004Q 木马的入侵方式有哪些?

A 木马的入侵方式有5种包括:修改Win.ini文件、修改System.ini文件、加载到启动组、修改文件关联和捆绑文件。

虽然Internet中的木马种类繁多,但是它们入侵目标计算机的手段却不多。大致有以下5种常见的入侵方式。

修改Win.ini文件

在系统文件Win.ini中的[windows]段中有加载项"run="和"load=",正常情况下这两项为空。如果发现这两项加载了任何可疑的程序时应特别当心,这时可根据其提供的源文件路径和功能进一步检查。这两项分别是用来在系统启动时自动运行和加载程序的。往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,该文件名一般使用用户常见的command.exe、sys.com等文件来伪装。

修改System.ini文件

在系统信息文件System.ini中也有一个启动加载项,那就是在[BOOT]子项中的shell项。在这里木马最管用的伎俩就是把Explorer变成它自己的程序名,这些改变如果不仔细留意是很难发现的,这就是前面所讲的欺骗性。当然有些木马不是这样做的,而是直接把Explorer改为别的名字,或者在Explorer上加上一个不明显的木马程序。

加载到启动组

木马隐藏在启动组中虽然不是十分隐蔽,但这里都是自动加载运行的好场所,因此还是有木马会驻留在此。启动组对应的文件夹为:C:\Users\<用户名>\App Data\Roaming\Microsoft\Windows\[开始]菜单\启动,在注册表中的位置为:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\Users\John\AppData\Roaming\Microsoft\Windows\Start Menu"。

修改文件关联

修改文件关联是木马常用的手段,正常情况下TXT文件的打开方式为Notepad.exe文件。但中了文件关联木马之后,TXT文件的打开方式就会被修改为用木马程序打开,例如著名的“冰河”木马采用的就是这样的方式。一旦用户双击一个TXT文件,就会启动木马程序。不仅仅是TXT文件,其他的诸如HTM、EXE、ZIP、COM等都是木马的目标。要对付这类木马,只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键,查看其键值是否正常。

捆绑文件

实现这种触发条件首先需要控制端和服务端已通过木马建立连接,然后控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,随即上传到服务端覆盖原文件。这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装,绑定到某一应用程序中。如果绑定到系统文件,那么每一次启动Windows时均会同时启动木马。