为了不漏掉系统补丁，XP专业版用户（本人既是其中之一），不少人都将XP的WINDOWS UPDATE设置为“自动”。
近期流行带IFEO劫持的病毒。
于是，一个灵感浮现在脑中：如果病毒通过IFEO劫持XP系统的“WINDOWS UPDATE”和安全中心程序如何？
找来一个病毒样本试试。

1、打开注册表编辑器，创建下列IFEO劫持项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscntfy.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP安全中心”）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP的自动更新”）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt1.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP的自动更新”）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wupdmgr.exe
"Debugger"="c:\\windows\\system32\\wojhadp.exe"（劫持“XP的自动更新管理”）

2、关闭安全软件，将womr.small.bn（本身就是一个通过IFEO劫持N多安全软件的蠕虫）植入系统。

3、用TINY的注册表防护模块禁止病毒程序再次写入其启动项以及IFEO劫持项。

4、删除病毒的启动项，删除病毒自带的IFEO劫持项。

5、将XP的自动更新设置为“自动”。

重启系统。连网。

连网后，Tiny的Activity Monitor窗口可见c:\windows\system32\wojhadp.exe已经加载运行！

汗死！！！

如果不是专业程序员，还是将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个键彻底封死吧。
不知道怎么封？
那就先导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
然后，将这个键删除！