??????? 對(duì)于美國(guó)網(wǎng)站服務(wù)器用戶來(lái)說(shuō),木馬病毒入侵事件肯定是經(jīng)常聽(tīng)到的,也是需要美國(guó)網(wǎng)站服務(wù)器用戶注意提防的病毒類(lèi)型,目前木馬病毒的入侵方式也是存在好幾種類(lèi)型,本文小編就來(lái)介紹一下美國(guó)網(wǎng)站服務(wù)器木馬病毒常見(jiàn)的入侵方式。
??????? 1、在win.ini文件中加載
??????? 在win.ini文件中的【windwos】段中會(huì)有如下加載項(xiàng):run= load= ,一般此兩項(xiàng)為空,如果發(fā)現(xiàn)美國(guó)網(wǎng)站服務(wù)器系統(tǒng)中的此兩項(xiàng)加載了任何可疑的程序時(shí),可根據(jù)其提供的源文件路徑和功能進(jìn)一步檢查。這兩項(xiàng)分別是用來(lái)當(dāng)美國(guó)網(wǎng)站服務(wù)器系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行和加載程序的,如果木馬程序加載到這兩個(gè)子項(xiàng)中之后,那么系統(tǒng)啟動(dòng)后即可自動(dòng)運(yùn)行或加載了。
??????? 當(dāng)然也有可能美國(guó)網(wǎng)站服務(wù)器系統(tǒng)之中確實(shí)需要加載某一個(gè)程序,但要知道這更是木馬利用的好機(jī)會(huì),它往往會(huì)在美國(guó)網(wǎng)站服務(wù)器現(xiàn)有加載的程序文件名之后再加一個(gè)它自己的文件名或者參數(shù),這個(gè)文件名也往往用美國(guó)網(wǎng)站服務(wù)器用戶常見(jiàn)的文件,如command.exe、sys.com等來(lái)偽裝。
??????? 2、在System.ini文件中加載
??????? 在美國(guó)網(wǎng)站服務(wù)器系統(tǒng)信息文件system.ini中也有一個(gè)啟動(dòng)加載項(xiàng),那就是在【BOOT】子項(xiàng)中的Shell項(xiàng)。在這里木馬最慣用的伎倆就是把本應(yīng)是“Explorer”變成它自己的程序名,名稱(chēng)偽裝成幾乎與原來(lái)的一樣,比如只需稍稍改“Explorer”的字母“I”改為數(shù)字“1”,或者把其中的“o”改為數(shù)字“0”,這些改變?nèi)绻蛔屑?xì)留意是很難被發(fā)現(xiàn)的,這就是前面所講的欺騙性。
??????? 當(dāng)然也有的木馬不是這樣做的,而是直接把“Explorer”改為別的什么名字,因?yàn)橛泻芏?u>美國(guó)網(wǎng)站服務(wù)器用戶是不知道這里就是“Explorer”,或者在“Explorer”加上點(diǎn)其它東西,加上的那些東西肯定就是木馬程序了。
??????? 3、修改注冊(cè)表
??????? 在注冊(cè)表中也可以設(shè)置一些啟動(dòng)加載項(xiàng)目的,況且在注冊(cè)表中更安全,因?yàn)闀?huì)看注冊(cè)表的美國(guó)網(wǎng)站服務(wù)器用戶很少。事實(shí)上,只要是“Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce ”等都是木馬程序加載的入口,例如以下項(xiàng)目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft?\Windows\CurrentVersion\Run或RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
??????? 只要按照其指定的源文件路徑一路查過(guò)去,并具體研究一下在美國(guó)網(wǎng)站服務(wù)器系統(tǒng)中的作用就不難發(fā)現(xiàn)這些,不過(guò)同樣要注意木馬的欺騙性,同時(shí)還要仔細(xì)觀察一下在這些鍵值項(xiàng)中是否有類(lèi)似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。
??????? 4、修改文件打開(kāi)關(guān)聯(lián)
??????? 木馬程序發(fā)展到了今天,為了更加隱蔽自己,所采用手段也是越來(lái)越隱蔽,它們開(kāi)始采用修改美國(guó)網(wǎng)站服務(wù)器文件打開(kāi)關(guān)聯(lián)來(lái)達(dá)到加載的目的,當(dāng)打開(kāi)了一個(gè)已修改了打開(kāi)關(guān)聯(lián)的文件時(shí),木馬也就開(kāi)始了它的運(yùn)作,如冰河木馬病毒就是利用文本文件【.txt】這個(gè)最常見(jiàn),但又最不引人注目的文件格式關(guān)聯(lián)來(lái)加載,當(dāng)有美國(guó)網(wǎng)站服務(wù)器用戶打開(kāi)文本文件時(shí),就會(huì)自動(dòng)加載冰河木馬病毒。
??????? 修改關(guān)聯(lián)的途經(jīng)還是選擇了注冊(cè)表的修改,主要選擇的是美國(guó)網(wǎng)站服務(wù)器文件格式中的【打開(kāi)】、【編輯】、【打印】項(xiàng)目,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是
c:\windows\notepad.exe?%1
??????? 而是改為:
syXXXplr.exe?%1”
