¿Qué significa secuestro de imágenes? ¿Por qué los virus y troyanos pueden secuestrar imágenes?
Método de eliminación manual de autorun.inf y oobtwtr.exe:
1. Primero descargue autoruns (//soft/2151.html). ) soft/2151.html)
2. Luego abra Ejecutar secuestro de imagen
3. Luego haga clic en Inicio | Ingrese cmd, ingrese x: ingrese (x es su letra de unidad de disco)
4. Escriba attrib autorun.inf -s -h -r
attrib oobtwtr .exe -s -h -r (eliminar atributos ocultos);
5 .Escriba el autorun.inf
del oobtwtr.exe (eliminar
Utilice la imagen para secuestrar el software antivirus,
La facilidad de uso importará automáticamente este archivo de registro. Puede buscarlo en Baidu p>
¿Qué es IFEO? El llamado IFEO es Opciones de ejecución de archivos de imagen
Se encuentra en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\. Microsoft\Windows NT \CurrentVersion\Image File Execution Options
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options y seleccione Image File Execution Options, cree un nuevo proyecto y coloque este Cambiar el elemento (predeterminado al final) a 123.exe
Haga clic aquí para abrir una nueva ventana CTRL Rueda del mouse para acercar/alejar
Seleccione el elemento 123.exe. 123.exe, luego el lado derecho está en blanco de forma predeterminada. Hacemos clic derecho, creamos un nuevo "Carácter de cadena" y luego le cambiamos el nombre a "Depurador".
Este paso debe realizarse bien y luego. presione Enter, eso es todo. Luego haga doble clic en la clave y cambie el valor de los datos (en realidad, la ruta).
Cambie a C:\windows\system32\CMD.exe
(PD: C: es el disco del sistema, si su sistema está instalado en D, cámbielo a D:, si es un sistema NT o 2K, cambie Windows a Winnt, si hay algo más debajo, comience de nuevo, y así sucesivamente.
)
Bueno, hagamos un experimento.
Hasta entonces, ¡recuerde quitar la casilla de verificación "Ocultar para conocer las extensiones de tipo de archivo"!
Luego busque una extensión EXE (usé IcesWord.exe como experimento) y cámbiele el nombre a 123.exe.
Luego ejecútelo.
Luego ejecútelo.
Luego ejecútelo. Apareció el cuadro de operación de DOS. Al mirar el cursor parpadeante sin saberlo, debí sentirme raro~^_^. Una broma sencilla.
Del mismo modo, los virus también se pueden utilizar para redirigir el nombre del software antivirus o de las herramientas de seguridad a la ruta del virus.
Entonces... si limpias después de eliminarlo. el virus Redirect, el programa no se ejecutará y no se dañará debido a IFEO.
Principio:
Cuando un sistema NT intenta ejecutar una solicitud para ejecutar un archivo ejecutable llamado desde la línea de comando, primero verifica si el programa en ejecución es un archivo ejecutable y si entonces, luego verifique el formato y luego verifique si existe. Si no existe, le pedirá al sistema que busque el archivo o que "especifique una ruta incorrecta, etc."
Por supuesto, después de eliminar estas claves, el programa se ejecutará con normalidad. Jejeje
¿Cómo evitar que esto suceda?
Existen dos métodos, el primero es más práctico. El primer método es más práctico.
Método 1:
Método de restricción.
Para modificar las opciones de ejecución del archivo de imagen, primero debes tener permisos de lectura, como este. Se convirtió en una línea de pensamiento.
Start-run-regedt32 (este es el registro de 32 bits del sistema, similar al método de operación del registro)
Luego expanda a:
HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options
Como se muestra en la imagen, ¡recuerde configurar el usuario para que tenga derechos administrativos! Luego seleccione "Permisos", seleccione "Denegar" y presione Aceptar. Aparecerá un mensaje, luego haga clic en Aceptar.
Bien, veamos los resultados.
