¿Qué es un sitio web troyano?
El caballo de Troya, también conocido como caballo de Troya, toma su nombre del caballo de Troya de la mitología griega antigua. Es una herramienta de piratería basada en control remoto y es altamente oculta y dañina. Para lograr el propósito de controlar el host del servidor, los troyanos suelen utilizar varios medios para activarse, cargarse y ejecutarse. Echemos un vistazo a los métodos de activación de troyanos más utilizados.
Iniciar en Win.ini
Hay comandos de inicio "load=" y "run=" en el campo [windows] de Win.ini. En circunstancias normales, "=". Está en blanco si va seguido de un programa, por ejemplo:
run=c:windows ile.exe
load=c:windows ile.exe
¡Este archivo.exe es probablemente un programa troyano!
Modificar asociaciones de archivos
Modificar asociaciones de archivos es un método común utilizado por los troyanos (principalmente troyanos nacionales, la mayoría de los troyanos extranjeros no tienen esta función), por ejemplo, cómo abrir archivos TXT. En circunstancias normales, es un archivo Notepad.exe, pero una vez que es atacado por un troyano de asociación de archivos, el método de apertura del archivo TXT se modificará para abrirlo con un programa troyano, como el famoso troyano nacional Glacier. "Glacier" consiste en modificar el valor clave en HKEY_CLASSES_ROOT xtfileshellopenmmand y cambiar "C: WINDOWSNOTEPAD.EXE 1" a "C: WINDOWSSYSTEMSYSEXPLR.EXE 1". De esta manera, cuando hace doble clic en un archivo TXT, se debe utilizar el Bloc de notas. Abra el archivo. Ahora, pero se convirtió en un programa troyano, ¡qué cruel! Tenga en cuenta que no sólo los archivos TXT, sino también otros archivos como HTM, EXE, ZIP, COM, etc. son el objetivo de los caballos de Troya, así que tenga cuidado. Para hacer frente a este tipo de troyano, sólo puede comprobar con frecuencia la clave principal del tipo de archivo HKEY_CLASSES_ROOT shellopenmmand para ver si el valor de su clave es normal.
Archivos empaquetados
Para lograr esta condición de activación, el extremo del control y el servidor primero deben establecer una conexión a través del caballo de Troya, y luego el usuario final del control utiliza una herramienta de software para agrupar los archivos. Archivo de caballo de Troya con una aplicación Juntos, se cargan en el servidor para sobrescribir el archivo original, de modo que incluso si se elimina el troyano, siempre que se ejecute la aplicación incluida con el troyano, el troyano se instalará nuevamente. Si está vinculado a una aplicación, como un archivo del sistema, el troyano se iniciará cada vez que se inicie Windows.
Iniciar en System.ini
System.ini se encuentra en el directorio de instalación de Windows y shell=Explorer.exe en su campo [arranque] es un lugar de carga oculto que los troyanos like. El enfoque habitual para los troyanos es cambiar la frase de esta manera: shell=Explorer.exe file.exe. Tenga en cuenta que file.exe aquí es el programa del servidor troyano.
Además, en el campo [386Enh] en System.ini, preste atención para verificar el "controlador=nombre del programa de ruta" en esta sección, que también puede ser explotado por troyanos.
Además, los tres campos [mic], [drivers] y [drivers32] en System.ini desempeñan un papel en la carga de controladores, pero también son un buen lugar para agregar troyanos.
Utilice el registro para cargar y ejecutar
Las ubicaciones de registro que se muestran a continuación son los escondites favoritos de los troyanos. Compruebe rápidamente qué programas hay debajo de ellas:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion bajo todos los valores clave que comienzan con "ejecutar"
HKEY_USERS.DefaultSoftware
Todos los valores clave que comienzan con "ejecutar" en MicrosoftWindowsCurrentVersion.
Cargue y ejecute Autoexec.bat y Config.sys
Tenga en cuenta que estos dos archivos en el directorio raíz de la unidad C también pueden iniciar troyanos. Sin embargo, este método de carga generalmente requiere que el usuario del control establezca una conexión con el servidor y luego cargue el archivo con el mismo nombre que agregó el comando de inicio del troyano al servidor para sobrescribir los dos archivos. Además, este método no es muy encubierto. y puede ser fácilmente Discover. Por lo tanto, es raro encontrar programas troyanos cargados en Autoexec.bat y Config.sys, pero esto no debe tomarse a la ligera.
Iniciar en Winstart.bat
Winstart.bat es un archivo por lotes que no es menos especial que Autoexec.bat. También es un archivo que Windows puede cargar y ejecutar automáticamente. . En la mayoría de los casos, las aplicaciones y Windows lo generan automáticamente y comienza a ejecutarse después de que se ejecuta Win.com y se cargan la mayoría de los controladores (esto se puede saber presionando la tecla [F8] durante el inicio y luego seleccionando el método de inicio para realizar un seguimiento gradual). el proceso de inicio). Dado que Winstart.bat puede completar las funciones de Autoexec.bat, el troyano se puede cargar y ejecutar como en Autoexec.bat.
El método de conexión activo del troyano tipo "puerto de rebote"
¿Qué es el troyano tipo "puerto de rebote"? Después de analizar las características de los firewalls, el autor descubrió que la mayoría de los firewalls tienden a realizar un filtrado muy estricto en las conexiones a la máquina desde el exterior, pero no evitan las conexiones desde la máquina (por supuesto, algunos firewalls hacen ambas cosas. Muy estricto). Por lo tanto, a diferencia de los troyanos comunes, el lado del servidor (lado controlado) del troyano de tipo "puerto de rebote" usa el puerto activo y el cliente (lado de control) usa el puerto pasivo. Cuando se debe establecer una conexión, el cliente notifica. a través del espacio de la página de inicio FTP: "¡Empiece a conectarse conmigo ahora!" y entre en el estado de escucha. Después de que el servidor reciba la notificación, comenzará a conectarse con el cliente. Para ocultarlo, el puerto de escucha del cliente generalmente se abre en 80. De esta manera, incluso si el usuario usa un software de escaneo de puertos para verificar su propio puerto, lo que encuentra es similar a "Dirección IP del servidor TCP: 1026, IP del cliente". dirección: 80 ESTABLECIDO". Si eres un poco descuidado, pensarás que estás navegando por la web. Los cortafuegos también lo pensarán. Probablemente ningún cortafuegos permita a los usuarios conectarse al puerto 80. Un representante típico de este tipo de troyano es "Network Thief". Dado que este tipo de troyano aún necesita crear claves en el registro, no es difícil encontrarlas siempre que preste atención a los cambios en el registro.
Aunque los troyanos son muy astutos y buenos disfrazándose y escondiéndose para conseguir sus fines ulteriores. Sin embargo, mientras comprendamos las reglas y dominemos ciertos métodos, aún podemos evitarlo. Elimina el miedo y el misterio que rodean a los caballos de Troya. De hecho, mientras puedas ser más cuidadoso y fortalecer la prevención, creo que los troyanos se mantendrán alejados de ti.
¡Se recomienda que utilices el software antivirus Kaspersky o la versión en inglés de ZoneAlarm con el ¡Última base de datos de virus para prevención y tratamiento!