警惕網(wǎng)絡(luò)安全隱性殺手

申請免費試用、咨詢電話：400-8352-114

您可能以為它會調(diào)用記事本來運行，可是如果您雙擊它，結(jié)果它卻調(diào)用了HTML來運行，并且自動在后臺開始格式化D盤，同時顯示“Windows正在配置系統(tǒng)。Plase不打斷這個過程?！边@樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?

欺騙實現(xiàn)原理:當(dāng)您雙擊這個偽裝起來的.txt時候，由于真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會以html文件的形式運行，這是它能運行起來的先決條件。

文件內(nèi)容中的第2和第 3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動的執(zhí)行者，在其中可以加載帶有破壞性質(zhì)的命令。那么第 2行又是干什么的呢?您可能已經(jīng)注意到了第 2行里的“Ws cript”，對!就是它導(dǎo)演了全幕，它是幕后主謀!

Ws cript全稱Windows s cripting主人，它是Win98中新加進的功能，是一種批次語言/自動執(zhí)行工具——它所對應(yīng)的程序“Ws cript.exe”是一個腳本語言解釋器，位于c:WINDOWS下，正是它使得腳本可以被執(zhí)行，就象執(zhí)行批處理一樣。在Windowss cripting主人腳本環(huán)境里，預(yù)定義了一些對象，通過它自帶的幾個內(nèi)置對象，可以實現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。

識別及防范方法:

①這種帶有欺騙性質(zhì)的.txt文件顯示出來的并不是文本文件的圖標(biāo)，它顯示的是未定義文件類型的標(biāo)志，這是區(qū)分它與正常TXT文件的最好方法。

②識別的另一個辦法是在“按網(wǎng)頁方式”查看時在“我的電腦”左面會顯示出其文件名全稱(如圖 1)，此時可以看到它不是真正的TXT文件。問題是很多初學(xué)者經(jīng)驗不夠，老手也可能因為沒留意而打開它，在這里再次提醒您，注意您收到的郵件中附件的文件名，不僅要看顯示出來的擴展名，還要注意其實際顯示的圖標(biāo)是什么。

③對于附件中別人發(fā)來的看起來是TXT的文件，可以將它下載后用鼠標(biāo)右鍵選擇“用記事本打開”，這樣看會很安全。

二。 惡意碎片文件

另一類可怕的TXT文件是一種在Windows中被稱作“碎片對象”(擴展名為“噓”)的文件，它一般被偽裝成文本文件通過電子郵件附件來傳播，比方說，這個樣子:QQ號碼放送.txt.shs，由于真正地后綴名“噓”不會顯示出來，如果在該文件中含有諸如“形式”之類的命令將非?？膳?不僅如此，以下四點原因也是其有一定危害性的原因:

①碎片對象文件的缺省圖標(biāo)是一個和記事本文件圖標(biāo)相類似的圖標(biāo)，很容易會被誤認(rèn)為是一些文本的文檔，用戶對它的警惕心理準(zhǔn)備不足。

②在Windows的默認(rèn)狀態(tài)下，“碎片對象”文件的擴展名(“.噓”)是隱藏的，即使你在“資源管理器”→“工具”→“文件夾選項”→“查看”中，把“隱藏已知文件類型的擴展名”前面的“√”去掉，“.噓”也還是隱藏的，這是因為Windows支持雙重擴展名，如“QQ號碼放送.txt.shs”顯示出來的名稱永遠是“QQ號碼放送.txt”。

③即使有疑心，你用任何殺毒軟件都不會找到這個文件的一點問題，因為這個文件本身就沒有病毒，也不是可執(zhí)行的，而且還是系統(tǒng)文件。你會懷疑這樣的文件嗎?

④這種噓附件病毒制造起來非常容易，5分鐘就可以學(xué)會，也不需要編程知識(格式化C盤的命令:“形式c:”大家都知道吧^ _ ^)。

1、 具體實例

那么，碎片對象到底對用戶的計算機會造成什么威脅呢?我們一起來作個測試就明白了。以下測試環(huán)境是在Windows 2000服務(wù)器中文版上進行的。我們先在硬盤上創(chuàng)建一個測試用的文件test.txt(我創(chuàng)建的位置是D:test.txt)，然后我們來制作一個能刪除這個測試文件的碎片對象文件。

