Windows систем дахь вирусны оромж

1. START-UP хавтас. Виндоус үйлдлийн систем нь start цэсний start-up хавтсан дахь бүгдийг нээдэг. Энэ нь файлыг ачаалах гэдгээс өөр зүйл юм. Энэ нь хэрэв start- up хавтсанд байгаа програм болон тэр хавтасруу хийсэн жирийн текст файлын богино холбоосыг хүртэл нээнэ гэсэн үг юм. Жишээ нь та уг хавтсанд word-ийн текст файл түүнчлэн өөрийнхөө орох дуртай веб хуудсын богино холбоосыг хуулбал таны компьютер асах бүрд уг файлыг нээнэ гэсэн үг юм. Мөн вирус ч ялгаагүй.

2. Регистр. Виндоус нь өөрийн регистрийн “ Run “ мөрөн дэхь бүх зааврын дагуу ачаалдаг. Энэ нь өмнөхийн адил энгийн текст файл ч байж болдог.

3. Регистр. “RunOnce” дэх файлуудыг ч бас ачаална.

4. Регистр. “RunService” дэх файлуудыг ачаална.

5. Регистр. “ RunServiceOnce” хэсгийн файлуудыг ачаалах боловч энэ нь өмнө дурдсанаас зөвхөн нэг удаа л ачаалдагаараа онцлог ба ихэнхдээ програм суулгасны дараа ачаалдаг.

6. Регистр. Мөн түүнчлэн HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* мөрөнд бичсэн командаас шалтгаалан .exe файлуудыг ачаална.

Бусад боломжууд:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\" %*"

Хэрэв уг түлхүүрүүдэд "\"%1\" %*" тэмдэглэгээ байхгүй түүнчлэн "\"файлнэр.exe %1\" %*" гэж өөрчлөгдсөн бол уг файлыг автоматаар ачаална.

7. Бач файл Виндоусийн ( WINDOWS Эсвэл WINNT) хавтсан дахь Winstart файлуудыг ачаалах. Энэ файл нь таны системд байхгүй байж болох боловч WINSTART.BAT гэсэн файлыг үусгэж болно.

8. Системийн файл. Виндоусийн хавтсан дахь WIN.INI файлын "RUN=" мөрний командуудыг ачаална.

9. Системийн файл. Мөн "LOAD=" мөрний командын тусламжтай файлыг ачаална.

Түүнчлэн shell= in System.ini or c:\windows\system.ini: мөрийг давхар ачаалдаг.
[boot]
shell=explorer.exe C:\windows\файлнэр уг мөрийг Виндоус эхлэх бүрт ачаалдаг.

10. Дахин ачаалах. Виндоус үйлдлийн систем нь унтрахдаа тухайн үед ажиллаж байсан програмыг тэр хэвээр нь дахин ачаалдаг. Харин Microsoft-ын бус програмуудыг ажиллуулах боломжгүй ч Internet Explorer болон Windows Explorer-т амархан хийгддэг. Энэ нь юу гэсэн үг вэ гэвэл хэрэв та хэрэв та компьютерээ унтраахдаа Internet Explorer нээлттэй байсан бол дахин асахад чинь унтрахад чинь байсан хуудас гарч ирнэ гэсэн үг юм.

11. TASK SCHEDULER. Энэ горим нь ямар нэг програмыг өөрийн тохируулсан хугацаанд ажиллуулдаг. Хэрэв та уг горимыг идэвхжүүлсэн үед таны компьютерт ямар нэг вирус орсон бол та түүнийг өөрөө л ажиллууллаа л гэсэн үг юм.

12. Дагалдагч. Зөвхөн өөрөө ажиллахаас гадна өөрийн дагалдах програмыг ажиллуулдаг програмууд бий . Эдгээр нь өөрсдөө ачаалангуут дагалдах програмыг ачаалдаг.

13. C:\EXPLORER.EXE Виндоусын хавтсан дахь explorer.exe файл ямар ч үед ажиллаж байдаг. Хэрэв уг файлыг адил нэртэй нэртэй файлаар орлуулбал тухайлбал ийм нэртэй вирус байвал ямар ч регистр өөрчлөх шаардлагагүй юм.

14. Нэмэлт аргууд. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders
Icq Inet
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object"
"NeverShowExt"=""