Hacker nhét Virus vào chương trình khởi động trên Windows như thế nào

Hacker nhét Virus vào chương trình khởi động trên Windows như thế nào
1. START-UP FOLDER. Dường như folder này quá quen thuộc với bạn. Windows sẽ tiến hành mở mỗi chương trình được đưa vào folder này.

Các chương trình được đưa vào folder này sẽ được khởi động, và ngay cả các shortcut của chương trình nếu nằm trong start-up cũng sẽ run.

Ví dụ, Nếu đưa một tài liệu Microsoft Word vào Start Up folder, Word sẽ tự động chạy và mở tài liệu này khi Windows khởi động. Điều tương tự xảy ra, nếu bạn đặt vào đó một file âm thanh như WAV, phần mềm Audio sẽ phát âm thanh này vào Windows, hoặc đặt vào đó các trang web yêu thích (favouties), Internet Explorer (hoặc các trình duyệt khác) sẽ mở trang web đó cho bạn. Và thay vì đưa file .exe hay file gốc của chương trình vào, bạn chỉ cần đưa vào các shortcut của nó.


2. REGISTRY.Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "Run" của Registry. Các mục trong Run (hoặc các khu vực khác của Registry ) có thể là một chương trình, một file, hay document…như đã giải thích ở phần start-up folder.

3. REGISTRY.Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServices" của Registry.

4. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị tại "RunOnce" của Registry.

5. REGISTRY.Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServicesOnce" của Registry. (Windows thường dùng 2 phân mục "RunOnce" để chạy các chương trình trong một thời điểm duy nhất, thường là khi khởi động lại máy sau khi tiến hành cài đặt chương trình)

6. REGISTRY.Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* scủa Registry. Bất cứ command nào được đưa vào đây, sẽ được thi hành.

Các phân mục Registry khác cũng hoạt động tương tự là:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\ open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\ open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\ open\command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\ Open\Command] ="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\ open\command] ="\"%1\"
%*"

Nếu các Khoá không có gía trị "\"%1\" %*" như mô tả ở trên, có thể được thay đổi dưới một dạng khác, chẳn hạn như: "\"somefilename.exe %1\" %*" chứ không phải ghi rõ dưới dạng một file.exe cụ thể, ví dụ như word.exe



7. BATCH FILE.Windows thực thi tất cả các chỉ thị của file batch, được đặt trong folder Windows (trên máy bạn là folder Windows hoặc WINNT). Không phải tất cả người dùng Windows và ngay cả chuyên gia máy tính đều biết file batch được Windows sử dụng có tên là WINSTART.BAT, nó thường được malware lợi dụng để đánh lừa Windows gây nguy hại cho hệ thống, đặc biệt là trên các OS cũ như Windows ME, 98 về trước.


8. INITIALIZATION FILE.Windows sẽ thực thi các chỉ thị tại dòng "RUN=" trong file WIN.INI, được đặt trong folder Windows hay WINNT.


9. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "LOAD=" trong file WIN.INI được đặt trong folder Windows hay WINNT.

Nó cũng thực thi các chỉ thị được ghi trong shell= in System.ini hay c:\windows\system.ini:

[boot]
shell=explorer.exe C:\windows\filename

file explorer.exe sẽ khởi động bất cứ khi nào Windows start.

Với Win.ini, mỗi dòng trong file là một chỉ thị để windows tiến hành thực thi.


10. RELAUNCHING.Windows sẽ thực thi lại các chương trình, khi nó đột ngột shutdown, Ví dụ khi bạn đang open một trang web, và windows shutdown, lần khởi động kế tiếp Windows sẽ kích hoạt lại IE để mở đúng website trước đó. Nếu Windows của bạn không làm việc này, bạn có thể cài đặt tool miễn phí hỗ trợ Windows là Tweak UI, sau đó kích hoạt tính năng "Remember Explorer settings," .

11. TASK SCHEDULER.Windows sẽ thực thi các chỉ thị trong Windows Task Scheduler (hoặc bất cứ chương trình hãng thứ 3 nào, tương tự Task Scheduler).

12. SECONDARY INSTRUCTIONS. Sau khi Windows kích hoạt các chương trình “mẹ”, các chương trình con có thể chạy theo chỉ thị riêng của chương trình mẹ đã thiết kế.

13. DÙNG EXPLORER.EXE.

Windows sẽ tải explorer.exe (nằm trong folder Windows hoặc WINNT) trong suốt quá trình khởi động. Nếu explorer.exe gặp sự cố , user có thể bị Khoá không log-in được vào hệ thống, sau khi họ tiến hành khởi động máy


Nếu explorer.exe là mộ trojan núp bóng, trojan sẽ được kích hoạt khi khởi động,không như các phương thức tự khởi động khác có key trong registry điều khiển, explorer.exe chỉ đơn giản được hệ thống kích hoạt và chạy.

14. Các phương thức khác

Trong danh sách dưới đây, 2 cách đầu tiên đã được trojan nổi tiếng SubSeven sử dụng để kích hoạt và nằm vùng trong hệ thống của bạn

Trojan Subseven

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entversion\explorer\Usershell folders


SubSeven sau khi lây vào máy nạn nhân


Icq Inet

Các khoá kích hoạt trong Registry của chương trình ICQ

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\App s\]
Khoá này xác nhận, tất cả các ứng dụng s4 được thực thi nếu ICQNET phát hiện kết nối Internet.

[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object"
"NeverShowExt"=""

Khoá này thay đổi phần mở rộng file của bạn.
Còn một cách nữa, đó là đính thẳng Virus vào đĩa cài đặt Windows và đưa cái file này lên các chương trình chia sẻ (Nlite có thể làm việc này) và thế là .... Lúc đó, dù Anti-virus có cũng chẳng làm gì được vì Virus đã vào máy rùi....[b]