木马病毒常用的入侵方法有哪些
木马病毒常见的入侵方法有以下几种:
- 在Win.ini文件中加载
Win.ini文件位于C:Windows目录下,在文件的[windows]段中有启动命令run=和load=,一般此两项为空,如果等号后面存在程序名,则可能就是木马程序,应特别当心,这时可根据其提供的源文件路径和功能做进一步检查。
这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中,系统启动后即可自动运行或加载木马程序。这两项是木马经常攻击的方向,一旦攻击成功,则还会在现有加载的程序文件名之后再加一个自己的文件名或参数,这个文件名也往往是常见文件的,如借command.exe、sys.com等文件来伪装。
- 加载到注册表中
由于注册表比较复杂,所以很多木马都喜欢隐藏在这里。木马一般会利用注册表中下面的几个子项来加载。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun-ServersOnce;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun;
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServers。
- 修改文件关联
修改文件关联也是木马常用的入侵手段,当用户一旦打开已修改文件关联的文件后,木马也随之被启动,如冰河木马就是利用文本文件(.txt)这类最常见但又最不引人注目的文件格式关联来加载自己,当中了该木马的用户打开文本文件时就自动加载了冰河木马。
- 设置在超链接中
这种入侵方法主要是在网页中放置恶意代码来引诱用户点击,一旦用户单击超链接,就会感染木马,因此,不要随便单击网页中的链接。
- 隐藏在启动组中
有时木马并不在乎自己的行踪,而在意是否可以自动加载到系统中。启动组无疑是自动加载运行木马的好场所,其对应文件夹为C:Windowsstartmenupro-gramsstartup。在注册表中的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionExplorershell Folders Startup=”c:Windowsstart menupro-gramsstartup”,要检查启动组。
- 在System.ini文件中加载
在系统信息文件system.ini中也有一个启动加载项,那就是在【BOOT】子项中的Shell项。在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改“Explorer”的字母“I”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。
当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为有很多用户是不知道这里就一定是“Explorer”,或者在“Explorer”加上点什么东西,加上的那些东西肯定就是木马程序了。