트로이 목마 자동 시작이 일반적으로 수행하는 작업은 다음과 같습니다.
1. 레지스트리 조작: 트로이 목마는 종종 Windows 레지스트리를 수정하여 시스템 시작 중에 자동으로 실행되는 프로그램 목록에 악성 실행 파일이나 코드를 추가합니다. 시스템이 부팅될 때마다 실행을 보장하기 위해 "Run" 또는 "RunOnce" 키 아래에 레지스트리 항목을 만듭니다.
2. 시작 폴더 위치: 트로이 목마는 시스템 시작 시 자동으로 실행되도록 설정된 프로그램과 스크립트가 포함된 Windows 시작 폴더에 스스로 드롭하거나 바로가기를 만들 수 있습니다. 이 폴더에 트로이 목마를 넣으면 사용자가 로그인하거나 컴퓨터를 시작할 때마다 트로이 목마가 실행됩니다.
3. 작업 스케줄러 조작: 일부 트로이 목마는 Windows 작업 스케줄러에서 작업을 추가하거나 기존 작업을 수정할 수 있습니다. 그들은 페이로드를 실행하거나 사용자 로그온이나 시스템 부팅과 같은 미리 결정된 간격이나 이벤트에서 특정 악성 활동을 트리거하는 예약된 작업을 생성합니다.
4. 서비스 설치: 고급 트로이 목마는 자동 시작 기능을 얻기 위해 스스로를 Windows 서비스로 설치할 수 있습니다. 서비스는 백그라운드에서 실행되며 사용자 상호 작용과 독립적인 프로그램입니다. 서비스로 설치하면 서비스가 일반적으로 더 높은 권한을 갖고 눈에 덜 띄기 때문에 트로이 목마는 지속성을 확보하고 탐지를 회피합니다.
5. 브라우저 조작: 브라우저별 트로이 목마는 웹 브라우저를 대상으로 하며 자동 시작을 달성하기 위해 해당 설정이나 확장을 수정합니다. 악성 코드를 삽입하거나 브라우저 바로 가기를 수정하여 브라우저가 열릴 때마다 실행되도록 할 수 있습니다.
트로이 목마는 자동 시작 기술을 사용하여 시스템에 거점을 마련하고 데이터 도난, 비밀번호 수집, 원격 액세스 또는 추가 악성 코드 다운로드 및 실행을 포함한 다양한 악성 활동을 수행할 수 있습니다. 이러한 지속성으로 인해 기존 바이러스 백신 소프트웨어 검사를 회피하고 합법적인 시스템 프로세스 내에 숨는 경우가 많기 때문에 탐지 및 제거가 어렵습니다.