(文章來源:南華中天)
木馬病毒是比較常見,需要提防的病毒,它的入侵方式也是有好幾種,今天小編就來講講,木馬病毒常見的入侵方式。
1、在win.ini文件中加載,一般在win.ini文件中的【windwos】段中有如下加載項:run= load= ,一般此兩項為空。如果你發(fā)現(xiàn)系統(tǒng)中的此兩項加載了任何可疑的程序時,可根據(jù)其提供的源文件路徑和功能進一步檢查。這兩項分別是用來當系統(tǒng)啟動時自動運行和加載程序的,如果木馬程序加載到這兩個子項中之后,那么系統(tǒng)啟動后即可自動運行或加載了。
2、在System.ini文件中加載,在系統(tǒng)信息文件system.ini中也有一個啟動加載項,那就是在【BOOT】子項中的Shell項。在這里木馬最慣用的伎倆就是把本應(yīng)是“Explorer”變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,只需稍稍改“Explorer”的字母“I”改為數(shù)字“1”,或者把其中的“o”改為數(shù)字“0”,這些改變?nèi)绻蛔屑毩粢馐呛茈y被人發(fā)現(xiàn)的,這就是我們前面所講的欺騙性。
3、修改注冊表,在注冊表中也可以設(shè)置一些啟動加載項目的,況且注冊表中更安全,因為會看注冊表的人更少。事實上,只要是“RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce ”等都是木馬程序加載的入口,如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。
4、修改文件打開關(guān)聯(lián),木馬程序發(fā)展到了今天,為了更加隱蔽自己,所采用手段也是越來越隱蔽,它們開始采用修改文件打開關(guān)聯(lián)來達到加載的目的,當打開了一個已修改了打開關(guān)聯(lián)的文件時,木馬也就開始了它的運作,如冰河木馬就是利用文本文件【.txt】這個最常見,但又最不引人注目的文件格式關(guān)聯(lián)來加載,當有人打開文本文件時就自動加載了冰河木馬。
修改關(guān)聯(lián)的途徑還是選擇了注冊表的修改,它主要選擇的是文件格式中的【打開】、【編輯】、【打印】項目,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的鍵值不是“c:windows otepad.exe %1”,而是改為“syXXXplr.exe %1”。
以上所介紹的幾種木馬病毒入侵方式,如果發(fā)現(xiàn)需要立即對其刪除,并要立即與網(wǎng)絡(luò)斷開,切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊表發(fā)現(xiàn)的,則要利用注冊表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點,做到徹底清除。如果作了注冊表備份,最好全部刪除注冊表后再導(dǎo)入原來的備份注冊表。
在清除木馬前一定要注意,如果木馬正在運行,則無法刪除其程序,這時可以重啟動到DOS方式然后將其刪除。有的木馬會自動檢查其在注冊表中的自啟動項,如果是在木馬處于活動時刪除該項的話它能自動恢復(fù),這時可以重啟到DOS下將其程序刪除后再進入將其注冊表中的自啟動項刪除。
以上講的是已發(fā)現(xiàn)的情況下可以采取這些補救措施,但是一般情況下沒有那么容易發(fā)現(xiàn)它,只好利用專門的殺毒軟件來幫助進行查殺。目前專門查殺木馬病毒的反木馬軟件主要有以下幾種,用戶可以借助它們來鏟助木馬。目前最常用的反木馬病毒程序有:
1.the cleaner,它可以隨時自動升級,只要輕點UPDATE按鈕即可,不象LOCKDOWN還要查你的密碼。它的實時監(jiān)控程序TCA,可即時顯示當前所有運行程序并有詳細的描述信息。
2.Trojan Remover,它是一個專門用來清除特洛伊木馬和自動修復(fù)系統(tǒng)文件的工具,能夠檢查系統(tǒng)登錄文件、掃描WIN.INI、SYSTEM.INI和系統(tǒng)登錄文件,且掃描完成后會產(chǎn)生Log信息文件,并自動清除特洛伊木馬和修復(fù)系統(tǒng)文件。
3.iparmor,0719版本可以查殺5021種國際木馬,112種電子郵件木馬,保證查殺冰河類文件關(guān)聯(lián)木馬,oicq類寄生木馬,icmp類幽靈木馬,網(wǎng)絡(luò)神偷類反彈木馬。內(nèi)置木馬防火墻,任何黑客試圖與本機建立連接,都需要Iparmor 確認,不僅可以查殺木馬,更可以查黑客。