1、在win.ini文件中加載
一般在win.ini文件中的[windwos]段中有如下加載項:
run= load= ,一般此兩項爲空.
如果你發現你的系統中的此兩項加載了任何可疑的程序時,應特別當心,這時可根據其提供的源文件路徑和功能進一步檢查。我們知道這兩項分別是用來當系統啓動時自動運行和加載程序的,如果木馬程序加載到這兩個子項中之後,那麽當你的系統啓動後即可自動運行或加載了。當然也有可能你的系統之中確是需要加載某一程序,但你要知道這更是木馬利用的好機會,它往往會在現有加載的程序文件名之後再加一個它自己的文件名或者參數,這個文件名也往往用你常見的文件,如command.exe、sys.com等來僞裝。
2、在System.ini文件中加載
我們知道在系統信息文件system.ini中也有一個啓動加載項,那就是在[BOOT]子項中的“Shell”項.
在這裏木馬最慣用的伎倆就是把本應是“Explorer”變成它自己的程序名,名稱僞裝成幾乎與原來的一樣,只需稍稍改""Explorer”的字母“l”改爲數字“1”,或者把其中的“o”改爲數字“0”,這些改變如果不仔細留意是很難被人發現的,這就是我們前面所講的欺騙性。當然也有的木馬不是這樣做的,而是直接把“Explorer”改爲別的什麽名字,因爲他知道還是有很多朋友不知道這裏就一定是“Explorer”,或者在“Explorer”加上點什麽東東,加上的那些東東肯定就是木馬程序了。
3、修改注冊表
如果經常研究注冊表的朋友一定知道,在注冊表中我們也可以設置一些啓動加載項目的,編制木馬程序的高手們當然不會放過這樣的機會的,況且他們知道注冊表中更安全,因爲會看注冊表的人更少。事實上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木馬程序加載的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce].
你只要按照其指定的源文件路徑一路查過去,並具體研究一下它在你系統這中的作用就不難發現這些鍵值的作用了,不過同樣要注意木馬的欺騙性,它可是最善于僞裝自己呵!同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。
4、修改文件打開關聯
木馬程序發展到了今天,他們發現以上的那些老招式不靈了,爲了更加隱蔽自己,他們所采用隱蔽的手段也是越來越高明了(不過這也是萬物的生存之道,你說呢?),它們采用修改文件打開關聯來達到加載的目的,當你打開了一個已修改了打開關聯的文件時,木馬也就開始了它的運作,如冰河木馬就是利用文本文件(.txt)這個最常見,但又最不引人注目的文件格式關聯來加載自己,當有人打開文本文件時就自動加載了冰河木馬。
修改關聯的途經還是選擇了注冊表的修改,它主要選擇的是文件格式中的“打開”、“編輯”、“打印”項目,如冰河木馬修改的對象.
如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是“c:\windows\notepad.exe %1”,而是改爲“sysexplr.exe %1”。
以上所介紹的幾種木馬入侵方式,如果發現了我們當然是立即對其刪除,並要立即與網絡斷開,切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊表發現的,則要利用注冊表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點,做到徹底清除。如果作了注冊表備份,最好全部刪除注冊表後再導入原來的備份注冊表。
在清除木馬前一定要注意,如果木馬正在運行,則你無法刪除其程序,這時你可以重啓動到DOS方式然後將其刪除。有的木馬會自動檢查其在注冊表中的自啓動項,如果你是在木馬處于活動時刪除該項的話它能自動恢複,這時你可以重啓到DOS下將其程序刪除後再進入Win9x下將其注冊表中的自啓動項刪除。
<< 上一頁木馬病毒專題二 下一頁木馬病毒專題四 >>
"
