从
计算机病毒的发展趋势,有越来越多的蠕虫和木马病毒。不像
文件型病毒通常感染可
执行文件,这样的
程序通常不感染正常的
系统文件,但是自己
安装系统的一部分。相比之下,这种病毒更隐蔽是不太可能被
检测到
用户。
但是不管病毒程序是如何感染系统的,它们都留下了一些线索。
1。更改系统的相关
配置文件
这种
情况主要是针对旧制度的。
病毒会
修改autoexec.bat,只要它被添加到报表执行病毒程序文件自动
激活病毒在系统
启动。*改变驱动器: Windows WIN.INI或System.ini文件。病毒通常在赢。ini的
运行= 的病毒本身后添加到文件名,或者在SYSTEM.INI文件壳= 变化。
两。更改
注册表的健康值
目前,只要新蠕虫病毒具有修改系统注册表的
功能,它们通常有以下几个地方需要修改。
HKLM 软件微软 Windows currentversion RunOnce
描述:在系统开始时自动执行的程序。
HKLM 软件微软 Windows currentversion runservices
描述:在系统启动时自动执行的系统
服务程序。
HKLM 软件微软 Windows currentversion 运行
描述:这是在系统启动时自动执行的程序,这是病毒修改/添加最有可能的地方。例如,Win32。该病毒会增加。B:HKLM 软件微软 Windows currentversion 运行 ucfzyojza = cxsgrhcl.exe autorun
hkey_classes_root 文件外壳休憩
命令 描述:这个关键值使病毒运行,当用户运行任何EXE程序,等等… txtfile ..或者。 comfile ..还可以实现病毒自动
操作功能的改变。
此外,一些健康值可以用来实现更具体的功能:
有些病毒可以通过修改以下键值来阻止用户查看和修改注册表:
HKCU 软件微软 Windows currentversion 政策系统 disableregistrytools =
为了防止用户用the.reg文件修改注册表键值,以下关键值也改为
显示一个
内存访问
错误窗口
例如,win32。斯文。B病毒修改
默认的健康价值:
PRJ0050 reg文件壳休憩命令(默认)= cxsgrhcl.exe showerror
通过对上述地方的修改,病毒程序的主要目的是在系统启动或程序运行过程中自动执行,达到自动激活的目的。