由於使用del c:aux\指令可以移除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難移除。
具體方法就是在複製木馬文件到aux資料夾時使用指令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe複製到aux目錄中,並且改名為con.exe,而con.exe文件是無法用普通方法移除的。
可能有的朋友會想,這個con.exe文件在「開始」表單的「執行」中無法執行啊。
其實不然,只要在指令行方式下輸入cmd /c \.c:con就可以執行這個程序了。
在執行時會有一個cmd視窗一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機指令碼,也可以利用cmd.exe的autorun:在註冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要執行的.bat文件或.cmd文件的路徑,如c:winntsystem32auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。
對於這類特殊的資料夾,發現後我們可以採用如下方法來移除它:先用del \.c:con.exe指令移除con.exe文件(該檔案假設就是其中的木馬檔案名),然後再用rd \.c:aux指令移除aux資料夾即可。
好了,文章到這裡就結束了。
|