特洛伊木马如何利用文件关联和设置名

　　我们知道，在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序，使之开机时自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。除了这种方法，还有一种修改注册表的方法也可以使程序自启动。

　　具体说来，就是更改文件的打开方式，这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说，打开注册表，展开注册表到HKEY_CLASSES_ROOTexefileshell

　　opencommand，这里是exe文件的打开方式，默认键值为：“%1”%*。如果把默认键值改为Trojan.exe“%1”%*，您每次运行exe文件，这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式，而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。

　　对付这种隐藏方法，主要是经常检查注册表，看文件的打开方式是否发生了变化。如果发生了变化，就将打开方式改回来。最好能经常备份注册表，发现问题后立即用备份文件恢复注册表，既方便、快捷，又安全、省事。

　　木马对设备名的利用

　　大家知道，在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。

　　具体方法是：点击“开始”菜单的“运行”，输入cmd.exe，回车进入命令提示符窗口，然后输入md c:con\命令，可以建立一个名为con的目录。默认请况下，Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux\命令，可以建立aux目录，输入md c:prn\可以建立prn目录，输入md c:com1\目录可以建立Com1目录，而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试，您会发现当我们试图打开以aux或com1命名的文件夹时，explorer.exe失去了响应，而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中，从而达到隐藏、保护木马程序的目的。