【賽迪網-IT技術報道】如今的網絡,幾乎已經成了木馬的網絡。遊戲、軟體裡面有木馬,網頁中有病毒,視頻裡面也夾著些危險的東西,幾乎沒有任何安全感可言。在某些用戶的眼中,也許只有文本文件才是比較安全的,當看到一個「文本」圖標的文件,都會毫不猶豫的雙擊打開它。但是,所謂的「文本文件」真的就這麼安全嗎?也許在這些「文本文件」中隱藏著更大的陷阱,讓你的電腦陷入萬劫不復之地!
一、別被「文本」圖標欺騙了你
幾乎所有的木馬病毒都懂得更改文件圖標,欺騙用戶運行中招,所以在面對一個文本圖標的文件時,別被文件的圖標所欺騙。
假設黑客製作了一個木馬程序「Server.exe」,他會將程序圖標更改為文本圖標,用以欺騙一些粗心大意的用戶。
修改木馬圖標非常簡單,一般可使用專門的圖標修改工具,如"Executable File Icon Changer"、"Program Icon Changer"等。以Executable File Icon Changer為例,這個工具支持替換Exe、Dll、Ocx、Scr等文件的圖標,被改文件即使移動到其它電腦上,也能顯示更改後的文件圖標。
可以看到,新生成的程序圖標與真正的文本文件混在一起,是很不容易被發現的(如圖)。尤其是在資源管理器的「文件夾選項」中將默認文件後綴名隱藏的用戶,很可能無意中就會將這個文件成文本文件打開運行了。
二、雙後綴文件,真假難辨
在顯示文件後綴的主機上,上面的「文本木馬」還是比較容易被看出破綻的。黑客們可能還會對文件名動一番手腳,讓它更具迷惑性。
首先可為文件名加上雙後綴,將上面的木馬文件名改為「******.txt.exe",在一些隱藏了文件後綴名的電腦上,這個文件會顯示文件為「******.txt」,這樣就迷惑了很多用戶,以後文件名綴就是.txt的文本文件。
黑客可能使用更絕一招數,在兩後綴名間加空格,將文件改名為「******.txt .exe」。由於文件現在是雙後綴,並且文件名足夠的長,我們在文件名中添加了足夠的空格,以至於在文件名中只顯示「.txt」後綴,而表示真正文件類型的「.exe」後綴卻隱藏起來了(如圖)!
這樣的文件是不是很具迷惑性?不是細心看,根本看不出來文件後綴中那幾個小小的省略號,電腦用戶十有八九會被其欺騙!即使用戶在資源管理器中開啟了顯示文件後綴名的選項,也依然會在很大程度上被蒙騙過去!
三、深度隱藏,不會顯示的文件名
大家知道,木馬攻擊早已從簡單的程序木馬,演變成了網頁木馬、圖片木馬等多種分類。有沒想這,也許你打開的一個貌似文本的文件,實際上卻運行了一個網頁木馬呢?
黑客首先會製作一個後綴為「.html」的網頁木馬,這類木馬製作很簡單,例如利用IE的Iframe漏洞就可以方便的製作一個溢出HTML網頁,只要有人打開些網頁,就會造成IE溢出,系統打開端口供黑客遠程連接控制。製作的具體方法在這裡就不多說了,假設網頁文件文件名為「test.html」,黑客可能將它改成「test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}」。這樣該文件在資源管理器中即使採用了顯示後綴名的方式,也只顯示為後綴名為.txt的文本文件,一般人根本看不出任何的異樣。但是因為{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}實際上就是html的註冊表文件關聯,雙擊時卻會調用IE打開文件以HTML格式運行,造成IE溢出系統打開遠程控制端口。
四、系統崩潰,毀於「碎片」
很多朋友聽說過Windows中的碎片對像文件(.shs文件),但是對於這種文件所帶來的威脅,卻不是很重視。不過當你運行了一個貌似文本文件的文件碎片時,也許才知道不起眼的碎片,原來有如此大的破壞力!
