网易学院

网易学院

icon 专题导读
AV终结者、U盘寄生虫、帕虫、随即8位数、映像劫持、IFEO、重定向劫持……也许还有其他说法,但这些所指的都是同一类病毒,其中提到频率最高的就是AV终结者和映像劫持。这类病毒可以关掉你所有的防护软件,而且你会发现,即便进入了安全模式,病毒也清除不了!

名词解释
1、AV终结者:Anti Virus killer(杀毒软件终结者)
这是一类病毒,并不是某一个具体的病毒,江民称之为“U盘寄生虫”、金山称之为“AV终结者”、瑞星称之为“帕虫”。

2、映像劫持:Image File Execution Options(IFEO)
位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。

预防与专杀

电脑安全防护知识
视频分"系统安全基础设置","系统帐号安全"等五大部分,配有详细的教程。
个人PC机安全设置
学院迅速联合中安网培推出黑客音频及视频教程。
江民杀毒软件使用教程
学院联合江民科技共同推出这套杀KV2007杀毒软件视频教程。

icon

病毒解析

 

× 详尽分析:AV终结者采用重定向劫持技术
该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播。[详细内容]

× 安全基础知识:认识病毒的映象劫持技术
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。 虽然映像劫持是系统自带的功能,对我们一般用户来说根本没什么用的必要,但是就有一些病毒通过映像劫持来做文章,表面上看起来是运行了一个程序,实际上病毒已经在后台运行了。[详细内容]

icon

病毒本源

 

× “AV终结者”病毒呈企业化运作 疑是人为纵毒
经过对近段时间“AV终结者”病毒传播特点以及危害程度的分析,金山毒霸反病毒专家戴光剑推测,在“AV终结者”病毒的背后极有可能隐藏着一个巨大的集团化运做链条,而链条的第一步就是人为纵毒。[详细内容]

× 追本溯源揭秘“AV终结者”病毒的生态链
我在思考另一个问题——“AV终结者”病毒,是否和“熊猫烧香”一样,是盗号集团的杰作??首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒,如何能引起这样大规模的传播呢?仅仅靠病毒程序的自然衍生,显然不能做到这一点。那么,这个病毒极可能是人为操纵的结果。[详细内容]

× 专家称“AV终结者”破坏过程被精心策划
近日,被称为“安全杀手”的AV终结者病毒愈演愈烈,截止到6月12日,变种数已达500多个,波及人群超过10万人。金山毒霸反病毒专家戴光剑指出,“AV终结者”病毒的破坏过程被精心策划,用户一旦感染,几乎所有的解决途径均遭破坏,很难清除。[详细内容]

icon

病毒散播

 

× “AV终结者”大量破坏杀毒软件与防火墙
AV终结者是一个有相当破坏力和危害力的病毒,它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。[详细内容]

× “AV终结者”融合最流行病毒技术于一身
“AV终结者”新变种,集合目前最流行的病毒技术于一身,它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,造成电脑无法进入安全模式,反病毒网站无法打开。普通用户一旦感染该病毒,格式化系统盘后病毒仍无法清除。[详细内容]

icon

病毒清除

 

× 专家谈手工查杀AV终结者病毒详解
“AV终结者”病毒泛滥成灾,身边不断有朋友的电脑倒在“AV终结者”的刀下。但是,我们现在面对的敌人不再是散兵游勇,而是一群分工合作的病毒生产、传播、盗号工作室,其从业人数可能比杀毒软件公司更多。[详细内容]

× 手动清除那些利用了映像劫持技术的病毒
一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。[详细内容]

icon

后记:以彼之道,还施彼身

【编后语】病毒能够利用映象劫持,我们为什么就不可以反其道而行之,同样利用映象劫持干掉病毒呢!如果我们把病毒程序给重定向了,是不是病毒就不能运行了,答案是肯定的!下面就自己试着玩吧!
==================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\sppoolsv.exe]
"Debugger"="123.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\logo_1.exe]
"Debugger"="123.exe"
==================================================
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天!
当然你也可以把病毒程序重定向到你要启动的程序中去,如果你想让QQ开机自启动,你可以把上面的123.exe改为你QQ的安装路径即可,但前提是这些病毒必须能随系统的启动而启动。

icon

联系我们

策划制作:胡晓 资料来源:赛迪网 联系电话:020-85105319
About NetEase - 公司简介 - 联系方法 - 招聘信息 - 客户服务 - 隐私政策 - 网络营销 - 网站地图
网易公司版权所有
©1997-2018