پسوند SHS
فایلهای Scrap نیز میتوانند فرمانهای گنجانده شده را پنهان كند. این یك آزمون ساده است: از notepad.exe یك كپی بگیرید و آن را روی desktop خود قرار دهید. Wordpad را باز كنید.Notepad.exe را كلیك كنید و آن را به سمت سند باز شده wordpad بكشید. روی Edit كلیك كنید و Package Object و سپس Edit package را انتخاب كنید. روی Edit و سپس Command Line كلیك كنید.
در كادر، دستوری مانند format a:/autotest را تایپ كنید و روی OK كلیك كنید. آیكن نیز میتواند از این پنجره تغییر یابد. از پنجره خارج شوید، این كار سند را به روز خواهد كرد. روی notepad.exe كلیك كنید و آن را به عقیب به سمت Desktop بكشید. فایلی را كه ایجاد شده (Scrap) به Readme.txt تغییر نام دهید.
حالا شما آنچه را كه شبیه یك فایل متنی است دارید. اگر این فایل اجرا شود درایو A: را فرمت خواهد كرد. همانگونه كه در مثال بالا برای پسوندهای میانبر PIF دیده شد، هكر میتواند از فرمانهای خطرناكتری استفاده كند.
روشهای Trojan در هنگام راه اندازی
روشهای راه اندازی استاندارد
اكثر افراد از راههای متفاوتی كه هكرها برای راه اندازی فایلهای Trojan استفاده میكنند آگاه نیستند. اگر هكری كامپیوتر شما را با یك Trojan آلوده كند، نیاز به انتخاب یك روش راهاندازی خواهد داشت، بگونهای كه در زمان راهاندازی مجدد كامپیوتر شما Trojan بارگذاری شود. روشهای معمول راهاندازی شامل كلیدهای اجرایی registry، فولدر راه اندازی ویندوز، Windows Load= یا run=lines یافته شده در فایل win.ini و shell=line یافته شده در system.ini ویندوز میباشند.
روشهای راه اندازی خطرناك
از آنجایی كه فقط تعداد اندكی از این روشهای راه اندازی وجود دارند، هكرهای زیادی را یافتهایم كه در پیدا كردن روشهای جدید راهاندازی افراط میكنند. این شامل استفاده از تغییرات خطرناكی در سیستم registry میباشد، كه در صورتی كه فایل Trojan یا فایل همراه آن از بین برود سیستم را بصورت بلااستفاده درخواهد آورد. این یك دلیل استفاده نكردن از نرم افزار ضد ویروس برای از بین بردن Trojanهاست. اگر یكی از این روشها استفاده شود، و فایل بدون ثابت كردن registry سیستم از بین برود، سیستم شما قادر به اجرای هیچگونه برنامهای پس از راه اندازی مجدد كامپیوترتان نخواهد بود.
قبل از آنكه سراغ registry برویم لازم به توضیح است كه یك فولدر به صورت C:/WINDOWS/StartMenu/Program/StartUp وجود دارد كه هر فایلی در اینجا باشد هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید كه هرگونه تغییری میتواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما میگوییم انجام دهید. برای دستیابی به registry به منوی start>run> بروید و "regedit" را بدون علامت " " تایپ كنید. در registry چندین مكان برای راه اندازی Startup وجود دارد كه لیستی از آنها را در اینجا می آوریم.
HKEY_CLASSES_ROOT/exefile/shell/open/command] ="/"%1/" %*"
HKEY_CLASSES_ROOT/comfile/shell/open/command] ="/"%1/" %*"
HKEY_CLASSES_ROOT/batfile/shell/open/command] ="/"%1/" %*"
HKEY_CLASSES_ROOT/htafile/Shell/Open/Command]="/"%1/" %*"
HKEY_CLASSES_ROOT/piffile/shell/open/command] ="/"%1/" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command] ="/"%1" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command]="/"%1/" %*"
HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command]="/"%1/"%*"
HKEY_LOCAL_MACHINE/Software/CLASSES/htafile/Shell/Open/Command]="/"%1/"%*"
HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command]="/"%1
اگر این كلیدها مقدار "/"%1/"%*" را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به "/"
Server.exe %1/" %*" تغییر یابد به احتمال زیاد یك Trojan است.
روش راه اندازی ICQ
روشی راه اندازی دیگری كه امروزه استفاده از آن معمول است شناسایی شبكه ICQ میباشد. بسیاری از كاربران ICQ نمیدانند كه هكر میتواند یك خط پیكربندی را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه اندازی شود. به عنوان آزمایش مراحل زیر را انجام دهید:
ICQ را باز كنید. روی آیكن ICQ كلیك كنید و preference را انتخاب نمایید. روی Edit launch List كلیك كنید. روی Add كلیك كنید. روی Browse كلیك كنید. فایلی را برای اضافه كردن به Windows/notepad.exe بیابید كه به كار این آزمایش بیاید. روی Open و سپس OK كلیك كنید. زمانی كه شما ICQ را راه اندازی مجدد میكنید فایل اجرا خواهد شد
پیوند ها