這兩周惡性病毒AV終結者瘋狂肆虐網路,出現當日就“宰殺”幾十款國內外知名殺毒軟體及防火牆,該病毒使用一種名為IFEO劫持的技術,導致眾多殺毒軟體無法運行的原因也在於此,普通線民或許會問究竟什麼是IEFO劫持?
IEFO劫持也稱為Windows檔映像劫持技術,在Windows註冊表中有一項Image File Execution Options,主要用於調用對應程式,系統默認必須要有超級管理員級別用戶才有權修改。
當此項被用戶誤改或發生故障時應用程式就會混亂,用戶會發現運行的並不是自己指定的程式,例如雙擊IE後卻跳出了Outlook的窗口,運行Word卻打開了Excel,應用程式之間互相覆蓋,這時就出現了映像劫持現象。通常這種情況很少發生,即使發生了多半也都是由於部分程式寫入註冊表時無意破壞了此項。
而AV終結者正是利用了這個少有人注意的地方,病毒侵入系統後首先竄改註冊表中的Image File Execution Options項,查找系統中安裝的安全類軟體並在此替換為自身。
由此就出現了用戶打開殺毒軟體時絲毫沒有反應或運行了其他程式,這時殺毒軟體已經被病毒遮罩重新定向了,系統此刻調用出來的正是病毒。於是有用戶不停點擊殺毒軟體希望能啟動,卻不知這是在不停運行病毒檔,直到最後大量病毒同時運行系統資源耗盡。
可以說映像劫持技術為眾多惡性病毒又提供了一條逃避追殺的方法,通常的反病毒技術都會先從系統啟動項、系統服務等處攔截病毒開機自動運行。而一旦病毒利用IFEO技術劫持了殺毒軟體致使開機後系統自動加載殺毒軟體時卻自動運行了病毒。
同時,映像劫持實施容易,只要在Image File Execution Options項下多加一行代碼就能劫持對應程式,可以說稍懂註冊表的人都能做到。這就讓人不得不擔心一些病毒製作者看到AV終結者大獲成功後,紛紛將目標瞄準於此,導致映像劫持技術氾濫,類似的病毒將蜂擁而出,網路安全面臨嚴峻威脅。因此當前要嚴密防範此技術的濫用,不可掉以輕心。
下周安全情況預警 高
病毒名稱:AV終結者(Win32.Troj.Poseidon)
病毒類型:Win32病毒
危害程度:★★★★☆
中毒症狀:鑒於AV終結者強大的破壞力且極有可能衍生變種,本周繼續預警。終止並破壞大量殺毒軟體運行,感染可移動存儲設備,無法進入安全模式,下載其他病毒木馬。在C rogram FilesCommon FilesMicrosoft SharedMSInfo釋放隨機8位數字字母組成的.dll與同名.bat檔。
解決辦法:下載最新專殺(http://zhuansha.duba.net/259.shtml),及時升級殺毒軟體嚴密監控。 |
