网络安全

位置:IT落伍者 >> 网络安全 >> 浏览文章

什么是IEFO劫持


发布日期:2018年12月24日
 
什么是IEFO劫持
这两周恶性病毒AV终结者疯狂肆虐网络,出现当日就“宰杀”几十款国内外知名杀毒软件及防火墙,该病毒使用一种名为IFEO劫持的技术,导致众多杀毒软件无法运行的原因也在于此,普通网民或许会问究竟什么是IEFO劫持?IEFO劫持也称为Windows文件映像劫持技术,在Windows注册表中有一项Image File Execution Options,主要用于调用对应程序,系统默认必须要有超级管理员级别用户才有权修改。当此项被用户误改或发生故障时应用程序就会混乱,用户会发现运行的并不是自己指定的程序,例如双击IE后却跳出了Outlook的窗口,运行Word却打开了Excel,应用程序之间互相覆盖,这时就出现了映像劫持现象。通常这种情况很少发生,即使发生了多半也都是由于部分程序写入注册表时无意破坏了此项。而AV终结者正是利用了这个少有人注意的地方,病毒侵入系统后首先窜改注册表中的Image File Execution Options项,查找系统中安装的安全类软件并在此替换为自身。由此就出现了用户打开杀毒软件时丝毫没有反应或运行了其他程序,这时杀毒软件已经被病毒屏蔽重新定向了,系统此刻调用出来的正是病毒。于是有用户不停点击杀毒软件希望能启动,却不知这是在不停运行病毒文件,直到最后大量病毒同时运行系统资源耗尽。TW.WInGwiT.cOM可以说映像劫持技术为众多恶性病毒又提供了一条逃避追杀的方法,通常的反病毒技术都会先从系统启动项、系统服务等处拦截病毒开机自动运行。而一旦病毒利用IFEO技术劫持了杀毒软件致使开机后系统自动加载杀毒软件时却自动运行了病毒。同时,映像劫持实施容易,只要在Image File Execution Options项下多加一行代码就能劫持对应程序,可以说稍懂注册表的人都能做到。这就让人不得不担心一些病毒制作者看到AV终结者大获成功后,纷纷将目标瞄准于此,导致映像劫持技术泛滥,类似的病毒将蜂拥而出,网络安全面临严峻威胁。因此当前要严密防范此技术的滥用,不可掉以轻心。下周安全情况预警 高病毒名称:AV终结者(Win32.Troj.Poseidon)病毒类型:Win32病毒危害程度:★★★★☆中毒症状:鑒于AV终结者强大的破坏力且极有可能衍生变种,本周继续预警。终止并破坏大量杀毒软件运行,感染可移动存储设备,无法进入安全模式,下载其它病毒木马。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\释放随机8位数字字母组成的.dll与同名.bat文件。解决办法:下载最新专杀(http://zhuansha.duba.net/259.shtml),及时升级杀毒软件严密监控。

上一篇:免费q币的骗局

下一篇:如何通过暴库入侵