木馬藏身地大曝光

“熊貓燒香”鬧得人心惶惶，但它在系統(tǒng)中隱藏自己的方法并不是十分高明。有的木馬雖然危害不大，但“藏貓貓”的功夫卻很了得，真是太有才了。

只會躲起來的木馬

木馬要想留在受害者的電腦中伺機作案，就必須長期潛伏在系統(tǒng)中，于是它們研究出了各種藏身的方法。

1．啟動組

就在“開始→所有程序→啟動”菜單中，對應路徑為C:\\Documents andSettings\\USER\\[開始]菜單＼程序(USER為用戶名稱)，在注冊表中的位置為HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders。藏身于此的木馬，要么是自己“找死”，要么異常頑強——即便暴露也難以被干掉。

2．Svstem.ini

System.ini作為一個重要配置文件，能夠自動加載指定程序，位于C:\\WINDOWS目錄一下。藏身在“[boot]”處“shell=Explorer.exe”字段下，木馬就能達到自啟動的目的。如傳奇木馬Win32.Troj.Lmir.ah就會修改此處，達到激活的目的。

3．Win.ini

同system.ini一樣，win.ini也是木馬自啟動的溫床，該文件里的“[Windows]”處“Load=”和“Run=”字段常常被修改為木馬程序。

4．注冊表Run鍵

木馬的藏身之地要數(shù)注冊表里最多了，這其中又以Run鍵最為兇險，可謂眾多木馬必爭之地。

例如“熊貓燒香”的棲息之所就在這里，它在HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run處加入了“FuckJacks=％System％FuckJacks.exe”。

懂得穿上偽裝的木馬

1．Aucorun.inf文件

很多病毒在分區(qū)根目錄下生成Autorun.inf文件，一旦用戶雙擊分區(qū)，就會觸發(fā)病毒運行。此時，我們可以通過右鍵菜單的“打開”命令來瀏覽，從而避免觸發(fā)木馬。

2．利用文件關聯(lián)

最常見要數(shù)TXT文件關聯(lián)木馬了。中了這種木馬后，雙擊任何一個TXT文件，原本應該用Notepad打開，現(xiàn)在就變成了啟動木馬程序了。

這類木馬一般是在注冊表的兩個地方做手腳，HKEY_cLASSES_ROOT\\xxxfile\\shell\\open\\command和HKEY_LOCAL_MACHINE\\Software\\CLASSES\\xxxfile\\shell\\open\\command(XXX為擴展名，如txt、exe等)。例如冰河木馬，就會在HKEY_CLASSES_ROOT\xtfile\\shell\\open\\command下修改默認值為C:\\Windows\\system\\Sysexplr.exe％1，只要改回默認值C:\\Windows\otepad.exe％1即可恢復關聯(lián)。

修復時可以打開“控制面板→文件夾選項”，找到文件類型點擊“高級”，編輯“open”操作，在這里修改文件類型關聯(lián)的應用程序。

3．偽裝成服務

有的木馬以假亂真，混淆視聽，比如用svchost和svchOst考考你的眼力。不過這種障眼法沒有技術含量，“有頭有臉”的木馬對此不屑一顧，于是就有了以“灰鴿子”為代表的實力派木馬。

“灰鴿子”可以隱藏文件、隱藏進程，惟一暴露的就是以系統(tǒng)服務方式自動運行，通過“控制面板→管理工具→服務”可以查看。一句“終止或禁用此服務會造成系統(tǒng)不穩(wěn)定”足以令人望而生畏，但在“可執(zhí)行文件的路徑”這里卻露出了馬腳。

如果發(fā)現(xiàn)這種情況，可以在注冊表的HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services處列出了所有的系統(tǒng)服務，通過分析服務的執(zhí)行文件可搜出木馬的文件位置，然后刪除。