??????? 對于美國網站服務器用戶來說,木馬病毒入侵事件肯定是經常聽到的,也是需要美國網站服務器用戶注意提防的病毒類型,目前木馬病毒的入侵方式也是存在好幾種類型,本文小編就來介紹一下美國網站服務器木馬病毒常見的入侵方式。
??????? 1、在win.ini文件中加載
??????? 在win.ini文件中的【windwos】段中會有如下加載項:run= load= ,一般此兩項為空,如果發現美國網站服務器系統中的此兩項加載了任何可疑的程序時,可根據其提供的源文件路徑和功能進一步檢查。這兩項分別是用來當美國網站服務器系統啟動時自動運行和加載程序的,如果木馬程序加載到這兩個子項中之后,那么系統啟動后即可自動運行或加載了。
??????? 當然也有可能美國網站服務器系統之中確實需要加載某一個程序,但要知道這更是木馬利用的好機會,它往往會在美國網站服務器現有加載的程序文件名之后再加一個它自己的文件名或者參數,這個文件名也往往用美國網站服務器用戶常見的文件,如command.exe、sys.com等來偽裝。
??????? 2、在System.ini文件中加載
??????? 在美國網站服務器系統信息文件system.ini中也有一個啟動加載項,那就是在【BOOT】子項中的Shell項。在這里木馬最慣用的伎倆就是把本應是“Explorer”變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,比如只需稍稍改“Explorer”的字母“I”改為數字“1”,或者把其中的“o”改為數字“0”,這些改變如果不仔細留意是很難被發現的,這就是前面所講的欺騙性。
??????? 當然也有的木馬不是這樣做的,而是直接把“Explorer”改為別的什么名字,因為有很多美國網站服務器用戶是不知道這里就是“Explorer”,或者在“Explorer”加上點其它東西,加上的那些東西肯定就是木馬程序了。
??????? 3、修改注冊表
??????? 在注冊表中也可以設置一些啟動加載項目的,況且在注冊表中更安全,因為會看注冊表的美國網站服務器用戶很少。事實上,只要是“Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce ”等都是木馬程序加載的入口,例如以下項目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft?\Windows\CurrentVersion\Run或RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
??????? 只要按照其指定的源文件路徑一路查過去,并具體研究一下在美國網站服務器系統中的作用就不難發現這些,不過同樣要注意木馬的欺騙性,同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。
??????? 4、修改文件打開關聯
??????? 木馬程序發展到了今天,為了更加隱蔽自己,所采用手段也是越來越隱蔽,它們開始采用修改美國網站服務器文件打開關聯來達到加載的目的,當打開了一個已修改了打開關聯的文件時,木馬也就開始了它的運作,如冰河木馬病毒就是利用文本文件【.txt】這個最常見,但又最不引人注目的文件格式關聯來加載,當有美國網站服務器用戶打開文本文件時,就會自動加載冰河木馬病毒。
??????? 修改關聯的途經還是選擇了注冊表的修改,主要選擇的是美國網站服務器文件格式中的【打開】、【編輯】、【打印】項目,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是
c:\windows\notepad.exe?%1
??????? 而是改為:
syXXXplr.exe?%1”
??????? 以上所介紹的幾種美國網站服務器木馬病毒入侵方式,如果發現需要立即對其刪除,并要立即與網絡斷開,切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊表發現的,則要利用注冊表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點,做到徹底清除。如果作了美國網站服務器注冊表備份,最好全部刪除注冊表后再導入原來的備份注冊表。
??????? 在清除木馬前一定要注意,如果木馬正在運行則無法刪除其程序,這時可以重新啟動到DOS方式然后將其刪除。有的木馬會自動檢查其在注冊表中的自啟動項,如果是在木馬處于活動時刪除該項的話它能自動恢復,這時可以將美國網站服務器重啟到DOS下將其程序刪除后再進入將其注冊表中的自啟動項刪除。
??????? 以上講的是已發現的情況下可以采取這些補救措施,但是一般情況下沒有那么容易發現它,只好利用專門的美國網站服務器殺毒軟件來幫助進行查殺。目前專門查殺木馬病毒的反木馬軟件主要有以下幾種,美國網站服務器用戶可以借助它們來消除木馬病毒。目前最常用的反木馬病毒程序有以下幾個:
??????? 1、the?cleaner
??????? 它可以隨時自動升級,只要輕點UPDATE按鈕即可,不會像LOCKDOWN還要查美國網站服務器的用戶密碼。它的實時監控程序TCA,可即時顯示美國網站服務器當前所有運行程序并有詳細的描述信息。
??????? 2、Trojan?Remover
??????? 它是一個專門用來清除特洛伊木馬和自動修復美國網站服務器系統文件的工具,能夠檢查系統登錄文件、掃描WIN.INI、SYSTEM.INI和系統登錄文件,且掃描完成后會產生Log信息文件,并自動清除特洛伊木馬和修復系統文件。
??????? 3、parmor
??????? 0719版本可以查殺5021種國際木馬,112種電子郵件木馬,保證查殺冰河類文件關聯木馬,oicq類寄生木馬,icmp類幽靈木馬,網絡神偷類反彈木馬。內置美國網站服務器木馬防火墻,任何黑客試圖與美國網站服務器本機建立連接,都需要Iparmor 確認,不僅可以查殺木馬,更可以查黑客。
??????? 到這里美國網站服務器木馬病毒常見的入侵方式以及成勇的反木馬和病毒就介紹完畢,希望能幫助到有需要的美國網站服務器用戶們。
??????? 現在夢飛科技合作的美國VM機房的美國網站服務器所有配置都免費贈送防御值 ,可以有效防護網站的安全,以下是部分配置介紹:
| CPU | 內存 | 硬盤 | 帶寬 | IP | 價格 | 防御 |
| E3-1230v3 | 16GB | 500GB?SSD | 1G無限流量 | 1個IP | 900/月 | 免費贈送1800Gbps?DDoS防御 |
| E3-1270v2 | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1250/月 | 免費贈送1800Gbps?DDoS防御 |
| E3-1275v5 | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1350/月 | 免費贈送1800Gbps?DDoS防御 |
| Dual?E5-2630L | 32GB | 500GB?SSD | 1G無限流量 | 1個IP | 1450/月 | 免費贈送1800Gbps?DDoS防御 |
??????? 夢飛科技已與全球多個國家的頂級數據中心達成戰略合作關系,為互聯網外貿行業、金融行業、IOT行業、游戲行業、直播行業、電商行業等企業客戶等提供一站式安全解決方案。持續關注夢飛科技官網,獲取更多IDC資訊!
?
?
文章鏈接: http://www.qzkangyuan.com/23205.html
文章標題:美國網站服務器木馬病毒常見的入侵方式
文章版權:夢飛科技所發布的內容,部分為原創文章,轉載請注明來源,網絡轉載文章如有侵權請聯系我們!
