در هنگام راه اندازی روشهای راه اندازی استاندارد اکثر افراد از راههای متفاوتی که هکرها برای راه اندازی فایلهای Trojan
استفاده میکنند آگاه نیستند. اگر هکری کامپیوتر شما را با یک Trojan آلوده
کند، نیاز به انتخاب یک روش راهاندازی خواهد داشت، بگونهای که در زمان
راهاندازی مجدد کامپیوتر شما Trojan بارگذاری شود. روشهای معمول
راهاندازی شامل کلیدهای اجرایی registry، فولدر راه اندازی ویندوز،
Windows Load= یا run=lines یافته شده در فایل win.ini و shell=line یافته
شده در system.ini ویندوز میباشند.
روشهای راه اندازی خطرناک
از آنجایی که فقط تعداد اندکی از این روشهای راه اندازی وجود دارند، هکرهای
زیادی را یافتهایم که در پیدا کردن روشهای جدید راهاندازی افراط
میکنند. این شامل استفاده از تغییرات خطرناکی در سیستم registry میباشد،
که در صورتی که فایل Trojan یا فایل همراه آن از بین برود سیستم را بصورت
بلااستفاده درخواهد آورد. این یک دلیل استفاده نکردن از نرم افزار ضد ویروس
برای از بین بردن Trojanهاست. اگر یکی از این روشها استفاده شود، و فایل
بدون ثابت کردن registry سیستم از بین برود، سیستم شما قادر به اجرای
هیچگونه برنامهای پس از راه اندازی مجدد کامپیوترتان نخواهد بود.
قبل از آنکه سراغ registry برویم لازم به توضیح است که یک فولدر به صورت
C:/WINDOWS/StartMenu/Program/StartUp وجود دارد که هر فایلی در اینجا باشد
هنگام راه اندازی ویندوز اجرا خواهد شد.توجه داشته باشید که هرگونه تغییری
میتواند سیستم شما را به خطر بیاندازد بنابراین، هرچه ما میگوییم انجام
دهید. برای دستیابی به registry به منوی start>run> بروید و
“regedit” را بدون علامت ” ” تایپ کنید. در registry چندین مکان برای راه
اندازی Startup وجود دارد که لیستی از آنها را در اینجا می آوریم.
HKEY_CLASSES_ROOT/exefile/shell/open/command] =”/”%1/” %*”
HKEY_CLASSES_ROOT/comfile/shell/open/command] =”/”%1/” %*”
HKEY_CLASSES_ROOT/batfile/shell/open/command] =”/”%1/” %*”
HKEY_CLASSES_ROOT/htafile/Shell/Open/Command]=”/”%1/” %*”
HKEY_CLASSES_ROOT/piffile/shell/open/command] =”/”%1/” %*”
HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command] =”/”%1″ %*”
HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command]=”/”%1/” %*”
HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command]=”/”%1/”%*”
HKEY_LOCAL_MACHINE/Software/CLASSES/htafile/Shell/Open/Command]=”/”%1/”%*”
HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command]=”/”%1
اگر این کلیدها مقدار “/”%۱/”%*” را نداشته باشند و به جای اجرای فایل در هنگام راه اندازی به “/”
Server.exe %1/” %*” تغییر یابد به احتمال زیاد یک Trojan است.
روش راه اندازی ICQ
روشی راه اندازی دیگری که امروزه استفاده از آن معمول است شناسایی شبکه ICQ
میباشد. بسیاری از کاربران ICQ نمیدانند که هکر میتواند یک خط پیکربندی
را به ICQ اضافه نماید تا با هر بار بارگذاری شدن برنامه Trojan نیز راه
اندازی شود. به عنوان آزمایش مراحل زیر را انجام دهید:
ICQ را باز کنید. روی آیکن ICQ کلیک کنید و preference را انتخاب نمایید.
روی Edit launch List کلیک کنید. روی Add کلیک کنید. روی Browse کلیک کنید.
فایلی را برای اضافه کردن به Windows/notepad.exe بیابید که به کار این
آزمایش بیاید. روی Open و سپس OK کلیک کنید. زمانی که شما ICQ را راه
اندازی مجدد میکنید فایل اجرا خواهد شد.
