无忧启动论坛

标题: 【原创】!!深山红叶安全警报!! [打印本页]

作者: emca 时间: 2007-6-19 07:45
标题: 【原创】!!深山红叶安全警报!!
深山红叶安全警报
由于近一段时间以来，微软打着反盗版的旗号，让Windows XP在启动时强行后台运行 Wgatray.exe这个程序，以提示用户“你可能是盗版软件的受害者”，这就是微软以补丁名义植入的盗版侦察兵程序。不过，这个程序并非是操作系统正常运行所必须的，因此删除它或替换它并不会让用户有明显的感觉，流氓病毒及木马病毒均可仿冒或替换这个 Wgatray.exe，由于系统自身会通过wgalogon.dll自动“合法地”调用 Wgatray.exe，从而导致病毒根本不用考虑如何实现病毒程序的自动加载问题！

wgalogon.dll是通过以下键值实现自动加载的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon：DllName：wgalogon.dll

危险的是，微软通过这种方式自动加载 Wgatray.exe 时，可能时出于临时添加这个功能的考虑，并没有对 Wgatray.exe 进行数字签名验证（但不排除日后微软仍然不验证，因此日后你发现不行时不要骂我），如果我们主动替换这个程序文件，则同样能够顺利运行（本人就把这个程序替换成自己每次启动时自动修复注册表的关键位置如各种自动加载键项等容易被病毒破坏的小程序，嘿嘿）

解决和预防办法：
1.运行 Gpedit.msc，找到“用户配置”→“管理模板”→“系统”，然后双击“不要运行指定的Windows应用程序”，再根据提示进行，输入 Wgatray.exe。
通过上述处理，不管微软如何升级它的盗版侦察兵程序，都会让它无法执行——当然仿冒的病毒程序也同样不能运行！
2.为了对全局所有账户生效，建议同时设置全局策略：“控制面板”→“管理工具”→“本地安全策略”→“安全设置”→“软件限制策略”，新建策略，“其他规则”，右击，选择“新路径规则”，输入“%SystemRoot%\System32\Wgatray.exe”确定；再新建一条：输入*\Wgatray.exe”确定。这样防仿冒的效果更好！

（深山红叶友情提醒，希望大家警惕！）

作者: pandorak 时间: 2007-6-19 20:07
提示: 作者被禁止或删除内容自动屏蔽

作者: admin97 时间: 2007-6-20 11:18
谢谢,我正在为此事着想

作者: chinazswa 时间: 2007-6-20 21:33
哦，明白。谢谢余兄。

作者: 52lemontree 时间: 2007-6-22 21:30
支持一下红叶兄，红叶兄的PE工具已经使用一年多了，还不错。

我的系统也仅仅打几个关键补丁，自动更新和系统还原在装完系统后就被关掉了的。。。。

作者: 太湖渔民 时间: 2007-6-23 16:40
标题: 微软迟早会来这一手
现在具体地学习一下!

作者: 霜雪 时间: 2007-6-24 20:56
谢谢
我正为这个发愁呢

作者: s0vvhat 时间: 2007-6-25 10:53
谢谢高手！
原来你就是圣山红叶阿

作者: 过期的可乐 时间: 2007-6-25 14:04
这倒是一个不小的漏洞
学习了。
题外话，偶看过你的网络传记，很让人钦佩。

作者: chujiafu 时间: 2007-6-25 17:15
谢谢红叶兄的提醒。支持红叶兄。

红叶兄，能不能把“每次启动时自动修复注册表的关键位置如各种自动加载键项等容易被病毒破坏的小程序”发上论坛呀？让我们共享你的成果。

[ 本帖最后由 chujiafu 于 2007-6-25 05:17 PM 编辑 ]

作者: 释怀一笑 时间: 2007-6-26 10:50
谢谢红叶兄
这样的好帖子应该给大家好好传播一些

作者: mawith 时间: 2007-6-26 12:08
学习了.支持

作者: yulongjin 时间: 2007-6-26 15:43
读了此帖,偶又长见识了!

作者: 鹤冲天 时间: 2007-6-26 21:20
学习哈，学习哈！！！！

作者: joson 时间: 2007-6-27 00:10
尝试了一下，很不错，谢谢楼主！

作者: 此地无爱 时间: 2007-6-27 11:36
看了以后感觉必须要注意这个问题

作者: Srainbow 时间: 2007-6-28 02:02
太好，一直对这个挺头疼的呢。

作者: kauman 时间: 2007-7-10 18:06
现在具体地学习一下!

作者: wwj123 时间: 2007-7-10 22:16
呵呵,这个办法好,顶

作者: 2010juniz 时间: 2010-12-13 00:41
谢谢，学习来了，谢谢

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)