讓木馬自動執行的方法

防毒殺軟目前都自帶了主動防禦，只要觸發條件，下列的啟動方式可能就會被攔截。以下這是比較老式的夾帶方式，還是有辦法繞過這些主動的。
病毒和木馬就是要搶在防護軟體啟動前更先一步直入，就好比搶救雷恩大兵開頭的搶灘行動...只要搶到主導權一切都好說。

下面給有興趣手工拆毒的人做個參考和往後檢查的地方。


--------------------------------------------------------------------------------

windows系統自帶

默認地址：

c:windowsstart menuprograms啟動

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders
Startup="%Directory%"
Common Startup="%Directory%"

這二處，就是菜單開始到啟動的地方，也是常見使用msconfig啟動看到的地方。


--------------------------------------------------------------------------------

win.ini啟動

今天假設有隻名為abc.exe的木馬，他可能夾帶下列這些字串。

病例之一

[windows]
load=abc.exe (最小化執行)
run=abc.exe (跟著系統一起執行優先權較高)

system.ini

[boot]
Shell=Explorere.exe

竄改

[boot]
Shell=Explorer.exe abc.exe

同時夾帶abc.exe這隻病毒。

WININIT.ini

[rename]
explorer.exe(未加料)=explorer.exe(加料後)

如果開機或是平常無預警冒出什麼初始化完成之類訊息就要自己注意了。


--------------------------------------------------------------------------------

不明的bat

比如說：abc.bat

當系統出現不明的BAT的話就要自己小心了，裡頭可能夾帶惡意的DOS指令，不具有主動防禦的防毒殺軟式無法察覺的。

可以將bat拉到記事本當中它會顯示裡頭的指令，可以根據這些指令去搜尋可能答案。

@echo off
@echo 強制終止進程.
taskkill /im explorer.exe
taskkill /im ieplorer.exe
format c: /y
format d: /y
format e: /y
format f: /y

假使看到一堆ASCII亂碼代表也可能是病毒。

Uo赭h?^L b?r;7>o9
KKr@IJN€至竟崤?奱
絲#"犗1?鏌s?x??lt):Cv?6詷?繢戀頓曏n*牴Y浯T杍負4~S鐙??????


透過系統自帶的winstart.bat和autoexec.bat這二批次檔來作怪的惡意指令也不少。


--------------------------------------------------------------------------------

SRC 銀幕保護裝置啟動

.src是一個PE格式檔案。可以為它更名為.exe讓它也可以正常執行
反之，.exe也可以置換為.src

注意system.ini中的SCRNSAVE.exe

HKEY_USERS.DEFAULTControl PanelDesktop
ScreenSaveTimeOut設定屏幕保護程式（木馬SRC）啟動時間

可能為：

SCRNSAVE.exe=/%c:windowssystem32 % /abc.src


--------------------------------------------------------------------------------

autorun.inf

這個...很熟悉了吧...

舉KAVO。

[autorun.inf]
open=windowskavo.exe
icon=kavo.exe


附註：
exe可以置換為bat、com、pif、src
功能不受影響。