木马病毒,我们大家都是非常的熟悉,这个病毒传播危害大,那么它都通过那些方式传播的你知道吗?
第一招:利用系统启动文件
1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键
3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据
第二招:关联类型文件使木马运行
在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)
注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在 open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了
当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊
第三招:文件捆绑使木马运行
捆绑和关联文件不同,关联是修改注册表,但捆绑类似于病毒的“感染”,就是把木马的进程感染到其他的执行文件上,业内著名木马“网络公牛 - Netbull”就是利用这种方法进行启动。
网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下,下次开机自动运行,同时服务端在运行时会自动捆绑以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自动搜索系统启动项程序,捆绑之。比如qq.exe realplay.exe
除非把以上文件全部删除,否则无法清除,但系统文件删除后系统就无法正常运行,所以大多数人只能重装系统。确实牛。
