Черви которые используют крайне примитивный способ автозапускаВстречаются и черви, которые используют крайне примитивный способ автозапуска — копируют себя в каталоги «C:Windows Главное менюПрограммыАвтозагрузка» и «C:WindowsAll users Главное менюПрограммыАвтозагрузка». Сработает этот прием и в Windows NT, только там каталоги автозапуска расположены не внутри «C:Windows», а внутри «C:Documents and settings». Копировали себя в эти каталоги, например, E-Worm. Win32.Sobig и E-Worm. Win32.Swen. Впрочем, вирусный файл, расположенный в каталогах автозапуска, пользователь легко может увидеть невооруженным глазом и удалить вручную. Главный же недостаток подобного подхода заключается в различии имен каталогов для разных версий Windows. В частности, для заражения американской и панъевропейской разновидностей Windows необходимо копировать файл червя в «C: WindowsAll usersStart menuProgramsStartup». Таким образом, червь, попав в локализованную операционную среду, просто теряет возможность автозапуска. Наиболее популярным среди червей методом автозапуска, пригодным и для Windows 9X, и для Windows NT, является запись ссылки на себя в ключе Реестра «HKLMSOFTWAREMicrosoft WindowsCurrentVersionRun». Этот прием характерен, по крайней мере, для 80% сетевых и почтовых червей. Он уже был продемонстрирован выше, при описании поведения червя Net-Worm. Win32. Bozori. b, но не гнушались им и Net-Worm. Win32.Sasser, и E-Worm. Win32.Tanatos, и E-Worm. Win32.Netsky, и E-Worm. Win32.Sobig, и E-Worm. Win32.Bagle, и многие другие, как «знаменитые», так и менее распространенные черви. Также нередко встречается модификация ключа «HKCRexefile shellopencommand». По умолчанию значение этого ключа — ««%1» %*», а вот пример изменений, внесенных в Реестр червем Рис. 6.21 ❖ Существуют и другие «опасные» ключи Реестра, используемые вредоносными программами для обеспечения своего автоматического запуска после перезагрузки. Вот их краткий перечень, извлеченный из технической статьи, описывающей поведение одной из ранних версий брандмауэра Agnitum Outpost Firewall. Брандмауэр при своем запуске проверял:

Еще интересные статьи :