» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » zt 假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE   作者: 标题: zt 假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE 孤烟 注册用户 积分 128 发帖 126 注册 2007-2-9 #1  zt 假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE 为了不漏掉系统补丁，XP专业版用户（本人既是其中之一），不少人都将XP的WINDOWS UPDATE设置为“自动”。 近期流行带IFEO劫持的病毒。 于是，一个灵感浮现在脑中：如果病毒通过IFEO劫持XP系统的“WINDOWS UPDATE”和安全中心程序如何？ 找来一个病毒样本试试。 1、打开注册表编辑器，创建下列IFEO劫持项： *** 2、关闭安全软件，将womr.small.bn（本身就是一个通过IFEO劫持N多安全软件的蠕虫）植入系统。 3、用TINY的注册表防护模块禁止病毒程序再次写入其启动项以及IFEO劫持项。 4、删除病毒的启动项，删除病毒自带的IFEO劫持项。 5、将XP的自动更新设置为“自动”。 重启系统。连网。 连网后，Tiny的Activity Monitor窗口可见c:\windows\system32\wojhadp.exe已经加载运行！ 汗死！！！ 如果不是专业程序员，还是将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键彻底封死吧。 不知道怎么封？ 那就先导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 然后，将这个键删除！ [ Last edited by Legend on 2007-9-10 at 16:51 ] ※ ※ ※ 本文纯属【孤烟】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 测试环境见-自我介绍。 2007-9-10 15:52 aliu134 中级用户 积分 317 发帖 315 注册 2007-5-26 #2   这个东西对病毒也有反面性,叫以毒攻毒,我就不必要删除了, 哈哈 要知道这可以创建的,记得把权限改下! 映像劫持 ※ ※ ※ 本文纯属【aliu134】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 甘秋千摆 浪剑明心 随情而立 行益则侠 望夜秋忆思亲 恨苍天戏烬千百痴情人 2007-9-10 16:02 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号