镜像劫持,干掉杀软,
[ 2008/03/31 10:11 | by selboo ]
在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\\WINDOWS\\system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。
autorun.inf 和oobtwtr.exe手动去除法:
1.首先下载autoruns;(http://www.greendown.cn/soft/2151.html)
2.然后打开运行 镜像劫持;
3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)
4.输入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隐藏属性);
5.输入del autorun.inf
del oobtwtr.exe(删除).
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\\WINDOWS\\system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。
autorun.inf 和oobtwtr.exe手动去除法:
1.首先下载autoruns;(http://www.greendown.cn/soft/2151.html)
2.然后打开运行 镜像劫持;
3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)
4.输入attrib autorun.inf -s -h -r
attrib oobtwtr.exe -s -h -r (去隐藏属性);
5.输入del autorun.inf
del oobtwtr.exe(删除).