①先運行一個對象包裝程序(packager.exe)，我的Win2000服務(wù)者安裝在/winnt/system32下。

②新建一個文件后，打開菜單“文件”→“導(dǎo)入”，這時會彈出一個文件對話框，讓你選擇一個文件。不用考慮，隨便選擇一個文件就可以了。

③然后打開“編輯”→“命令行”，在彈出的命令行輸入對話框中輸入“cmd.exe /c del d:test.txt”，點“確定”。

④然后，在菜單中選擇“編輯”→“復(fù)制數(shù)據(jù)包”。

⑤接著，隨便在硬盤上找個地方，我就直接在桌面上了。在桌面上點擊鼠標(biāo)右鍵，在彈出菜單中選擇“粘貼”，這時我們可以看到在桌面創(chuàng)建了一個碎片對象文件。

現(xiàn)在我們可以雙擊一下這個文件，CMD窗口一閃而過后，再到D盤看看，測試文件D:test.txt已經(jīng)被刪除了!現(xiàn)在你該知道了，當(dāng)時在對象包裝中輸入地命令被執(zhí)行了。好危險啊，如果這條命令是要刪除系統(tǒng)中的一個重要文件，或者是格式化命令形式之類的危險命令，那該有多么的可怕!

下面讓我們一起來看看這個“隱身殺手”的真正面目吧!

2、 技術(shù)原理

依照微軟的解釋，噓文件是一類特殊的對象鏈接與嵌入(對象鏈接與嵌入，對象連接和嵌入)對象，可以由詞文檔或優(yōu)秀電子表格創(chuàng)建。通過選擇文檔中文本或圖像的一塊區(qū)域，然后拖放該區(qū)域到桌面上的某處，就可以創(chuàng)建一個Windows碎片對象，或稱為噓文件(此文件是不可讀文件)。但是你可以用任何其它你想要的文件名重新命名噓文件，或者拖放噓對象到另一個文檔(同樣地，你可以剪切和粘貼)。

也就是說，我們所輸入的命令作為對象鏈接與嵌入對象嵌入到對象包裝程序新建的文件中了， 而微軟為了能方便的將嵌入到文件的對象進行復(fù)制，使用了一種技術(shù)殼廢料賓語(簡稱噓)，就是說，當(dāng)你在不同文件間復(fù)制對象時，Windows是將對象包裝成一個碎片對象來進行復(fù)制的。因此，一旦我們不是在文件間進行復(fù)制粘貼，而是直接將碎片對象粘貼到硬盤上，就會產(chǎn)生一個.噓文件。這個碎片對象文件保存了原來對象的所具備的功能，原來對象包含的命令同樣會被解析執(zhí)行，這正是其可怕這處!3、防范方法

(1)“野蠻”法

噓文件既然不是可執(zhí)行文件，當(dāng)然需要其他的程序來解析執(zhí)行了，我們?nèi)サ艚馕鰣?zhí)行的關(guān)聯(lián)就可以簡單防止這種文件中潛伏的威脅了。 運行注冊表編輯器regedit.exe，在HKEY_CLASSES_ROOT.shs主鍵下，將默認(rèn)值ShellScrap刪除，現(xiàn)在雙擊.噓文件，看，不會執(zhí)行了吧?彈出了一個對話框，讓我們選擇打開.噓文件需要的程序，此時你選擇“記事本”程序看就非常安全了。 更徹底一點的辦法是將HKEY_CLASSES_ROOTShellScrapshellopencommand下的打開.噓文件的關(guān)聯(lián)完全去掉，現(xiàn)在雙擊.噓文件，連選擇運行程序的對話框也不出現(xiàn)了，它會直接要求在控制面板重建文件關(guān)聯(lián)。

(2)“文明”法

①在注冊表編輯器HEY_CLASSES_ROOTShellScrap鍵下，有一個鍵值“NeverShowExt”，它是導(dǎo)致“.噓”文件擴展名無法顯示的罪魁禍?zhǔn)住h除這個鍵值，你就可以看到“.噓”擴展名了。

②更換“碎片對象”文件的默認(rèn)圖標(biāo)。由于碎片對象文件的默認(rèn)圖標(biāo)與文本文件圖標(biāo)非常相似，容易麻痹人，所以我們要更換它的圖標(biāo)。打開資源管理器，選中“查看”菜單下的“文件夾選框”，在彈出的對話框中選擇“文件類型”標(biāo)簽，在“已注冊的文件類型”下找到“碎片對象”。單擊右上角“編輯”按鈕，在打開的“編輯文件類型” 對話框中單擊上邊的“更改圖標(biāo)”按鈕。打開C:WINDOWSSYSTEMPifmgr.dll，從出現(xiàn)的圖標(biāo)中選一個作為“.噓”文件的新圖標(biāo)即可。

