Trao đổi với tôi

www.hdphim.info OR www.chepphimhdtv.com

1/22/10

[Virus] Hacker nhét Virus vào chương trình khởi động trên Windows như thế nào

ơng trình khởi động trên Windows như thế nào

Hiểu một cách đầy đủ về nguyên tắc khởi động của Windows và cách Windows làm việc với chương trình, bạn sẽ dễ dàng có cái nhìn tổng quát về việc Virus máy tính sẽ tác động vào đâu để có thể nằm vùng và tung hoành trên hệ thống

1. START-UP FOLDER. Dường như folder này quá quen thuộc với bạn. Windows sẽ tiến hành mở mỗi chương trình được đưa vào folder này.

Các chương trình được đưa vào folder này sẽ được khởi động, và ngay cả các shortcut của chương trình nếu nằm trong start-up cũng sẽ run.

Ví dụ, Nếu đưa một tài liệu Microsoft Word vào Start Up folder, Word sẽ tự động chạy và mở tài liệu này khi Windows khởi động. Điều tương tự xảy ra, nếu bạn đặt vào đó một file âm thanh như WAV, phần mềm Audio sẽ phát âm thanh này vào Windows, hoặc đặt vào đó các trang web yêu thích (favouties), Internet Explorer (hoặc các trình duyệt khác) sẽ mở trang web đó cho bạn. Và thay vì đưa file .exe hay file gốc của chương trình vào, bạn chỉ cần đưa vào các shortcut của nó.

2. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "Run" của Registry. Các mục trong Run (hoặc các khu vực khác của Registry ) có thể là một chương trình, một file, hay document…như đã giải thích ở phần start-up folder.

3. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServices" của Registry.

4. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị tại "RunOnce" của Registry.

5. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServicesOnce" của Registry. (Windows thường dùng 2 phân mục "RunOnce" để chạy các chương trình trong một thời điểm duy nhất, thường là khi khởi động lại máy sau khi tiến hành cài đặt chương trình)

6. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* scủa Registry. Bất cứ command nào được đưa vào đây, sẽ được thi hành.

Các phân mục Registry khác cũng hoạt động tương tự là:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\"

%*"

Nếu các Khoá không có gía trị "\"%1\" %*" như mô tả ở trên, có thể được thay đổi dưới một dạng khác, chẳn hạn như: "\"somefilename.exe %1\" %*" chứ không phải ghi rõ dưới dạng một file.exe cụ thể, ví dụ như word.exe

7. BATCH FILE. Windows thực thi tất cả các chỉ thị của file batch, được đặt trong folder Windows (trên máy bạn là folder Windows hoặc WINNT). Không phải tất cả người dùng Windows và ngay cả chuyên gia máy tính đều biết file batch được Windows sử dụng có tên là WINSTART.BAT, nó thường được malware lợi dụng để đánh lừa Windows gây nguy hại cho hệ thống, đặc biệt là trên các OS cũ như Windows ME, 98 về trước.

8. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "RUN=" trong file WIN.INI, được đặt trong folder Windows hay WINNT.

9. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "LOAD=" trong file WIN.INI được đặt trong folder Windows hay WINNT.

Nó cũng thực thi các chỉ thị được ghi trong shell= in System.ini hay c:\windows\system.ini:

[boot]

shell=explorer.exe C:\windows\filename

file explorer.exe sẽ khởi động bất cứ khi nào Windows start.

Với Win.ini, mỗi dòng trong file là một chỉ thị để windows tiến hành thực thi.

10. RELAUNCHING. Windows sẽ thực thi lại các chương trình, khi nó đột ngột shutdown, Ví dụ khi bạn đang open một trang web, và windows shutdown, lần khởi động kế tiếp Windows sẽ kích hoạt lại IE để mở đúng website trước đó. Nếu Windows của bạn không làm việc này, bạn có thể cài đặt tool miễn phí hỗ trợ Windows là Tweak UI, sau đó kích hoạt tính năng "Remember Explorer settings," .

11. TASK SCHEDULER. Windows sẽ thực thi các chỉ thị trong Windows Task Scheduler (hoặc bất cứ chương trình hãng thứ 3 nào, tương tự Task Scheduler).

12. SECONDARY INSTRUCTIONS. Sau khi Windows kích hoạt các chương trình “mẹ”, các chương trình con có thể chạy theo chỉ thị riêng của chương trình mẹ đã thiết kế.

13. DÙNG EXPLORER.EXE.

Windows sẽ tải explorer.exe (nằm trong folder Windows hoặc WINNT) trong suốt quá trình khởi động. Nếu explorer.exe gặp sự cố , user có thể bị Khoá không log-in được vào hệ thống, sau khi họ tiến hành khởi động máy

Nếu explorer.exe là mộ trojan núp bóng, trojan sẽ được kích hoạt khi khởi động,không như các phương thức tự khởi động khác có key trong registry điều khiển, explorer.exe chỉ đơn giản được hệ thống kích hoạt và chạy.

14. Các phương thức khác

Trong danh sách dưới đây, 2 cách đầu tiên đã được trojan nổi tiếng SubSeven sử dụng để kích hoạt và nằm vùng trong hệ thống của bạn

Trojan Subseven

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders

SubSeven sau khi lây vào máy nạn nhân

Icq Inet

Các khoá kích hoạt trong Registry của chương trình ICQ

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]

"Path"="test.exe"

"Startup"="c:\\test"

"Parameters"=""

"Enable"="Yes"

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

Khoá này xác nhận, tất cả các ứng dụng s4 được thực thi nếu ICQNET phát hiện kết nối Internet.

[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object"

"NeverShowExt"=""

Khoá này thay đổi phần mở rộng file của bạn.

Như vậy bài viết đã trình bày nhiều cách thức Windows kích hoạt các chương trình, khi Windows khởi động. Việc hiểu rõ toàn bộ các quy trình này, từ đơn giản như Start-up folder, Task Schedule, hay Win.ini, Winni.ini, Batch file cho đến các khoá và phân muc phức tạp được tạo trong Registry..

Những kẻ viết Malware phá hoại luôn hiểu rõ việc này, đã bằng nhiều cách thức khác nhau, cấy vào hệ thống những lệnh thực thi để giấu malware, kích hoạt chúng và phá hoại hệ thống..

Thanh Tùng (Nis.com.vn)

No comments:

Post a Comment