??????? 對(duì)于美國網(wǎng)站服務(wù)器用戶來說,木馬病毒入侵事件肯定是經(jīng)常聽到的,也是需要美國網(wǎng)站服務(wù)器用戶注意提防的病毒類型,目前木馬病毒的入侵方式也是存在好幾種類型,本文小編就來介紹一下美國網(wǎng)站服務(wù)器木馬病毒常見的入侵方式。
??????? 1、在win.ini文件中加載
??????? 在win.ini文件中的【windwos】段中會(huì)有如下加載項(xiàng):run= load= ,一般此兩項(xiàng)為空,如果發(fā)現(xiàn)美國網(wǎng)站服務(wù)器系統(tǒng)中的此兩項(xiàng)加載了任何可疑的程序時(shí),可根據(jù)其提供的源文件路徑和功能進(jìn)一步檢查。這兩項(xiàng)分別是用來當(dāng)美國網(wǎng)站服務(wù)器系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行和加載程序的,如果木馬程序加載到這兩個(gè)子項(xiàng)中之后,那么系統(tǒng)啟動(dòng)后即可自動(dòng)運(yùn)行或加載了。
??????? 當(dāng)然也有可能美國網(wǎng)站服務(wù)器系統(tǒng)之中確實(shí)需要加載某一個(gè)程序,但要知道這更是木馬利用的好機(jī)會(huì),它往往會(huì)在美國網(wǎng)站服務(wù)器現(xiàn)有加載的程序文件名之后再加一個(gè)它自己的文件名或者參數(shù),這個(gè)文件名也往往用美國網(wǎng)站服務(wù)器用戶常見的文件,如command.exe、sys.com等來偽裝。
??????? 2、在System.ini文件中加載
??????? 在美國網(wǎng)站服務(wù)器系統(tǒng)信息文件system.ini中也有一個(gè)啟動(dòng)加載項(xiàng),那就是在【BOOT】子項(xiàng)中的Shell項(xiàng)。在這里木馬最慣用的伎倆就是把本應(yīng)是“Explorer”變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,比如只需稍稍改“Explorer”的字母“I”改為數(shù)字“1”,或者把其中的“o”改為數(shù)字“0”,這些改變?nèi)绻蛔屑?xì)留意是很難被發(fā)現(xiàn)的,這就是前面所講的欺騙性。
??????? 當(dāng)然也有的木馬不是這樣做的,而是直接把“Explorer”改為別的什么名字,因?yàn)橛泻芏?u>美國網(wǎng)站服務(wù)器用戶是不知道這里就是“Explorer”,或者在“Explorer”加上點(diǎn)其它東西,加上的那些東西肯定就是木馬程序了。
??????? 3、修改注冊(cè)表
??????? 在注冊(cè)表中也可以設(shè)置一些啟動(dòng)加載項(xiàng)目的,況且在注冊(cè)表中更安全,因?yàn)闀?huì)看注冊(cè)表的美國網(wǎng)站服務(wù)器用戶很少。事實(shí)上,只要是“Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce ”等都是木馬程序加載的入口,例如以下項(xiàng)目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft?\Windows\CurrentVersion\Run或RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices-] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
??????? 只要按照其指定的源文件路徑一路查過去,并具體研究一下在美國網(wǎng)站服務(wù)器系統(tǒng)中的作用就不難發(fā)現(xiàn)這些,不過同樣要注意木馬的欺騙性,同時(shí)還要仔細(xì)觀察一下在這些鍵值項(xiàng)中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。
??????? 4、修改文件打開關(guān)聯(lián)
??????? 木馬程序發(fā)展到了今天,為了更加隱蔽自己,所采用手段也是越來越隱蔽,它們開始采用修改美國網(wǎng)站服務(wù)器文件打開關(guān)聯(lián)來達(dá)到加載的目的,當(dāng)打開了一個(gè)已修改了打開關(guān)聯(lián)的文件時(shí),木馬也就開始了它的運(yùn)作,如冰河木馬病毒就是利用文本文件【.txt】這個(gè)最常見,但又最不引人注目的文件格式關(guān)聯(lián)來加載,當(dāng)有美國網(wǎng)站服務(wù)器用戶打開文本文件時(shí),就會(huì)自動(dòng)加載冰河木馬病毒。
??????? 修改關(guān)聯(lián)的途經(jīng)還是選擇了注冊(cè)表的修改,主要選擇的是美國網(wǎng)站服務(wù)器文件格式中的【打開】、【編輯】、【打印】項(xiàng)目,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是
c:\windows\notepad.exe?%1
??????? 而是改為:
syXXXplr.exe?%1”
