谈及木马病毒,相信大家都是有所耳闻。人们都希望利用杀毒软件将其除之而后外,但事实却不尽如人意。要想查杀木马病毒,我们都需要对其进行进一步的了解。要知道其实木马病毒之所以能频频得逞,主要是因为其强大多样性启动运作方式。如果黑客没有将木马启动,即便是再厉害的木马也无法发挥它的破坏作用!
事实上,木马病毒有很多种启动方式,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,眼花缭乱,很难防范。接下来看一下木马病毒启动的几种方式:
这种方式最常见,就像一般的软件设置开机启动是一样的,比方说,腾讯QQ就是用这种方式实现自启动的。不过如今的木马一般不会用这种方式了,因为出现在“开始”菜单的“启动”中很容易被发现行踪而被处理掉。
通过注册表启动分为三种,各种的具体设置如下所示:
.通过HKEY _ CURRENT _ USER \ Software \Microsoft \ Windows \ CurrentVersion \ Hun ,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_
LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \RunServiceso
常用木马:BO2000, GOP, NetSpy, lEthief,冰河等。
通常木马会用这种方式,设置简单,不过也是会被发现的。正式因为使用的太多,所以一说到木马,就会联想到注册表中的主键,通常木马会使用最后一个,使用Windows自带的程序msconfig或注册表编辑器(regedit. exe)都可以将其轻而易举地删除,可见这也不是一种可靠的方法。但是,现在也有了改进,我们可以在木马程序中加一个时问控件,实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写人,来保证下次Windows启动时能被运行,这样木马程序和注册表中的启动键值之间就形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。
破解方法:首先,以安全模式启动 Windows,此时Windows不会加载注册表中的项Ei ,因此木马不会被启动,相互保护的状况也就不攻自破了。然后,就可以删除注册表中的键值和相应的木马程序了。通过HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft\Windows \CurrentVersion \ RunServices Once,,
木马病毒启动方式三、通过autoexec. bat,winstart. bat或confg.sys文件
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Window,下的32位程序是不能运行的。木马此时也就失效了,可是仍然要防范,因为木马的伪装就是要做到让你无从下手
事实上,System. ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System. ini文件的“Boot”域中的Shell项的值正常情况下是" explorer. exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为progman. exe就可以让Windows9x变成Windows 3. x)。还可以在“explorer.exe”后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作、截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识
QQ是这类木马最多的寄主,比方说,将QQ的启动文件QQ2000b. exe改为QQ2000b.ico. exe,再将木马程序改为QQ2000b. exe。这样以后,一旦用户运行“QT , QQ木马也就运行了,然后才由QQ木马去启动真正的QQ
一般情况下木马程序会将自己和TXT文件或EXE文件关联,这样当打开一个文本文件或运行一个程序时,木马也就偷偷地启动了。
