史萊姆論壇 - 特洛伊木馬病毒窩藏在何處

木馬，又名特洛伊木馬，其名稱取自古希臘神話的特洛伊木馬記，它是一種基于遠程控制的黑客工具，具有很強的隱蔽性和危害性。為了達到控制服務端主機的目的，木馬往往要采用各種手段達到激活自己、加載運行的目的。讓我們一起來看看木馬常用的激活方式。

在Win.ini中啟動
在Win.ini的[windows]字段中有啟動命令“load=”和“run=”，在一般情況下“=”后面是空白的，如果后面跟著程序，比如：

run=c:\windows\file.exe
load=c:\windows\file.exe

這個file.exe很可能就是木馬程序！

修改文件關聯
修改文件關聯是木馬們常用手段（主要是國產木馬，老外的木馬大都沒有這個功能），比方說正常情況下TXT文件的打開方式為Notepad.exe文件，但一旦中了文件關聯木馬，則TXT文件打開方式就會被修改為用木馬程序打開，如著名的國產木馬冰河。“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE %1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”，這樣當你雙擊一個TXT文件，原本應用Notepad打開該文件的，現在卻變成啟動木馬程序了，好狠毒哦！請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP、COM等都是木馬的目標，要小心嘍。對付這類木馬，只能經常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。

捆綁文件
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起，上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那么每一次Windows啟動均會啟動木馬。

在System.ini中啟動
System.ini位于Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所，木馬通常的做法是將該句變為這樣：shell=Explorer.exe file.exe，注意這里的file.exe就是木馬服務端程序！

另外，在System.ini中的[386Enh]字段，要注意檢查在此段內的“driver=路徑\程序名”，這里也有可能被木馬所利用。

再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個字段，它們起到加載驅動程序的作用，但也是添加木馬程序的好場所。

利用注冊表加載運行
如下所示的注冊表位置都是木馬喜好的藏身之處，趕快檢查一下，有什么程序在其下：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值﹔
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值﹔
HKEY_USERS\.Default\Software\
Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。

在Autoexec.bat和Config.sys中加載運行
請大家注意，在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽，容易被發現。所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心。

在Winstart.bat中啟動
Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件，它也是一個能自動被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成，在執行了Win.com并加載了多數驅動程序之后開始執行（這一點可通過啟動時按[F8]鍵再選擇逐步跟蹤啟動過程的啟動方式得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運行。

“反彈端口”型木馬的主動連接方式
什么叫“反彈端口”型木馬呢？作者經過分析防火牆的特性后發現：大多數的防火牆對于由外面連入本機的連接往往會進行非常嚴格的過濾，但是對于由本機發出的連接卻疏于防范（當然有的防火牆兩方面都很嚴格）。于是，與一般的木馬相反，“反彈端口”型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，當要建立連接時，由客戶端通過FTP主頁空間告訴服務端：“現在開始連接我吧！”，并進入監聽狀態，服務端收到通知后，就會開始連接客戶端。為了隱蔽起見，客戶端的監聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“TCP　服務端的IP地址:1026，客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁。防火牆也會如此認為，大概沒有哪個防火牆會不給用戶向外連接80端口吧。這類木馬的典型代表就是“網絡神偷”。由于這類木馬仍然要在注冊表中建立鍵值，因此只要留意注冊表的變化就不難查到它們。

盡管木馬很狡猾，善于偽裝和隱藏自己，達到其不可告人的目的。但是，只要我們摸清規律，掌握一定的方法，還是能夠防范的。消除對木馬的恐懼感和神祕感。其實，只要你能加倍小心，加強防范，相信木馬將會離你遠去！