特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機(jī)器，也可以用廣播方式發(fā)布命令，指示所有在他控制之下的特洛伊木馬一起行動(dòng)，或者向更廣泛的范圍傳播，或者做其他危險(xiǎn)的事情。那么，特洛伊木馬病毒有哪些啟動(dòng)方式呢？

1、在Win.ini中自啟動(dòng)

在Win.ini的[windows]字段中有啟動(dòng)命令"load="和"run="，在一般情況下 "="后面是空白的，這里是開機(jī)自啟動(dòng)的地方，如果有后跟程序，比方說是這個(gè)樣子：

[windows]

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，這個(gè)file.exe很可能是木馬哦。

2、在System.ini中啟動(dòng)

System.ini位于Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏加載之所，木馬通常的做法是將該何變?yōu)檫@樣：shell=Explorer.exefile.exe。注意這里的file.exe就是木馬服務(wù)端程序！

另外，在System.中的[386Enh]字段，要注意檢查在此段內(nèi)的"driver=路徑\程序名"這里也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這3個(gè)字段，這些段也是起到加載驅(qū)動(dòng)程序的作用，但也是增添木馬程序的好場(chǎng)所，你現(xiàn)在該知道也要注意這里了，平時(shí)應(yīng)該是不會(huì)注意的。

3、利用注冊(cè)表加載運(yùn)行

注冊(cè)表并不是容易找到而且容易損壞，建議大家用殺毒軟件為妙。

4、在Autoexec.bat和Config.sys中加載運(yùn)行

請(qǐng)大家注意，在C盤根目錄（即打開C盤就可以看到的）下的這兩個(gè)文件也可以啟動(dòng)木馬，這2個(gè)文件是隱藏的，一般情況下看不到。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將己添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽。容易被發(fā)現(xiàn)，所以在Autoexec.bat和Confings中加載木馬程序的并不多見，但也不能因此而掉以輕心。

5、在Winstart.bat中啟動(dòng)

Winstart.bat是一個(gè)特殊性絲毫不亞于Autoexec.bat的批處理文件，也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成，由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行，危險(xiǎn)由此而來。

6、啟動(dòng)組

木馬們?nèi)绻[藏在啟動(dòng)組雖然不是十分隱蔽，但這里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所，因此還是有木馬喜歡在這里駐留的。啟動(dòng)組對(duì)應(yīng)的文件夾為C:\Windows\start menu\programs\startup，在注冊(cè)表中的位置：HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup="c:\windows\start menu\programs\startup"。但是大家放心大部分的殺毒軟件對(duì)這一塊極為敏感因?yàn)樾薷臉O為容易，所以不需要這么緊張。

7、*.INI

即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。只啟動(dòng)一次的方式：在winint.ini.中（用于安裝較多）。

8、修改文件關(guān)聯(lián)

修改文件關(guān)聯(lián)是木馬們常用手段 （主要是國(guó)產(chǎn)木馬，國(guó)外的木馬大都沒有這個(gè)功能），比方說正常情況下TXT文件的打開方式為Notepad.EXE文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會(huì)被修改為用木馬程序打開，如著名的國(guó)產(chǎn)木馬冰河就是這樣干的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE本應(yīng)用Notepad打開，如著名的國(guó)產(chǎn)HKEY一CLASSES一ROOT\txt鬧e\shell\open\commandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙擊一個(gè)TXT文件，原本應(yīng)用Notepad打開該文件，卻變成啟動(dòng)木馬程序了，好狠毒哦！請(qǐng)大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP等都是木馬的目標(biāo)，要小心嘍。

對(duì)付這類木馬，可以Win+R組合鍵，輸入cmd，在新打開的黑窗口里面輸入assoc >D:\1.log 在打開D:\1.log就可以查看當(dāng)前文件關(guān)聯(lián)了！

9、捆綁文件

實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋源文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬義會(huì)安裝上去。綁定到某一應(yīng)用程序中，如綁定到系統(tǒng)文件，那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬

10、反彈端口型木馬的主動(dòng)連接方式

反彈端口型木馬我們已經(jīng)在前面說過了，由于它與一般的木馬相反，其服務(wù)端（被控制端）主動(dòng)與客戶端（控制端）建立連接，并且監(jiān)聽端口一般開在80，所以如果沒有合適的工具、豐富的經(jīng)驗(yàn)真的很難防范。這類木馬的典型代表就是網(wǎng)絡(luò)神偷"。由于這類木馬仍然要在注冊(cè)表中建立鍵值注冊(cè)表的變化就不難查到它們。同時(shí)，最新的天網(wǎng)防火墻（如我們?cè)诘谌c(diǎn)中所講的那樣），因此只要留意也可在網(wǎng)絡(luò)神偷服務(wù)端進(jìn)行主動(dòng)連接時(shí)發(fā)現(xiàn)它。

以上就是佰佰安全網(wǎng)為您介紹的特洛伊木馬病毒的啟動(dòng)方式的相關(guān)介紹，希望能幫助大家更好的了解它。稍后，我們來介紹木馬病毒的種類和預(yù)防措施，有興趣的朋友歡迎來佰佰安全網(wǎng)關(guān)注更多網(wǎng)絡(luò)病毒小知識(shí)。

責(zé)任編輯:鄒蘭