??????? 以上所介紹的幾種美國(guó)網(wǎng)站服務(wù)器木馬病毒入侵方式,如果發(fā)現(xiàn)需要立即對(duì)其刪除,并要立即與網(wǎng)絡(luò)斷開(kāi),切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊(cè)表發(fā)現(xiàn)的,則要利用注冊(cè)表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點(diǎn),做到徹底清除。如果作了美國(guó)網(wǎng)站服務(wù)器注冊(cè)表備份,最好全部刪除注冊(cè)表后再導(dǎo)入原來(lái)的備份注冊(cè)表。
??????? 在清除木馬前一定要注意,如果木馬正在運(yùn)行則無(wú)法刪除其程序,這時(shí)可以重新啟動(dòng)到DOS方式然后將其刪除。有的木馬會(huì)自動(dòng)檢查其在注冊(cè)表中的自啟動(dòng)項(xiàng),如果是在木馬處于活動(dòng)時(shí)刪除該項(xiàng)的話它能自動(dòng)恢復(fù),這時(shí)可以將美國(guó)網(wǎng)站服務(wù)器重啟到DOS下將其程序刪除后再進(jìn)入將其注冊(cè)表中的自啟動(dòng)項(xiàng)刪除。
??????? 以上講的是已發(fā)現(xiàn)的情況下可以采取這些補(bǔ)救措施,但是一般情況下沒(méi)有那么容易發(fā)現(xiàn)它,只好利用專(zhuān)門(mén)的美國(guó)網(wǎng)站服務(wù)器殺毒軟件來(lái)幫助進(jìn)行查殺。目前專(zhuān)門(mén)查殺木馬病毒的反木馬軟件主要有以下幾種,美國(guó)網(wǎng)站服務(wù)器用戶可以借助它們來(lái)消除木馬病毒。目前最常用的反木馬病毒程序有以下幾個(gè):
??????? 1、the?cleaner
??????? 它可以隨時(shí)自動(dòng)升級(jí),只要輕點(diǎn)UPDATE按鈕即可,不會(huì)像LOCKDOWN還要查美國(guó)網(wǎng)站服務(wù)器的用戶密碼。它的實(shí)時(shí)監(jiān)控程序TCA,可即時(shí)顯示美國(guó)網(wǎng)站服務(wù)器當(dāng)前所有運(yùn)行程序并有詳細(xì)的描述信息。
??????? 2、Trojan?Remover
??????? 它是一個(gè)專(zhuān)門(mén)用來(lái)清除特洛伊木馬和自動(dòng)修復(fù)美國(guó)網(wǎng)站服務(wù)器系統(tǒng)文件的工具,能夠檢查系統(tǒng)登錄文件、掃描WIN.INI、SYSTEM.INI和系統(tǒng)登錄文件,且掃描完成后會(huì)產(chǎn)生Log信息文件,并自動(dòng)清除特洛伊木馬和修復(fù)系統(tǒng)文件。
??????? 3、parmor
??????? 0719版本可以查殺5021種國(guó)際木馬,112種電子郵件木馬,保證查殺冰河類(lèi)文件關(guān)聯(lián)木馬,oicq類(lèi)寄生木馬,icmp類(lèi)幽靈木馬,網(wǎng)絡(luò)神偷類(lèi)反彈木馬。內(nèi)置美國(guó)網(wǎng)站服務(wù)器木馬防火墻,任何黑客試圖與美國(guó)網(wǎng)站服務(wù)器本機(jī)建立連接,都需要Iparmor 確認(rèn),不僅可以查殺木馬,更可以查黑客。
??????? 到這里美國(guó)網(wǎng)站服務(wù)器木馬病毒常見(jiàn)的入侵方式以及成勇的反木馬和病毒就介紹完畢,希望能幫助到有需要的美國(guó)網(wǎng)站服務(wù)器用戶們。
??????? 現(xiàn)在夢(mèng)飛科技合作的美國(guó)VM機(jī)房的美國(guó)網(wǎng)站服務(wù)器所有配置都免費(fèi)贈(zèng)送防御值 ,可以有效防護(hù)網(wǎng)站的安全,以下是部分配置介紹:
| CPU | 內(nèi)存 | 硬盤(pán) | 帶寬 | IP | 價(jià)格 | 防御 |
| E3-1230v3 | 16GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 900/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| E3-1270v2 | 32GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 1250/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| E3-1275v5 | 32GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 1350/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| Dual?E5-2630L | 32GB | 500GB?SSD | 1G無(wú)限流量 | 1個(gè)IP | 1450/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
??????? 夢(mèng)飛科技已與全球多個(gè)國(guó)家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。持續(xù)關(guān)注夢(mèng)飛科技官網(wǎng),獲取更多IDC資訊!
?
?
文章鏈接: http://www.qzkangyuan.com/23205.html
文章標(biāo)題:美國(guó)網(wǎng)站服務(wù)器木馬病毒常見(jiàn)的入侵方式
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