El texto original proviene de la Comunidad Carpenter Ant www.mumayi.net, dirección de este post: /viewthread.php?tid=938411
Ejemplo de análisis en una máquina virtual :
Los resultados del análisis son los siguientes:
Archivo: 74E14F81.exe
Resumen SHA-1: 1d6472eec2e8940a696010abc2fb8082a1b7764e
Empacadores: Desconocido
Resultados de la versión del escáner Tiempo de escaneo
ArcaVir 1.0.4 Limpio 3.07072 segundos
avast 3.0.0 Limpio 0.00544286 segundos
AVG! Anti Virus 7.5.45 Limpieza 2.64557 segundos
BitDefender 7.1 Generic.A995A7 4.53346 segundos
CAT QuickHeal 9.00 Limpieza 4.37579 segundos
ClamAV 0.90/3236 Trojan.Agent- 3107 0,116282 segundos
Dr. Web 4.33.0 Limpieza 8,75147 segundos
F-PROT 4.6.7 Limpieza 0,820435 segundos
F-Secure 1.02 Limpieza 0,352535 segundos
H BEDV AntiVir 2.1.10-37 NULL 5,63827 segundos
McAfee Virusscan 5.10.0 Limpio 1,74781 segundos
NOD32 2.51.1 Limpio 2,92784 segundos
Norman Virus Control 5.70 .01 Limpieza 8.4982 segundos
Panda 9.00.00 Limpieza 1.31422 segundos
Sophos Sweep 4.17.0 Troj/Hook-Gen 5.57204 segundos
Trend Micro 8.310-1002 Possible_ Infostl 0,106758 segundos
VBA32 3.12.0 Archivo protegido 3,48641 segundos
VirusBuster 1.3.3 Limpio 2,72778 segundos
- -- ------- - ---------- ---------- -------
Abrir: el archivo AutoRun.inf contiene el siguiente contenido:
[ AutoRun]
open=74E14F81.exe
shell\open=open(amp;O)
shell \open\Command=74E14F81.exe
shell\open\Default=1
shell\explore=Explorer(amp;X)
shell\explore\Command=74E14F81. exe
---- ---------- ---------- ---------- -------
Ejecute este virus 74E14F81
.exe genera el archivo y cambia el registro:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\C68BC723.dll
Generando C68BC723.exe en un directorio no raíz puede Archivo ejecutable (oculto)
- -
- Ejecute este virus 74E14F81.exe ---------- ---------- - - -------- ---------- ---------- -
Un IFEO espectacular, murieron todos los famosos:
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav .exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \RavStub. exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image Ejecutar archivo
ion Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Opciones de ejecución de archivos de imagen\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Opciones de ejecución de archivos de imagen\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options0Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Opciones de ejecución de archivos de imagen\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Opciones de ejecución de archivos de imagen\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe<
/p>
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32. exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc .exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NTCurrentVersion \Opciones de ejecución de archivos de imagen\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NTCurrentVersion\Opciones de ejecución de archivos de imagen\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Opción de ejecución de archivo de imagen
ions\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Opciones de ejecución de archivos\KWatchX
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Opciones de ejecución de archivos\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Opciones de ejecución de archivos de imagen\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Opciones de ejecución de archivos de imagen\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.CurrentVersion\Image File Execution Options\kvol.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe \kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost .exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe Options\adam.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLMSOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLMSOFTWARE\Microsoft\Windows NT\Curr
entVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.CurrentVersion\Image File Execution Options\KvfwMcl. exe
HKLMSOFTWARE\Microsoft\Windows NTCurrentVersion\Image File Execution Options\autoruns.Options\autoruns.exe
HKLMSOFTWAREMicrosoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLMSOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.CurrentVersion\Image File Opciones de ejecución\isPwdSvc.exe
HKLMSOFTWARE\Microsoft\Windows NTCurrentVersion\Image File Execution Options\symlcsvc.exe
HKLMSOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe