|
|
深山红叶安全警报
由于近一段时间以来,微软打着反盗版的旗号,让Windows XP在启动时强行后台运行 Wgatray.exe这个程序,以提示用户“你可能是盗版软件的受害者”,这就是微软以补丁名义植入的盗版侦察兵程序。不过,这个程序并非是操作系统正常运行所必须的,因此删除它或替换它并不会让用户有明显的感觉,流氓病毒及木马病毒均可仿冒或替换这个 Wgatray.exe,由于系统自身会通过wgalogon.dll自动“合法地”调用 Wgatray.exe,从而导致病毒根本不用考虑如何实现病毒程序的自动加载问题!
wgalogon.dll是通过以下键值实现自动加载的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon:DllName:wgalogon.dll
危险的是,微软通过这种方式自动加载 Wgatray.exe 时,可能时出于临时添加这个功能的考虑,并没有对 Wgatray.exe 进行数字签名验证(但不排除日后微软仍然不验证,因此日后你发现不行时不要骂我),如果我们主动替换这个程序文件,则同样能够顺利运行(本人就把这个程序替换成自己每次启动时自动修复注册表的关键位置如各种自动加载键项等容易被病毒破坏的小程序,嘿嘿)
解决和预防办法:
1.运行 Gpedit.msc,找到“用户配置”→“管理模板”→“系统”,然后双击“不要运行指定的Windows应用程序”,再根据提示进行,输入 Wgatray.exe。
通过上述处理,不管微软如何升级它的盗版侦察兵程序,都会让它无法执行——当然仿冒的病毒程序也同样不能运行!
2.为了对全局所有账户生效,建议同时设置全局策略:“控制面板”→“管理工具”→“本地安全策略”→“安全设置”→“软件限制策略”,新建策略,“其他规则”,右击,选择“新路径规则”,输入“%SystemRoot%\System32\Wgatray.exe”确定;再新建一条:输入*\Wgatray.exe”确定。这样防仿冒的效果更好!
(深山红叶友情提醒,希望大家警惕!) |
|
IP卡
狗仔卡
发表于 2007-6-19 07:45:14
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