木馬病毒是如何利用文件關聯和設置名感染的
2024-09-10 14:21:13
供稿:網友
木馬對文件關聯的利用
我們知道�,在注冊表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以加載程序�,使之開機時自動運行�,類似“Run”這樣的子鍵在注冊表中還有幾處�,均以“Run”開頭,如RunOnce�、RunServices等。除了這種方法�,還有一種修改注冊表的方法也可以使程序自啟動。
具體說來�,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動�。舉例來說,打開注冊表�,展開注冊表到HKEY_CLASSES_ROOTexefileshell opencommand,這里是exe文件的打開方式�,默認鍵值為:“%1”%*。如果把默認鍵值改為Trojan.exe“%1”%*�,您每次運行exe文件,這個Trojan.exe文件就會被執行�。木馬灰鴿子就采用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招――關聯txt文件�。
對付這種隱藏方法,主要是經常檢查注冊表,看文件的打開方式是否發生了變化�。如果發生了變化,就將打開方式改回來�。最好能經常備份注冊表,發現問題后立即用備份文件恢復注冊表�,既方便、快捷�,又安全、省事�。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或文件夾�,這些設備名主要有aux、com1�、com2、prn�、con、nul等�,但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾,讓木馬可以躲在那里而不被發現�。
具體方法是:點擊“開始”菜單的“運行”,輸入cmd.exe�,回車進入命令提示符窗口,然后輸入md c:con命令�,可以建立一個名為con的目錄。默認請況下�,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄�。再試試輸入md c:aux命令,可以建立aux目錄�,輸入md c:prn可以建立prn目錄,輸入md c:com1目錄可以建立Com1目錄�,而輸入md c: nul則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試�,您會發現當我們試圖打開以aux或com1命名的文件夾時,explorer.exe失去了響應�,而許多“牧馬人”就是利用這個方法將木馬隱藏在這類特殊的文件夾中,從而達到隱藏�、保護木馬程序的目的。
現在�,我們可以把文件復制到這個特殊的目錄下,當然�,不能直接在Windows中復制,需要采用特殊的方法�,在CMD窗口中輸入copy muma.exe .c:aux命令,就可以把木馬文件muma.exe復制到C盤下的aux文件夾中�,然后點擊“開始”菜單中的“運行”,在“運行”中輸入c:aux muam.exe�,就會成功啟動該木馬。我們可以通過點擊文件夾名進入此類特殊目錄�,不過,如果您要試圖在資源管理器中刪除它�,會發現這根本就是徒勞的�,Windows會提示找不到該文件�。
由于使用del c:aux命令可以刪除其中的muma.exe文件,所以�,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名�,讓我們很難刪除。具體方法就是在復制木馬文件到aux文件夾時使用命令copy muma.exe .c:con.exe�,就可以把木馬文件muma.exe復制到aux目錄中,并且改名為con.exe�,而con.exe文件是無法用普通方法刪除的。
可能有的朋友會想�,這個con.exe文件在“開始”菜單的“運行”中無法運行啊。其實不然�,只要在命令行方式下輸入cmd /c .c:con就可以運行這個程序了。在運行時會有一個cmd窗口一閃而過�,下木馬者一般來說會對其進行改進,方法有很多�,可以利用開機腳本,也可以利用cmd.exe的autorun:在注冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun�,值為要運行的.bat文件或.cmd文件的路徑,如c:winnt system32 auto.cmd�,如果建立相應的文件,它的內容為@.c:con�,就可以達到隱蔽的效果。
對于這類特殊的文件夾�,發現后我們可以采用如下方法來刪除它:先用del .c:con.exe命令刪除con.exe文件(該文件假設就是其中的木馬文件名)�,然后再用rd .c:aux命令刪除aux文件夾即可�。
木馬對AutoRun的利用
AutoRun不僅能應用于光盤中�,同樣也可以應用于硬盤中(要注意的是,AutoRun.inf必須存放在磁盤根目錄下才能起作用)�。讓我們一起看看AutoRun.inf文件的內容吧。
打開記事本�,新建一個文件,將其命名為AutoRun.inf�,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式�,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的命令�;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設定一個個性化的圖標,“Shell32.DLL”是包含很多Windows圖標的系統文件�,“21”表示顯示編號為21的圖標,無數字則默認采用文件中的第一個圖標�;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運行程序的路徑及其文件名。
如果把Open行換為木馬文件�,并將這個AutoRun.inf文件設置為隱藏屬性,我們點擊硬盤時就會啟動木馬�。
為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能�。在“開始”菜單的“運行”中輸入Regedit,打開注冊表編輯器�,展開到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主鍵下�,在右側窗口中找到“NoDriveTypeAutoRun”�,就是它決定了是否執行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬盤的AutoRun功能�,如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改后重新啟動計算機�,設置就會生效。
