揪出系统中秘密隐藏的木马(下)(4) 木马对文件关联的利用 在注册表HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\ Run下可以加载程序,使之开机则自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等。其实,除了这几种方法,还有一种修改注册表的方法可以使程序自启动。具体说来就是更改文件的打开方式,这样就可以使程序跟随你打开的那种文件类型一起启动!举个例子,打开注册表,展开注册表到:HKEY_CLASSES_ROOT\exefile\shell\open\command,这里是EXE文件的打开方式,默认键值为:"%1\" %*。如果把默认键值改为:Trojan.exe "%1\" %*,则你每次运行EXE文件,这个Trojan.exe文件就会被执行!木马“灰鸽子”就可以关联EXE文件打开方式,而大名鼎鼎的木马冰河采用的是与此相似的一招——关联TXT文件!目前这样的文件关联木马越来越多,有呈普遍化之趋势。当然,木马们更改的打开方式不一定只是EXE或TXT文件,其它文件的打开方式也可以这样修改。 对此的防范方法就是经常检查注册表,看文件打开方式是否发生了变化。如果发生了变化就将打开方式改回来。最好能经常备份注册表,发现问题立即用备份文件恢复注册表,既方便快捷又安全省事。 木马对设备名的利用 大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn等,但Windows 2000/XP有个漏洞可以用设备名来命名文件或文件夹,这样木马就可以躲在那里而不会被我们发现! 具体方法是:首先,点击“开始”菜单的“运行”,输入cmd.exe回车进入命令提示符窗口,然后输入md c:\con\\\命令可以建立一个名为con的目录!而默认请况下Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试其他设备名也一样可以建立,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护木马文件的目的! 现在我们可以把文件复制到这个特殊的目录下,当然不能直接在Windows中复制了,必须用特殊的方法,在CMD窗口中输入如下命令:copy muma.exe \\.\c:\aux\\就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:\aux\muam.exe\就会成功启动该木马!不过如果你试图在资源管理器中删除它,会发现这根本就是徒劳的。Windows会提示找不到该文件(图9)!怎么样,这样隐藏的木马不容易被发现吧? 由于使用"del c:\aux\\命令可以删除其中的muma.exe文件,所以为了达到更好的隐藏和保护效果,下木马者会把muma.exe文件也改名,让我们删也不好删!具体方法就是在复制木马文件到aux文件夹时使用如下命令:copy muma.exe \\.\c:\con.exe\,就可以把木马文件muma.exe复制到aux目录中并且改名为con.exe,而con.exe文件是无法用普通方法删除的!这样就又多了一层保险,对我们普通用户来说就又多了一层危险。 可能有的朋友会问:这个con.exe文件在“开始”菜单的“运行”中无法运行啊,很简单,只要在命令行方式下输入cmd /c \\.\c:\con\,就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过,下木马者一般来说会对其进行改进。 其实,对于这种隐藏木马的方法,一般说来只有能物理接触你的电脑的人才能做到,相对来说比较麻烦。对于这类特殊的文件夹,在发现后我们可以采用如下方法来删除它:首先,用del \\.\c:\con.exe\命令删除con.exe文件(该文件假设就是其中的木马文件名),然后再用rd \\.\c:\aux\命令删除aux文件夹即可。
