cnkoo
级别: 管理员

只看楼主 | | | 0 发表于:2009-12-28 22:27

看病毒是如何自启动的

本文将介绍病毒是如何自启动的(自动运行)

1.
通过修改注册表自启动项,在以下注册表键项上新建字符串,实现随开机自启动项一起启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
这是最原始的方式,被绝大部分病毒采用。但是这种方式没有什么创意,还容易暴露病毒程序,因此有点技术含量的病毒不会采用这种方式,比如磁碟机病毒几乎完全淘汰了这种启动方式!
2.
通过修改帐户的程序菜单,在如下位置写入病毒程序或病毒的快捷方式:
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
典型病毒为smss.exe、Lsass.exe病毒,这种方式倒是有点意思!
3.
通过系统自动播放功能启动,在autorun.inf文件中写入病毒代码,如下所示为auto.exe病毒的autorun文件:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe
双击打开磁盘分区或移动存储设备时,病毒(如auto.exe)被立即激活!
auto.exe一般不会单兵作战,还有一个帮凶explore病毒,这个病毒程序全名是explore.exe,在windows目录或system32目录下,或者名为explorer.exe,在system32目录下,大小为3~4Kb,启动方式是第一种。Explore与auto病毒狼狈为奸、相互勾结,处理起来稍有麻烦。
4.
伪装成系统驱动文件,把病毒文件复制到system32目录下的drivers子目录里面里面,跟随系统启动。
比如时下流行的HBService32 system.exe病毒,侵入系统后就在drivers目录下植入HBService32.sys等病毒文件,跟随系统启动后,无法查看病毒的进程,注册表自启动键项被加入病毒system.exe的启动项,而且注册表被病毒控制无法修改并保存设置,用一般方法很难对付!
5.
在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 键项
右边窗口添加load 字符串,数值数据为 病毒程序。
比如,load %windows%svchost.exe (autorun.inf病毒,copy.exe host.exe病毒)
6.
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 键项
右边窗口的AppInit_DLLs字符串里面添加病毒的.dll文件,实现自动启动。
比如蝗虫军团病毒。
7.
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks键项
右边添加病毒的dll文件,不过是二进制的字符串值,比如:{AEB6717E-7E19-11d0-97EE-00C04FD91972},从文件名无法判断是什么类型的文件,因此在注册表里面搜索这些病毒的dll文件时,查不到。
例如蝗虫军团病毒。
8.
以windows任务计划的方式启动。
病毒在C:\WINDOWS\Tasks 目录下建立任务计划,实现开机自动启动或在指定的时间段自动发作;
9.
病毒程序直接进驻磁盘分区的虚拟页面交换文件中,如pagefile.sys、hiberfil.sys;(还有System Volume Information目录和磁盘引导区等也是病毒藏身的地方。)系统启动后,当物理内存与虚拟页面文件之间交换数据时,病毒立即混入内存并激活(是我的个人观点,经过反复试验也没有找到直接证据),这种病毒激活后会很快夺取系统权限,从而受到系统的严密保护,死活不让用户包括超级管理员帐户终止病毒的进程!即使终止成功了,也会导致系统立即重启;重启后,发现占领系统制高点的不是用户,也不是杀毒软件,而是病毒!
此类病毒最难缠,很多中招的电脑用户把电脑硬盘全部格式化以后,还是未能解决这种病毒。
典型病毒是磁碟机病毒Worm.Win32.DiskGen,这种病毒可能还会从磁盘引导区随系统启动(比较复杂,不能确定,硬盘引导区的数据看上去全是乱码,直接看不懂!只是觉得中毒后引导区的数据多了不少)。

酷网社区提示:
目前越来越多的病毒采用多种方式自启动,以确保自己在系统启动时不至于缺席或迟到!跟操作系统和硬件一样,病毒一直在努力,不断更新换代,肯定还会有一些新技术被病毒发现并利用,与病毒的这场战争,不会有最终的胜利者!
酷网社欢迎您的到来
aion4217
级别: 新手上路
只看该作者 | | | 1 发表于:2010-04-26 09:39

来看看