程序的,其实原理很简单,但效果却很好.下面是几种方法劫持XX程序运行的代码

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cs2007.exe]
"Debugger"="c:\\CS作弊.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\log_1.exe]
"Debugger"="c:\\病毒.exe"
程序名做主键名,Debugger=一个不存在的文件
以上为即时生效的,当你在开始--运行里面写入需要运行的程序后回车,则提示想运行的程序找不到
但如果你是双击运行该劫持程序,就会毫无反应,无任何提示之类发生,显的异常诡秘....


下面是需要重启或刷新组策略的,提示操作受限制
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="cs2007.exe"
加2、3、4=程序名

以下是我在卡卡社区发布的帖子,记得好象是07.06.12日吧....具体图片可以下载附件得到

昨天 天月来了 让我分析个实例,那么就分析  对付IFEO劫持的病毒怎么解决
由于昨天有个MM向我求救,让我远程帮她解决电脑问题,正好遇到了IFEO劫持的病毒
那是个8位随机病毒,该MM机器装了卡巴6.0,天网防火墙,当远程看到的时候卡巴是灰色不可用状态
使用任何工具都被强行关闭,连批处理.BAT文件也无法正常使用,安全模式进入后就蓝屏...且无法使用双击打开盘符
CTRL+ALT+DEL调出任务管理器,发现可疑进程terebmi.exe以及nuygtvw.exe
于是用绑架克星HijackThis扫描系统,发现可疑启动
O4 - 启动项HKLM\\Run: [xywrebh] C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
O4 - 启动项HKLM\\Run: [vbcyhid] C:\Program Files\Common Files\System\terebmi.exe

由于中该病毒后在各分区生成C69ACFA9.exe和一个MSOCache(隐藏文件)还有个autorun.inf 文件
autorun.inf 的内容是下面的代码...
[AutoRun]
open=xywrebh.exe
shell\open=打开(&O)
shell\open\Command=nuygtvw.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=nuygtvw.exe

考虑到那两文件是隐藏的属性,必须先显示所有文件
我用批处理实现...
@cls
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg
显示后发现每个盘都出现C69ACFA9.exe和一个MSOCache(隐藏文件)还有个autorun.inf 文件,那么我用下面的代码搞定它...
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\C69ACFA9.exe & DEL /F /Q /A -R -H -S -A %%a\C69ACFA9.exe & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
MSOCache那文件可以直接删除在后面添点代码就可以了....由于考虑到那家伙是随机病毒,C69ACFA9.exe处自己修改为你机器里面中的那病毒文件的名字..
& ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF可以修改为自己电脑病毒的文件参数!~

病毒产生的文件就这么些,那么看下进程吧,我使用我的进程分析程序里面的工具,查看进程调用的DLL文件,刚双击出现CMD界面,就被病毒杀死了...
看来,那家伙禁止使用带到杀毒等字样的文件运行啊,不过最终被我成功扫描到了   进程调用的DLL文件,终于揭开了疑惑
在绑架克星HijackThis扫描的日志里面,卡巴和天网都有进程,去无法使用,终于被我发现了,那家伙把卡巴和天网调用的DLL全部给注销了...导致看到的只是空进程!
我的工具,扫描后看到内容如下!~
nuygtvw.exe           ‖→未定义程序
terebmi.exe           ‖→未定义程序
图像名                       PID 模块                                         
========================= ====== =============================================
avp.exe                     1128 暂缺  卡巴
pfw.exe                     1576 暂缺  天网                                      
avp.exe                     1584 暂缺  卡巴
nuygtvw.exe                 2648 ntdll.dll, kernel32.dll, USER32.DLL,         
                                 GDI32.dll, ADVAPI32.DLL, RPCRT4.dll,         
                                 OLEAUT32.DLL, msvcrt.dll, ole32.dll,         
                                 SHELL32.DLL, SHLWAPI.dll, URLMON.DLL,        
这两个就是病毒调用的DLL         VERSION.dll, WININET.DLL, CRYPT32.dll,      
                                 MSASN1.dll, IMM32.DLL, LPK.DLL, USP10.dll,   
                                 comctl32.dll, comctl32.dll, MSCTF.dll,      
                                 uxtheme.dll, mlang.dll, Secur32.dll,         
                                 wsock32.dll, WS2_32.dll, WS2HELP.dll,        
                                 mswsock.dll, hnetcfg.dll, wshtcpip.dll,      
                                 RASAPI32.DLL, rasman.dll, NETAPI32.dll,      
                                 TAPI32.dll, rtutils.dll, WINMM.dll,         
                                 sensapi.dll, USERENV.dll, DNSAPI.dll,        
                                 iphlpapi.dll, rasadhlp.dll, DShared.dll      
terebmi.exe                 3812 ntdll.dll, kernel32.dll, USER32.DLL,         
                                 GDI32.dll, ADVAPI32.DLL, RPCRT4.dll,         
                                 OLEAUT32.DLL, msvcrt.dll, ole32.dll,         
                                 SHELL32.DLL, SHLWAPI.dll, URLMON.DLL,        
                                 VERSION.dll, WININET.DLL, CRYPT32.dll,      
                                 MSASN1.dll, IMM32.DLL, LPK.DLL, USP10.dll,   
                                 comctl32.dll, comctl32.dll, MSCTF.dll,      
                                 Secur32.dll, uxtheme.dll, mlang.dll,         
                                 wsock32.dll, WS2_32.dll, WS2HELP.dll,        
                                 mswsock.dll, hnetcfg.dll, wshtcpip.dll,      
                                 RASAPI32.DLL, rasman.dll, NETAPI32.dll,      
                                 TAPI32.dll, rtutils.dll, WINMM.dll,         
                                 sensapi.dll, USERENV.dll, DNSAPI.dll,        
                                 iphlpapi.dll, rasadhlp.dll, DShared.dll   
我最终选择的操作是这样的,使用冰刃IceSword.EXE刚想用,发现无法用了,于是重命名了个随便的名字,能用了.
先禁止进程创建,然后结束掉nuygtvw.exe和terebmi.exe进程
然后顺着路径C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
C:\Program Files\Common Files\System\terebmi.exe直接用费尔强制删除工具--DEL掉,记得钩选,抑制病毒再生选项
既然把那病毒程序直接DEL掉了,应该就剩下注册表里面的启动和调用的DLL文件了,
用绑架客星修复病毒启动
O4 - 启动项HKLM\\Run: [xywrebh] C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
O4 - 启动项HKLM\\Run: [vbcyhid] C:\Program Files\Common Files\System\terebmi.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
将这个整个删除了。
不过似乎那病毒会自动创建呢个键值的,所以先把那主程序DEL掉就没办法了,哈哈,就这么简单的搞定了..

