木马病毒常见的入侵方式都有哪些

（文章来源：南华中天）

木马病毒是比较常见，需要提防的病毒，它的入侵方式也是有好几种，今天小编就来讲讲，木马病毒常见的入侵方式。

1、在win.ini文件中加载，一般在win.ini文件中的【windwos】段中有如下加载项：run= load= ，一般此两项为空。如果你发现系统中的此两项加载了任何可疑的程序时，可根据其提供的源文件路径和功能进一步检查。这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么系统启动后即可自动运行或加载了。

2、在System.ini文件中加载，在系统信息文件system.ini中也有一个启动加载项，那就是在【BOOT】子项中的Shell项。在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改“Explorer”的字母“I”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。

3、修改注册表，在注册表中也可以设置一些启动加载项目的，况且注册表中更安全，因为会看注册表的人更少。事实上，只要是“RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce ”等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。

4、修改文件打开关联，木马程序发展到了今天，为了更加隐蔽自己，所采用手段也是越来越隐蔽，它们开始采用修改文件打开关联来达到加载的目的，当打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件【.txt】这个最常见，但又最不引人注目的文件格式关联来加载，当有人打开文本文件时就自动加载了冰河木马。

修改关联的途径还是选择了注册表的修改，它主要选择的是文件格式中的【打开】、【编辑】、【打印】项目，如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的键值不是“c:windows otepad.exe %1”，而是改为“syXXXplr.exe %1”。

以上所介绍的几种木马病毒入侵方式，如果发现需要立即对其删除，并要立即与网络断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除。如果作了注册表备份，最好全部删除注册表后再导入原来的备份注册表。

在清除木马前一定要注意，如果木马正在运行，则无法删除其程序，这时可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果是在木马处于活动时删除该项的话它能自动恢复，这时可以重启到DOS下将其程序删除后再进入将其注册表中的自启动项删除。

以上讲的是已发现的情况下可以采取这些补救措施，但是一般情况下没有那么容易发现它，只好利用专门的杀毒软件来帮助进行查杀。目前专门查杀木马病毒的反木马软件主要有以下几种，用户可以借助它们来铲助木马。目前最常用的反木马病毒程序有：

1.the cleaner，它可以随时自动升级，只要轻点UPDATE按钮即可，不象LOCKDOWN还要查你的密码。它的实时监控程序TCA，可即时显示当前所有运行程序并有详细的描述信息。

2.Trojan Remover，它是一个专门用来清除特洛伊木马和自动修复系统文件的工具，能够检查系统登录文件、扫描WIN.INI、SYSTEM.INI和系统登录文件，且扫描完成后会产生Log信息文件，并自动清除特洛伊木马和修复系统文件。

3.iparmor，0719版本可以查杀5021种国际木马，112种电子邮件木马，保证查杀冰河类文件关联木马，oicq类寄生木马，icmp类幽灵木马，网络神偷类反弹木马。内置木马防火墙，任何黑客试图与本机建立连接，都需要Iparmor 确认，不仅可以查杀木马，更可以查黑客。