黑客會創建一個碎片對像文件,點擊「開始→運行」,輸入「packager.exe」後回車,運行「對像包裝」程序。然後點擊菜單「文件→導入」,彈出一個文件對話框,任意選擇一個文件。
點擊菜單「編輯→命令行」,在彈出的命令行輸入對話框中輸入命令「cmd.exe /c del c:/*.*」(如圖),確定後此命令將顯示在程序右邊窗口中。
點擊菜單「編輯→複製資料包」命令,回到Windows桌面上,點擊鼠標右鍵,在彈出菜單中選擇「粘貼」,可以看到,桌面創建了一個名為「片段」的碎片對像文件。接下來,再將文件改名為「片段.txt」。
一旦有人雙擊運行了這個「文本」文件,桌面上閃過一個命令窗口之後,C盤根目錄下的所有文件都被刪除了,重啟後無法正常進入系統。黑客基至可以在命令行窗口中輸入破壞性更強的命令,例如格式化硬碟「cmd.exe /c format c:/」等。
五、精心構造的「文本陷阱」
如果說將木馬偽裝成文本的方法有些複雜,那麼「文本陷阱」這個文本利用工具就是一個現成的文件木馬,足以讓大家體會到在「文本」偽裝下的木馬攻擊威力!
下載這個文本利用工具並解壓,可以看到在文件夾中有兩個名為「admin」的「文本文件」,當顯示文件名後綴後,可以得知這兩個文件的真實文件名分別為「admin.txt」和「admin.exe」。其中「admin.exe」是真正的利用程序,由於採用了文本文件的圖標,所以在隱藏文件擴展名時,很容易被誤認為這是一個文本文件。
「admin.exe」文件其實是一個偽裝成文本的入侵程序。它的功能非常強大,可以實現在被攻擊主機上添加管理用戶;打開硬碟自動運行功能以運行特殊木馬;開啟Windows XP/2003的遠程終端等等。接下來我們在本機上運行這個木馬,以便讀者朋友可以更清楚的認識到它的危害。
當我們在電腦上運行這個程序後,進入命令提示符窗口,輸入「net user」命令,即可顯示電腦上的所有用戶帳號。可以看到,在用戶列表中有一個名為「IWAM-IUSR」的用戶名,這個用戶就是剛才運行文本陷阱後添加用戶。「IWAM-IUSR」的默認密碼為「gxgl.com#2004」。這個用戶名現系統中默認的用戶名非常相似,一些沒有經驗的管理員很難察覺出來。
此時右擊「我的電腦→屬性」,打開「系統屬性」窗口,在「遠程」標籤中可以看到「遠程桌面」中的「允許用戶遠程連接到此計算機」項已經被開啟。這就是剛才運行文本陷阱運行,自動為黑客入侵開啟的後門。由於剛才添加了一個管理員用戶,而管理員用戶默認是被許可進行遠程連接的,因此黑客可以用剛添加的用戶名和密碼,通過3389遠程終端連接運行了文本陷阱的主機,輕鬆的完成入侵。而當黑客在被入侵電腦上添加了一個管理員帳號後,其可以完成很多的入侵操作,例如遠程連接、開啟服務和端口等等。這方面的內容在此前的「黑客防線」中已經介紹過很多,在這裡就不再詳細說明了。
總結:應對自如,輕鬆化解「文本」危機
看過前面的內容,相信大家一定會發出「木馬和黑客攻擊無孔不入」的硬要感慨,看似安全的文本文件,原來也暗藏了這麼多的危險。如何才能防範各種木馬病毒借助文本文件進行攻擊呢?
對於在文件圖標和文件後綴上作手腳的文件,只要提高警慎性,看清楚文件的真實名稱再運行,一般是不會中招的。
對於文件碎片之類的文本文件,就需要對系統進行一下簡單的設置了。打開註冊表編輯器,找到「HKEY_CLASSES_ROOT/.shs」鍵,將的「ShellScrap」刪除。此後,雙擊「.shs」文件時就不會自動運行,而是彈出一個提示對話框,詢問是否進行操作。這樣就可以在很大程度上防範「.shs」文件的攻擊了。
(