木馬病毒如何利用文件關聯和設置名感染
 

木馬病毒如何利用文件關聯和設置名感染

我們知道，在註冊表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以載入程式，使之開機時自動執行，類似「Run」這樣的子鍵在註冊表中還有幾處，均以「Run」開頭，如RunOnce、RunServices等。除了這種方法，還有一種修改註冊表的方法也可以使程式自啟動。


具體說來，就是更改文件的打開方式，這樣就可以使程式跟隨您打開的那種文件類型一起啟動。舉例來說，打開註冊表，展開註冊表到HKEY_CLASSES_ROOTexefileshell opencommand，這裡是exe文件的打開方式，預定鍵值為：「%1」%*。如果把預定鍵值改為Trojan.exe「%1」%*，您每次執行exe文件，這個Trojan.exe文件就會被執行。木馬灰鴿子就採用關聯exe文件的打開方式，而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。


對付這種隱藏方法，主要是經常檢查註冊表，看文件的打開方式是否發生了變化。如果發生了變化，就將打開方式改回來。最好能經常備份註冊表，發現問題後立即用備份文件恢復註冊表，既方便、快捷，又安全、省事。


木馬對設備名的利用


大家知道，在Windows下無法以設備名來命名文件或資料夾，這些設備名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾，讓木馬可以躲在那裡而不被發現。


具體方法是：點擊「開始」表菜單的「執行」，輸入cmd.exe，Enter鍵進入命令提示字元視窗，然後輸入md c:con命令，可以建立一個名為con的目錄。預定請況下，Windows是無法建立這類目錄的，正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux命令，可以建立aux目錄，輸入md c:prn可以建立prn目錄，輸入md c:com1目錄可以建立Com1目錄，而輸入md c: nul則可以建立一個名為nul的目錄。在視窗檔案總管中依次點擊試試，您會發現當我們試圖打開以aux或com1命名的資料夾時，explorer.exe失去了響應，而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中，從而達到隱藏、保護木馬程式的目的。


現在，我們可以把文件複製到這個特殊的目錄下，當然，不能直接在Windows中複製，需要採用特殊的方法，在CMD視窗中輸入copy muma.exe .c:aux命令，就可以把木馬文件muma.exe複製到C硬碟下的aux資料夾中，然後點擊「開始」表菜單中的「執行」，在「執行」中輸入c:aux muam.exe，就會成功啟動該木馬。我們可以通過點擊資料夾名進入此類特殊目錄，不過，如果您要試圖在視窗檔案總管中刪除它，會發現這根本就是徒勞的，Windows會提示找不到該文件。


由於使用del c:aux命令可以刪除其中的muma.exe文件，所以，為了達到更好的隱藏和保護效果，下木馬者會把muma.exe文件也改名，讓我們很難刪除。具體方法就是在複製木馬文件到aux資料夾時使用命令copy muma.exe .c:con.exe，就可以把木馬文件muma.exe複製到aux目錄中，並且改名為con.exe，而con.exe文件是無法用普通方法刪除的。


可能有的朋友會想，這個con.exe文件在「開始」表菜單的「執行」中無法執行啊。其實不然，只要在命令行方式下輸入cmd /c .c:con就可以執行這個程式了。在執行時會有一個cmd視窗一閃而過，下木馬者一般來說會對其進行改進，方法有很多，可以利用開機腳本，也可以利用cmd.exe的autorun：在註冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun，值為要執行的.bat文件或.cmd文件的路徑，如c:winnt system32 auto.cmd，如果建立相應的文件，它的內容為@.c:con，就可以達到隱蔽的效果。