该木马使用winlogon键处的SHELL进行自启动,Shell键会加载一个目录,而目录又通过desktop.ini关联了CLSID。也就是说,木马利用winlogon启动目录的时候,实际上会启动相关CLSID所关联的恶意程序。
之所以部分中招用户电脑出现黑屏现象,是因为部分杀毒软件只查杀了CLSID所关联的恶意程序,却没有清除winlogon中Shell后面的目录。从而导致用户电脑开机后,只打开了一个空文件夹,而不能进入下一步。
据了解,以破解微软正版验证名义传播木马的途径主要有两种,一种是直接在所谓的破解软件中植入木马,通过网络下载或网友之间进行传播。另外一种方式是黑客在网页中嵌入一段用于自动下载木马程序的恶意代码或脚本,并且以“破解正版验证”、“破解黑屏”等关键词进行引擎优化,当网友急于寻找“黑屏破解软件”时,就会被搜索引擎提供的信息吸引,找到挂马网页
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024