　　木马病毒藏在哪里？

　　目前，大多数的木马病毒程序为达到下次随计算机启动而自动加载的目的，一般都会将自身隐藏于系统的一些启动项中，利用Windows系统在启动过程中会自动加载某些特定位置所指向的程序的特点，达到每次跟随系统启动而加载的目的。木马病毒最常见的几种隐藏方式有以下几种：

　　1、 Win.ini文件

　　在Win.ini文件中的[Windows]字段中，包含“Load=”和“Run=”两项，通常情况下此两处均应为空，如果发现后面跟的路径与文件名是不熟悉的文件，很有可能就是木马程序了。当然，也有一些木马病毒会将自己伪装成大家十分熟悉的名字，而诱使你上当，如“AOL Trojan”木马，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

　　2、 System.ini文件

　　在System.ini文件的[386Enh]字段中，可以通过增加“Driver=路径程序名”的方式，使指定的程序随Windows的启动而自动加载。

　　3、启动加载文件

　　Windows 98/ME在启动时，也会加载Winstart.bat和Autoexec.bat文件中的程序，当系统以命令行方式启动时，会加载Dosstart.bat和Autoexec.bat文件中的程序。由于现在很少有程序会通过这三个文件自动加载，所以通常只要将这三个文件内容清空即可。当然，通过这种方式启动的木马病毒程序也十分少见，毕竟这里并不是利于藏身的好地方。

　　4、隐藏真实程序扩展名

　　由于大量的宣传，用户已经逐渐了解到随意执行一些程序，可能会对计算机系统带来灾难性的后果。因此，当用户不能确定一个程序的来源与功能时，可能不会轻易地执行它，而数据文件包括文档文件的打开是相对安全的，因此可能会毫不犹豫地打开它。然而，有些木马病毒正是通过将自己的.exe、.com等程序文件扩展名隐藏起来，伪装成一个.txt或.jpg的数据文件来欺骗用户，当用户双击打开这种文件时，一个潘多拉盒子也就被打开了。在Windows系统的默认情况下，已知文件类型的扩展文件名是不显示出来的，为了了解一个文件的真实后缀名，建议用户取消“隐藏已知文件类型的扩展名”前的复选框。设置方法为：打开“我的电脑”，点击“工具->文件夹选项”，在打开的对话框中点击“查看”，取消“隐藏已知文件类型的扩展名”前的复选框即可。

　　5、注册表

　　注册表内浩如烟海的分支与数据，在Windows系统流行近十年后的今天仍然给人一种神秘的印象。正是由于注册表数据繁杂、重要，任何的错误修改都有可能导致系统的故障，用户往往不敢或很少主动去操作注册表，因而这里也成为木马病毒最好的藏身所在。注册表中有许多地方能够让木马病毒实现自动加载，目前，大多数查杀木马病毒的程序都将注册表视为一个检测的重点区域。

　　1) 随系统启动加载

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunOnce

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunOnceEx

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServicesOnce

　　HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun

　　HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunOnce

　　2) 通过文件关联加载

　　通过文件关联启动的木马病毒有着很强的迷惑性，它的原理是利用Windows提供的双击某一数据文件时，自动打开此数据文件相应的处理程序这一功能，将处理程序偷梁换柱成木马病毒程序，每当用户双击该数据文件希望自动打开处理程序时，启动的恰恰是木马病毒。例如，当用户双击一个.txt文本文件时，可能木马病毒就会替代Windows的记事本程序而自动加载到内存中运行。木马病毒常见的关联加载选项如下：

　　HKEY_CLASSES_ROOT xtfileshellopencommand 关联TXT文件

　　HKEY_CLASSES_ROOTdllfileshellopencommand 关联DLL文件

　　HKEY_CLASSES_ROOTexefileshellopencommand 关联EXE文件

　　HKEY_CLASSES_ROOTcomfileshellopencommand 关联COM文件

　　HKEY_CLASSES_ROOTatfileshellopencommand 关联BAT文件

　　HKEY_CLASSES_ROOThtafileshellopencommand 关联HTA文件

　　HKEY_CLASSES_ROOTpiffileshellopencommand 关联PIF文件

　　HKEY_LOCAL_MACHINEsoftware xtfileshellopen command 关联TXT文件

　　HKEY_LOCAL_MACHINEsoftwaredllfileshellopen command 关联DLL文件

　　HKEY_LOCAL_MACHINEsoftwareexefileshellopen command 关联EXE文件

　　HKEY_LOCAL_MACHINEsoftwarecomfileshellopen command 关COM联文件

　　HKEY_LOCAL_MACHINEsoftwareatfileshellopen command关联BAT文件

　　HKEY_LOCAL_MACHINEsoftwarehtafileshellopen command关联HTA文件

　　HKEY_LOCAL_MACHINEsoftwarepiffileshellopen command关联PIF文件

　　在上述十四处位置中，“COMMAND”子键的默认键值均应为“%d” %＊，如果被改为VirusFileName.exe“%d” %＊，则双击以上扩展名文件时，木马病毒VirusFileName将立即自动启动。

　　3) Active-X控件

　　如果存在：HKEY_LOCAL_MACHINEsoftwareMicrosoft ActiveSetupInstalled componentskeynamestubpath子键，那么该子键的默认值如果是“C:pathtofileVirusFileName.exe”，VirusFileName.exe文件将先于外壳程序和其他任何通过Run键运行的程序执行，这将意味着该木马病毒程序会先于一些杀毒软件进入内存，而导致杀毒软件的失效。

　　木马病毒的检测

　　木马病毒一般利用注册表来加载自身，但是通过对注册表的扫描来检测木马是十分困难的。因为木马病毒的文件名可以千变万化，往往同一种木马其文件名可能完全不同，要有效地检测出木马病毒，必须通过动静结合的方法来实现。

　　静态检测法

　　目前，实践表明比较有效的静态检测法是首先建立一个完善的病毒特征库，通过提取疑似程序相同部位数据对比病毒特征库中的记录，相同则报警发现病毒，不同则通过检测。但是这种方法的缺点就是检测速度比较慢，如果文件个数较少尚可，一旦文件个数较多则会加大时间开销。这种方法之所以时间开销较大，主要是在特征字符串比较上所开销的时间较多，对于能够寄生在宿主文件中的文件型病毒和蠕虫病毒而言，为保证准确检测病毒，这种特征字符串的比较是必须的，而目前几乎所有的木马病毒都不具备寄生能力，而是以独立文件形式存在，这样就完全可以采用校验码的方法来更快速地实现木马病毒的检测。上一页12 下一页

www.itfly.org

返回顶部 | 打印本页 | 关闭窗口