服務(wù)器中木馬病毒入侵方式有:1、在win.ini文件中加載入侵����;2�����、在System.ini文件中加載入侵;3�、修改注冊表設(shè)置啟動加載項來進行入侵;4��、通過修改文件打開關(guān)聯(lián)來達到入侵��。
具體內(nèi)容如下:
1���、在win.ini文件中加載��,一般在win.ini文件中的【windwos】段中有如下加載項:run= load= ���,一般此兩項為空。如果你發(fā)現(xiàn)系統(tǒng)中的此兩項加載了任何可疑的程序時�����,可根據(jù)其提供的源文件路徑和功能進一步檢查�����。這兩項分別是用來當(dāng)系統(tǒng)啟動時自動運行和加載程序的,如果木馬程序加載到這兩個子項中之后��,那么系統(tǒng)啟動后即可自動運行或加載了��。
2����、在System.ini文件中加載����,在系統(tǒng)信息文件system.ini中也有一個啟動加載項,那就是在【BOOT】子項中的Shell項��。在這里木馬最慣用的伎倆就是把本應(yīng)是“Explorer”變成它自己的程序名����,名稱偽裝成幾乎與原來的一樣,只需稍稍改“Explorer”的字母“I”改為數(shù)字“1”�����,或者把其中的“o”改為數(shù)字“0”�,這些改變?nèi)绻蛔屑毩粢馐呛茈y被人發(fā)現(xiàn)的��,這就是我們前面所講的欺騙性���。
3、修改注冊表��,在注冊表中也可以設(shè)置一些啟動加載項目的���,況且注冊表中更安全�,因為會看注冊表的人更少���。事實上��,只要是“RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce ”等都是木馬程序加載的入口�,如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]�����。
4�、修改文件打開關(guān)聯(lián),木馬程序發(fā)展到了今天��,為了更加隱蔽自己�����,所采用手段也是越來越隱蔽,它們開始采用修改文件打開關(guān)聯(lián)來達到加載的目的����,當(dāng)打開了一個已修改了打開關(guān)聯(lián)的文件時,木馬也就開始了它的運作���,如冰河木馬就是利用文本文件【.txt】這個最常見���,但又最不引人注目的文件格式關(guān)聯(lián)來加載���,當(dāng)有人打開文本文件時就自動加載了冰河木馬�����。
修改關(guān)聯(lián)的途徑還是選擇了注冊表的修改�����,它主要選擇的是文件格式中的【打開】���、【編輯】����、【打印】項目���,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的鍵值不是“c:windows otepad.exe %1”��,而是改為“syXXXplr.exe %1”���。