考虑到那病毒以后或许会禁用注册表,特别给个解锁注册表的.BAT工具
:jiesuo
@cls
@echo Windows Registry Editor Version 5.00 >jiesuo.reg
@echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg
@echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg
@regedit /s jiesuo.reg
@del /F /Q jiesuo.reg  
@echo ***********************************************************
@echo #                     解锁注册表完毕!                    #
@echo #                                                         #
@echo #                      按任意键退出                       #
@echo ***********************************************************
@pause>nul 2>nul
GOTO EXIT


随机8位数字字母专杀程序!~
:KILL
@echo off
color A
cls
title 随机8位数字字母专杀程序--by 逍遥@浪子@
@echo ************************************************************
@echo #                                                          #  
@echo #         欢迎使用随机8位数字字母专杀程序             #
@echo #                                                          #  
@echo #            对付病毒,决不留情!   by 逍遥@浪子@            #
@echo #                                                          #
@echo ************************************************************
:xianshi
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg
@echo ***********************************************************
@echo #                     显示所有文件完毕!                  #
@echo #                                                         #
@echo #                      按任意键继续                       #
@echo ***********************************************************
@pause>nul 2>nul
goto jiesuo
:jiesuo
@cls
@echo Windows Registry Editor Version 5.00 >jiesuo.reg
@echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]>>jiesuo.reg
@echo "DisableRegistryTools"=dword:00000000>>jiesuo.reg
@regedit /s jiesuo.reg
@del /F /Q jiesuo.reg  
@echo ***********************************************************
@echo #                     解锁注册表完毕!                    #
@echo #                                                         #
@echo #                      按任意键继续                       #
@echo ***********************************************************
@pause>nul 2>nul
GOTO ZD
:zd
@cls
@echo Windows Registry Editor Version 5.00 >%systemroot%\autorun.reg
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]>>%systemroot%\autorun.reg
@echo "NoDriveTypeAutoRun"=dword:000000ff>>%systemroot%\autorun.reg
@regedit /s %systemroot%\autorun.reg
@del /F /Q %systemroot%\autorun.reg
@cls
@echo ***********************************************************
@echo #                                                         #
@echo #              关闭所有驱动器自动播放完毕!               #
@echo #                                                         #
@echo #                    请按任意键继续                       #
@echo ***********************************************************
@pause>nul 2>nul
@GOTO qdyh
:qdyh
@cls
@echo ****************************************************************
@echo #  去掉可疑启动前面的勾,建议只保留两个启动项; 一个是"输入法" #
@echo #                                                              #
@echo #  另一个是"杀毒软件实时监控"(如果还装了防火墙,也请保留).      #
@echo #                                                              #
@echo #  ★ 下面是常见的启动项名:                                   #
@echo #                                                              #
@echo #  卡巴斯基==kav   瑞星==RavTask   金山==KAVStart          #
@echo #                                                              #
@echo #   江民==KV    输入法==ctfmon      天网==pfw.exe           #
@echo #                                                              #
@echo ****************************************************************
@start "" msconfig.exe
@echo  按任意键继续  
@pause>nul 2>nul
@GOTO DEL         
:DEL
@CLS
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options /f >nul 2>nul
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: )
set /p UserSelection=请输入要删除的病毒文件
ATTRIB -R -H -S -A %%a "%UserSelection%"
del /F /Q /A %%a "%UserSelection%"
@echo.
@echo            已经成功删除了该病毒文件!
@echo.
@echo      1:接着删除病毒文件    2:退出本程序
@echo.
@set /p UserSelection=输入您的选择(1、2 )
@if "%UserSelection%"=="1" goto del
@if "%UserSelection%"=="2" goto EXIT
goto del
:EXIT
CLS
@echo ***********************************************************
@echo #                     查杀病毒完毕!                     #
@echo #                                                         #
@echo #                      按任意键退出                       #
@echo ***********************************************************
@pause>nul 2>nul
GOTO EBD
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章