(3)更多防治手段

①如果是病毒文件隱藏了其真實擴展名“噓”，而你在反病毒軟件中設(shè)置成掃描指定程序文件、而不是掃描所有文件(如只掃描可執(zhí)行文件)，那么反病毒軟件是無法發(fā)現(xiàn)病毒的，所以請在反病毒軟件的指定程序文件中加入“.噓”文件的掃描。各種防病毒軟件的設(shè)置大同小異，比較簡單，請大家自己進行設(shè)置。

②禁止“碎片對象”文件及“指向文檔的快捷方式”文件。

三。改頭換面的視野郵件附件

除了上面所說的兩類危險的“TXT”文件，還存在另一種危險的“TXT”文件——改頭換面的視野郵件附件!即一個看起來是TXT的文件其實是個EXE文件!下面我以O(shè)utLook2000簡體中文版為例進行詳細說明。

1. 開啟OutLook2000，新建一個郵件，選擇菜單欄中的“格式”→“帶格式文本”，在郵件正文點擊一下鼠標(biāo)左鍵，選擇菜單“插入”→“對象”，點擊“由文件創(chuàng)建”→“瀏覽”，選擇Windows目錄下的notepad.exe，點擊“確定”，在新郵件的主體部分出現(xiàn)notepad.exe及其圖標(biāo)。

2. 在剛出現(xiàn)的notepad.exe及其圖標(biāo)上點擊鼠標(biāo)右鍵，選擇“編輯包”，打開對象包裝程序，選擇“插入圖標(biāo)”按鈕，選擇“瀏覽”，選擇WINDOWSSYSTEMSHELL32.DLL，在當(dāng)前圖標(biāo)框中選擇一個你想要的圖標(biāo)，比方說選擇一個文本文件的圖標(biāo)，然后按“確定”。然后選擇菜單“編輯”→“卷標(biāo)”，任意定義一個名字，比方說hello.txt，點擊“確定”。

3. 退出對象包裝程序，在提示是否更新時選擇“是”。

4. 好，現(xiàn)在出現(xiàn)在面前的是hello.txt，一般人會認(rèn)為它是一個地地道道的文本文件附件，相信沒有人懷疑它是別的東西。請你雙擊這個圖表，看看會發(fā)生什么?是不是發(fā)現(xiàn)它打開的是notepad.exe!如果它是一個病毒文件，結(jié)果可想而知!

事實上，當(dāng)你用OutLook2000收到這樣一個郵件時，它會顯示這是一個帶附件的郵件，當(dāng)你以為它是一個文本文件附件雙擊打開時，視野會提示:部分對象攜帶病毒，可能對你的計算機造成危害，因此，請確保該對象來源可*。是否相信該嵌入對象?安全觀念強的人一般會選擇“不”(這就對了)，一般的人可能會選擇是(你慘了!)。

識別方法:不要怕，盡管它的迷惑性極大，但是仍然會露出一些馬腳:

1. 它其實是一個對象鏈接與嵌入對象，并不是附件，選擇它時，選擇框會不同于選擇附件的選擇框。點鼠標(biāo)右鍵出現(xiàn)的菜單不同。

2. 雙擊打開它時，安全提示與附件的安全提示不同，這點非常重要。這時，應(yīng)該選擇“不”，然后點擊鼠標(biāo)右鍵，選擇“編輯包”，提示是否信任該對象時選擇“是”，在對象包裝程序的右邊內(nèi)容框中，將現(xiàn)出原形。在本例中，會顯示“NOTEPAD.EXE的備份”，文件是否可執(zhí)行，關(guān)鍵在這里。

3. 因為它不是附件，在選擇“文件”→“保存附件”時并無對話框出現(xiàn)。

4. 由于并不是所有的郵件收發(fā)軟件都支持對象嵌入，所以這類郵件的格式不一定被某些軟件識別，如OutLook Express。但是視野的使用面很廣，尤其是在比較大的、有自己郵件服務(wù)器的公司，所以還是有必要提醒大家小心嵌入對象，不光是視野，其實詞、優(yōu)秀等支持嵌入對象的軟件可以讓嵌入對象改頭換面以迷惑人。(techtarget)