微点交流论坛

标题: zt 假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE [打印本页]

作者: 孤烟 时间: 2007-9-10 15:52 标题: zt 假如病毒通过IEFO劫持XP的“安全中心”和“WINDOWS UPDATE

为了不漏掉系统补丁，XP专业版用户（本人既是其中之一），不少人都将XP的WINDOWS UPDATE设置为“自动”。
近期流行带IFEO劫持的病毒。
于是，一个灵感浮现在脑中：如果病毒通过IFEO劫持XP系统的“WINDOWS UPDATE”和安全中心程序如何？
找来一个病毒样本试试。

1、打开注册表编辑器，创建下列IFEO劫持项：
***
2、关闭安全软件，将womr.small.bn（本身就是一个通过IFEO劫持N多安全软件的蠕虫）植入系统。

3、用TINY的注册表防护模块禁止病毒程序再次写入其启动项以及IFEO劫持项。

4、删除病毒的启动项，删除病毒自带的IFEO劫持项。

5、将XP的自动更新设置为“自动”。

重启系统。连网。

连网后，Tiny的Activity Monitor窗口可见c:\windows\system32\wojhadp.exe已经加载运行！

汗死！！！

如果不是专业程序员，还是将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键彻底封死吧。
不知道怎么封？
那就先导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
然后，将这个键删除！

[ Last edited by Legend on 2007-9-10 at 16:51 ]

作者: aliu134 时间: 2007-9-10 16:02
这个东西对病毒也有反面性,叫以毒攻毒,我就不必要删除了, 哈哈
要知道这可以创建的,记得把权限改下!
映像劫持

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn