兰眼发现该机器与挖矿网站有通信。通知用户进行查杀。电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件。
经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现。
但是使用火绒再次扫描系统,依旧发现有文件映像劫持。大体意思是图片文件扩容属性运行taskmgr.exe。
那么什么是映像劫持呢?
什么是映像劫持
也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运行的时候总会出现“系统找不到指定的文件”的错误提示,导致软件无法运行。如果你将软件的exe文件改个名称,就可以正常运行了。这种现象就叫做映像劫持。映像劫持是一种影响系统正常运转的手段,很多病毒、木马都会使用这种手段阻止安全软件的运行。
映像劫持的原理
映像劫持是利用Windows的IFEO(Image File Execution Options)功能来实现的。IFEO实际上是Windows的一项正常功能,主要用于调试程序,其初衷是在程序启动的时候开启调试器来调试程序,这样一来可以在调试器中观察程序在难以重现的环境中的行为。例如,某个程序在随用户登录自动启动时会出错,但在登录后手动启动时却一切正常,这就可以通过IFEO设置一个调试器,无论程序何时启动,都会开启这个调试器对其进行调试,以便找出问题。
在注册表中,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options就是保存IFEO设置的地方。下面来演示一下IFEO正常的用法(假设你已经安装了Visual Studio):
打开注册表编辑器,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中添加一个新的项,取名为“calc.exe”。
打开刚刚创建的calc.exe项,在右侧的窗格中右击,新建一个字符串值,取名为“Debugger”,取值为“vsjitdebugger.exe”。关闭注册表编辑器。
此时运行系统自带的计算器,会弹出一个应用程序错误窗口,选择“调试程序”,就会启动Visual Studio对计算器进行调试。
当你运行calc.exe的时候,系统首先会在注册表的Image File Execution Options中寻找名为“calc.exe”的项,如果存在该项,则继续寻找名为“Debugger”的字符串值,如果找到,则转而启动Debugger值中指定的程序,即vsjitdebugger.exe,并将calc.exe的完整路径作为参数传递给它。所以,当你运行计算器的时候,系统实际上执行的是“vsjitdebugger.exe C:\Windows\System32\calc.exe”这个命令行,而不是“calc.exe”。
IFEO的初衷是很好的,但它的设计显然不够完善。在上面的例子中,如果你将“vsjitdebugger.exe”改成“cmd.exe”,那么运行计算器的时候却打开了一个命令行窗口;如果改成任意一个不存在的程序名称,例如“abc”,那么运行计算器的时候就会出现“系统找不到指定的文件”的错误,此时calc.exe这个程序(映像)被“劫持”了。
由此可以看出,映像劫持并不等于IFEO,反之亦然。映像劫持的正式英文名称其实是“Image Hijack”。
使用火绒直接干掉感染文件是可以的,然后兰眼这块已经看不到有非法连接pool的地址了,但是注册表中关于映像劫持的节点还在,而且无法使用火绒直接删除。那么好吧,使用手动删除,但是手动删除会提示无权限。
经过查找资料,在taskmgr.exe上面单机右键,权限,调整administrator账号对taskmgr.exe节点有完全访问权限就可以删掉。
然后使用火绒继续全杀下,已经没有任何威胁了。
总结:
1、兰眼系统威胁情报中发现问题
2、联系用户进行处理
3、用户不方便,我们代为处理
4、直接杀掉病毒,但要注意, 不要破坏用户自己的文件,不确定坚决不能执行
5、最终检查处理完成的标准是火绒已经没有发现威胁了