??????? 以上所介紹的幾種美國網(wǎng)站服務(wù)器木馬病毒入侵方式,如果發(fā)現(xiàn)需要立即對(duì)其刪除,并要立即與網(wǎng)絡(luò)斷開,切斷黑客通訊的途徑,在以上各種途徑中查找,如果是在注冊(cè)表發(fā)現(xiàn)的,則要利用注冊(cè)表的查找功能全部查找一篇,清除所有的木馬隱藏的窩點(diǎn),做到徹底清除。如果作了美國網(wǎng)站服務(wù)器注冊(cè)表備份,最好全部刪除注冊(cè)表后再導(dǎo)入原來的備份注冊(cè)表。
??????? 在清除木馬前一定要注意,如果木馬正在運(yùn)行則無法刪除其程序,這時(shí)可以重新啟動(dòng)到DOS方式然后將其刪除。有的木馬會(huì)自動(dòng)檢查其在注冊(cè)表中的自啟動(dòng)項(xiàng),如果是在木馬處于活動(dòng)時(shí)刪除該項(xiàng)的話它能自動(dòng)恢復(fù),這時(shí)可以將美國網(wǎng)站服務(wù)器重啟到DOS下將其程序刪除后再進(jìn)入將其注冊(cè)表中的自啟動(dòng)項(xiàng)刪除。
??????? 以上講的是已發(fā)現(xiàn)的情況下可以采取這些補(bǔ)救措施,但是一般情況下沒有那么容易發(fā)現(xiàn)它,只好利用專門的美國網(wǎng)站服務(wù)器殺毒軟件來幫助進(jìn)行查殺。目前專門查殺木馬病毒的反木馬軟件主要有以下幾種,美國網(wǎng)站服務(wù)器用戶可以借助它們來消除木馬病毒。目前最常用的反木馬病毒程序有以下幾個(gè):
??????? 1、the?cleaner
??????? 它可以隨時(shí)自動(dòng)升級(jí),只要輕點(diǎn)UPDATE按鈕即可,不會(huì)像LOCKDOWN還要查美國網(wǎng)站服務(wù)器的用戶密碼。它的實(shí)時(shí)監(jiān)控程序TCA,可即時(shí)顯示美國網(wǎng)站服務(wù)器當(dāng)前所有運(yùn)行程序并有詳細(xì)的描述信息。
??????? 2、Trojan?Remover
??????? 它是一個(gè)專門用來清除特洛伊木馬和自動(dòng)修復(fù)美國網(wǎng)站服務(wù)器系統(tǒng)文件的工具,能夠檢查系統(tǒng)登錄文件、掃描WIN.INI、SYSTEM.INI和系統(tǒng)登錄文件,且掃描完成后會(huì)產(chǎn)生Log信息文件,并自動(dòng)清除特洛伊木馬和修復(fù)系統(tǒng)文件。
??????? 3、parmor
??????? 0719版本可以查殺5021種國際木馬,112種電子郵件木馬,保證查殺冰河類文件關(guān)聯(lián)木馬,oicq類寄生木馬,icmp類幽靈木馬,網(wǎng)絡(luò)神偷類反彈木馬。內(nèi)置美國網(wǎng)站服務(wù)器木馬防火墻,任何黑客試圖與美國網(wǎng)站服務(wù)器本機(jī)建立連接,都需要Iparmor 確認(rèn),不僅可以查殺木馬,更可以查黑客。
??????? 到這里美國網(wǎng)站服務(wù)器木馬病毒常見的入侵方式以及成勇的反木馬和病毒就介紹完畢,希望能幫助到有需要的美國網(wǎng)站服務(wù)器用戶們。
??????? 現(xiàn)在夢(mèng)飛科技合作的美國VM機(jī)房的美國網(wǎng)站服務(wù)器所有配置都免費(fèi)贈(zèng)送防御值 ,可以有效防護(hù)網(wǎng)站的安全,以下是部分配置介紹:
| CPU | 內(nèi)存 | 硬盤 | 帶寬 | IP | 價(jià)格 | 防御 |
| E3-1230v3 | 16GB | 500GB?SSD | 1G無限流量 | 1個(gè)IP | 900/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| E3-1270v2 | 32GB | 500GB?SSD | 1G無限流量 | 1個(gè)IP | 1250/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| E3-1275v5 | 32GB | 500GB?SSD | 1G無限流量 | 1個(gè)IP | 1350/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
| Dual?E5-2630L | 32GB | 500GB?SSD | 1G無限流量 | 1個(gè)IP | 1450/月 | 免費(fèi)贈(zèng)送1800Gbps?DDoS防御 |
??????? 夢(mèng)飛科技已與全球多個(gè)國家的頂級(jí)數(shù)據(jù)中心達(dá)成戰(zhàn)略合作關(guān)系,為互聯(lián)網(wǎng)外貿(mào)行業(yè)、金融行業(yè)、IOT行業(yè)、游戲行業(yè)、直播行業(yè)、電商行業(yè)等企業(yè)客戶等提供一站式安全解決方案。持續(xù)關(guān)注夢(mèng)飛科技官網(wǎng),獲取更多IDC資訊!
?
?
文章鏈接: http://m.qzkangyuan.com/23205.html
文章標(biāo)題:美國網(wǎng)站服務(wù)器木馬病毒常見的入侵方式
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
