揭密一个另类隐蔽的病毒启动位置

真诚走天涯

以下方法虽然被用户使用方便了程序运行,可以快速打开指定程序,但也可能被病毒木马所利用:

在开始菜单的运行中输入"REGEDIT",打开注册表,找到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths这个位置

在里面新建一个项,名字为"CMD.EXE修改默认键值项（字符串值）为："E:\nettool\QQ.exe",新建字符串值PATH，值为"E:\nettool\QQ.exe"。如我这里是要替换成QQ的程序
原文链接：http://www.killdu.cn/zhishi/1705.html

  
好啦,就这么简单,现在我们如果要在运行里输入CMD打开CMD.EXE的话就适得其反,反而是打开了QQ程序
我们都知道,很多系统工具和功能都是在运行里输入命令打开的,如果病毒操作该注册表位置来个狸猫换太子,那当我们要运行CMD,注册表,组策略,或MSCONFIG命令查看启动项时都可能是运行了病毒程序哦,比较好的防御方法除了安装监控软件,还有就是设置权限为不可写入修改,不过会影响些软件的安装,如果安装HIPS类软件的用户可以对注册表进行监控

读后评: 一个极其隐蔽,甚至还没有多少病毒会注意的地方,和映象劫持有异曲同工之处,虽然危害没有映象劫持大,但也是一个不容忽视的敏感地带.特别对于些知道电脑知识和常用命令的用户更容易中招
原文链接：http://www.killdu.cn/zhishi/1705.html

change_018

感觉应该是发错地方了。

dl123100

发hips区或者辅助区吧
不过这也不是新东东了 一些hips和辅助工具都能检测或防御

302536811

病毒怎么修改注册表呢？
regedit和reg在安静规则里已经禁止运行。

tcap

在努力学习中