木马病毒方式1:模块通过三方签名过杀毒检测,注册表进行开机启动,通过url进行数据传递,释放不同exe或者文件进行木马功能,感染的dll数据会通过加密,会通过注入explorer.exe,services.exe,spoolsv.exe进行功能实现。
木马病毒方式2: 通过向系统进程services.exe, explorer.exe,svchost.exe注入恶意代码。
木马病毒方式3:木马配置文件通过网站不断下载,通过执行配置文件来创建svchost.exe傀儡进程。
木马病毒方式4:扫描随机ip的电脑,扫描局域网相同网段机器进行病毒感染,通过创建服务SetServiceStatus进行开机自启动功能,对开放的端口进行扫描。
木马病毒方式5:通过伪装html文件去执行病毒功能, 把木马功能伪装成为图片,让那个用户去点击以此来启动功能。通过启动notepad.exe傀儡进程进行木马功能实现。
木马病毒方式6:将将木马程序伪装成为 后缀为jpg的图片文件,伪装成一个无效的快捷键方式,通过注册表来判断木马功能是否实现,通过记录键盘来盗窃账号信息。
木马病毒方式7:通过apc方式注入到系统services.exe进程。
木马病毒方式8:通过伪装成后缀为bat文件进行实现木马功能。伪装成为后缀为vbs文件进行木马功能。
木马病毒方式9:通过创建隐藏文件来执行木马功能。创建伪装成为后缀为lnk(快捷方式)进行执行。
木马病毒方式10:偷偷关闭系统防火墙,伪装成为假qq以此盗窃账号信息。
木马病毒方式11:自启动ie浏览器进程,往ie注入代码。通过U盘数据进行病毒传播,注入恶意shellcode
木马病毒方式12:会将模块隐藏并将后缀伪装成为tmp的(如:xxx.tmp),修改系统模块功能。通过hook技术进行实现功能实现。
木马病毒方式13:释放木马模块,设置LSP注入。通过创建Mutex实现只创建一个实例。
木马病毒方式14: APC注入实现木马模块注入。通过修改注册表来实现任务管理器不能启动。
木马病毒方式15:通过修改host文件劫持导航,安全软件配置文件,浏览器配置文件来实现锁定主页,通过创建svchost.exe傀儡进程进行操作功能。
检测防范思考:可以通过检测开机启动项进去木马功能检测, 端口网络可以使得木马收集的信息或者需要下载的病毒无法进行。
欢迎关注 “游戏安全攻防” 公众号,一起学习,一起进步。