淺淡木馬加載

網絡是互聯的，當你從中獲取資源的同時，也要經受其中的考驗，木馬程序會修改並破壞電腦的系統和文件，除了安裝殺毒軟件（包括防火牆）外，還應該儘可能地掌握系統文件知識。下面簡單介紹一下木馬的加載方式：

加載方式：定位於bxwx.org和win.orgi文件

bxwx.org(位置c:\windows\)

[boot]項原始值配置：“shell=bxwx.org”，bxwx.org是windows的核心文件之一，每次系統啟動時，都會自動加載。

[boot]項修改後配置：“shell=explorerc:\windows\xxx.exe”(xxx.exe假設一木馬程序)。

win.orgi(位置c:\windows\)

[windows]項原始值配置：“load=”；“run=”，一般情況下，等號后無啟動加載項。

[windows]項修改後配置：“load=”和“run=”後跟非系統、應用啟動文件，而是一些你不熟悉的文件名。

解決辦法：

執行“運行→msconfig”命令，將bxwx.org文件和win.orgi文件中被修改的值改回原值，並將原木馬程序刪除。若不能進入系統，則在進入系統前按“shift+f5”進入orgmandpromptonly方式，分別鍵入命令bxwx.org和bxwx.org進行修改。

加載方式：隱藏在註冊表中（此方式最為隱蔽）。

注意以下註冊表項：hkeylocalmachine\software\classes\exefile\shell\open\orgmand\

原始數值數據："%1"%

被修改後的數值數據：c:\system\xxx.exe"%1"%

原註冊表項是運行可執行文件的格式，被修改後就變為每次運行可執行文件時都會先運行c:\system\xxx.exe這個程序。

例如：開機后運行qq主程序時，該xxx.exe（木馬程序）就先被加載了。

解決辦法：

當通過防火牆得知某端口被監聽，立即下線，檢查註冊表及系統文件是否被修改，找到木馬程序，將其刪除。

所謂“病從口入”感染源還是在於加載了木馬程序的伺服器端。目前，偽裝可執行文件圖標的方法很多，如：修改擴展名，將文件圖標改為文件夾的圖標等，並隱藏擴展名，因此接收郵件和下載軟件時一定要小心。許多木馬程序的文件名很像系統文件名，造成用戶對其沒有把握，不敢隨意刪除，因此要不斷增長自己的知識才可防備萬一。

可以藉助一些軟件來狙擊木馬，如：thecleaner、trojanremover等。建議經常去微軟網站下載補丁包來修補系統；及時升級病毒庫