木馬病毒是如何利用文件關(guān)聯(lián)和設(shè)置名感染的
2024-09-10 14:21:13
供稿:網(wǎng)友
木馬對(duì)文件關(guān)聯(lián)的利用
我們知道,在注冊(cè)表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以加載程序,使之開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行,類(lèi)似“Run”這樣的子鍵在注冊(cè)表中還有幾處,均以“Run”開(kāi)頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊(cè)表的方法也可以使程序自啟動(dòng)。
具體說(shuō)來(lái),就是更改文件的打開(kāi)方式,這樣就可以使程序跟隨您打開(kāi)的那種文件類(lèi)型一起啟動(dòng)。舉例來(lái)說(shuō),打開(kāi)注冊(cè)表,展開(kāi)注冊(cè)表到HKEY_CLASSES_ROOTexefileshell opencommand,這里是exe文件的打開(kāi)方式,默認(rèn)鍵值為:“%1”%*。如果把默認(rèn)鍵值改為T(mén)rojan.exe“%1”%*,您每次運(yùn)行exe文件,這個(gè)Trojan.exe文件就會(huì)被執(zhí)行。木馬灰鴿子就采用關(guān)聯(lián)exe文件的打開(kāi)方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招――關(guān)聯(lián)txt文件。
對(duì)付這種隱藏方法,主要是經(jīng)常檢查注冊(cè)表,看文件的打開(kāi)方式是否發(fā)生了變化。如果發(fā)生了變化,就將打開(kāi)方式改回來(lái)。最好能經(jīng)常備份注冊(cè)表,發(fā)現(xiàn)問(wèn)題后立即用備份文件恢復(fù)注冊(cè)表,既方便、快捷,又安全、省事。
木馬對(duì)設(shè)備名的利用
大家知道,在Windows下無(wú)法以設(shè)備名來(lái)命名文件或文件夾,這些設(shè)備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個(gè)漏洞可以以設(shè)備名來(lái)命名文件或文件夾,讓木馬可以躲在那里而不被發(fā)現(xiàn)。
具體方法是:點(diǎn)擊“開(kāi)始”菜單的“運(yùn)行”,輸入cmd.exe,回車(chē)進(jìn)入命令提示符窗口,然后輸入md c:con命令,可以建立一個(gè)名為con的目錄。默認(rèn)請(qǐng)況下,Windows是無(wú)法建立這類(lèi)目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux命令,可以建立aux目錄,輸入md c:prn可以建立prn目錄,輸入md c:com1目錄可以建立Com1目錄,而輸入md c: nul則可以建立一個(gè)名為nul的目錄。在資源管理器中依次點(diǎn)擊試試,您會(huì)發(fā)現(xiàn)當(dāng)我們?cè)噲D打開(kāi)以aux或com1命名的文件夾時(shí),explorer.exe失去了響應(yīng),而許多“牧馬人”就是利用這個(gè)方法將木馬隱藏在這類(lèi)特殊的文件夾中,從而達(dá)到隱藏、保護(hù)木馬程序的目的。
現(xiàn)在,我們可以把文件復(fù)制到這個(gè)特殊的目錄下,當(dāng)然,不能直接在Windows中復(fù)制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe .c:aux命令,就可以把木馬文件muma.exe復(fù)制到C盤(pán)下的aux文件夾中,然后點(diǎn)擊“開(kāi)始”菜單中的“運(yùn)行”,在“運(yùn)行”中輸入c:aux muam.exe,就會(huì)成功啟動(dòng)該木馬。我們可以通過(guò)點(diǎn)擊文件夾名進(jìn)入此類(lèi)特殊目錄,不過(guò),如果您要試圖在資源管理器中刪除它,會(huì)發(fā)現(xiàn)這根本就是徒勞的,Windows會(huì)提示找不到該文件。
由于使用del c:aux命令可以刪除其中的muma.exe文件,所以,為了達(dá)到更好的隱藏和保護(hù)效果,下木馬者會(huì)把muma.exe文件也改名,讓我們很難刪除。具體方法就是在復(fù)制木馬文件到aux文件夾時(shí)使用命令copy muma.exe .c:con.exe,就可以把木馬文件muma.exe復(fù)制到aux目錄中,并且改名為con.exe,而con.exe文件是無(wú)法用普通方法刪除的。
可能有的朋友會(huì)想,這個(gè)con.exe文件在“開(kāi)始”菜單的“運(yùn)行”中無(wú)法運(yùn)行啊。其實(shí)不然,只要在命令行方式下輸入cmd /c .c:con就可以運(yùn)行這個(gè)程序了。在運(yùn)行時(shí)會(huì)有一個(gè)cmd窗口一閃而過(guò),下木馬者一般來(lái)說(shuō)會(huì)對(duì)其進(jìn)行改進(jìn),方法有很多,可以利用開(kāi)機(jī)腳本,也可以利用cmd.exe的autorun:在注冊(cè)表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個(gè)字串AutoRun,值為要運(yùn)行的.bat文件或.cmd文件的路徑,如c:winnt system32 auto.cmd,如果建立相應(yīng)的文件,它的內(nèi)容為@.c:con,就可以達(dá)到隱蔽的效果。
對(duì)于這類(lèi)特殊的文件夾,發(fā)現(xiàn)后我們可以采用如下方法來(lái)刪除它:先用del .c:con.exe命令刪除con.exe文件(該文件假設(shè)就是其中的木馬文件名),然后再用rd .c:aux命令刪除aux文件夾即可。
木馬對(duì)AutoRun的利用
AutoRun不僅能應(yīng)用于光盤(pán)中,同樣也可以應(yīng)用于硬盤(pán)中(要注意的是,AutoRun.inf必須存放在磁盤(pán)根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內(nèi)容吧。
打開(kāi)記事本,新建一個(gè)文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內(nèi)容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個(gè)標(biāo)準(zhǔn)的AutoRun文件必須以它開(kāi)頭,目的是告訴系統(tǒng)執(zhí)行它下面幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤(pán)或光盤(pán)設(shè)定一個(gè)個(gè)性化的圖標(biāo),“Shell32.DLL”是包含很多Windows圖標(biāo)的系統(tǒng)文件,“21”表示顯示編號(hào)為21的圖標(biāo),無(wú)數(shù)字則默認(rèn)采用文件中的第一個(gè)圖標(biāo);第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運(yùn)行程序的路徑及其文件名。
如果把Open行換為木馬文件,并將這個(gè)AutoRun.inf文件設(shè)置為隱藏屬性,我們點(diǎn)擊硬盤(pán)時(shí)就會(huì)啟動(dòng)木馬。
為防止遭到這樣的“埋伏”,可以禁止硬盤(pán)AutoRun功能。在“開(kāi)始”菜單的“運(yùn)行”中輸入Regedit,打開(kāi)注冊(cè)表編輯器,展開(kāi)到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主鍵下,在右側(cè)窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執(zhí)行CDROM或硬盤(pán)的AutoRun功能。將其鍵值改為9D,00,00,00就可以關(guān)閉硬盤(pán)的AutoRun功能,如果改為B5,00,00,00則禁止光盤(pán)的AutoRun功能。修改后重新啟動(dòng)計(jì)算機(jī),設(shè)置就會(huì)生效。
