可怕的“启动”文件夹－记测试木马和卡巴斯基

    木马：去年我写的一个。可实现功能：盗QQ号，邮箱等一系列可以记录键盘的操作。远程控制（目前只能简单控制）
    卡巴斯基：卡巴斯基互联网安全套装 V6.0.300 官方简体中文版-2

    将卡巴升级至最新。关闭邮件保护和反垃圾邮件。其它的全部开启。

1、运行木马，所有写注册表的行为全部拒绝。然后用doit扫描自启动项，一切正常。但木马已经启动。用冰刃可以查到进程。（此木马在XP 2000下隐藏进程）让我感觉比较茫然。看来卡巴还不够凶猛。木马启动后会试图访问网络，以便获得本机公网IP地址（以前写马的时候为确保客户端的安全，因而设计成被动连接），与客户端连接。卡巴居然没反应。。。。
2、重启机器。
3、用doit 扫描，晕乎，注册表全部写成功。。。。
4、再往后，就不用说了吧。恭喜我，中了。

启动文件夹是指：C:\Documents and Settings\All Users\「开始」菜单\程序\启动

这个可以实现程序自启动的目的，不用写注册表，因而许多（倒不如说是所有）的杀毒软件不能防住它。
如果有NTFS权限，可以禁止system和administrators写入。
唉，卡巴。
瑞星，我连测试的勇气都没有。因为瑞星防火墙和天网防火墙3.0已经被我的木马KILL掉了。以前就测试过。瑞星直接结束其服务。。。。

本站任何文章，如需转载，请注明出处！