• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 技術專欄

輕易打開郵件中的.txt附件招致系統癱瘓

【賽迪網-IT技術報道】【社區整理】由於目前大多數人使用的是windows系列操作系統,windows的默認設置是隱藏已知文件擴展名的,而當你去點擊那個看上去很友善的文件,那些破壞性的東西就跳出來了。您可能說這我早就知道了,那麼下面講述的.txt文件的新欺騙方法及原理您知道嗎?

假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}碼
在註冊表裡是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同於QQ靚號放送.txt.html。那麼直接打開這個文件為什麼有危險呢?請看如果這個文件的內容如下:

您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,並且自動在後台開始格式化d盤,同時顯示「Windows is configuring the system。Plase do not interrupt this

process。」這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?

欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由於真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,於是就會以html文件的形式運行,這是它能運行起來的先決條件。

文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者,在其中可以加載帶有破壞性質的命令。那麼第2行又是幹什麼的呢?您可能已經注意到了第2行裡的「WSCript」,對!就是它導演了全幕,它是實際行動總指揮。

WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執行工具它所對應的程序「WScript.exe」是一個腳本語言解釋器,位於c:/WINDOWS下,正是它使得腳本可以被執行,就像執行批處理一樣。在Windows Scripting Host腳本環境裡,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫註冊表等功能。

下面我們通過一個小例子來說明Windows Scripting Host功能是如何的強大,使用又是怎樣的簡單,被有心人利用後的威脅有多大。例如有內容如下的*.vbs文件:

Set so=CreateObject("Scripting.FileSystemObject") so.GetFile(c:/windows/winipcfg.exe).Copy("e:/winipcfg.exe")

就是這麼兩行就可以拷貝文件到指定地點。第一行是創建一個文件系統對象,第二行前面是打開這個腳本文件,c:/windows/winipcfg.exe指明是這個程序本身,是一個完整的路徑文件名。

GetFile函數獲得這個文件,Copy函數將這個文件複製到e盤根目錄下。這也是大多數利用VBscript編寫的病毒的一個特點。從這裡可以看出,禁止了FileSystemObject這個對象就可以很有效的控制這種病毒的傳播。用

regsvr32 scrrun.dll /u
這條命令就可以禁止文件系統對象。

欺騙識別及防範方法:這種帶有欺騙性質的.txt文件顯示出來的並不是文本文件的圖標,它顯示的是未定義文件類型的標誌,這是區分它與正常.txt文件的最好方法。識別的另一個辦法是在「按WEB頁方式」查看時在「我的電腦」左面會顯示出其文件名全稱,此時可以看到它不是真正的txt文件。問題是很多初學者經驗不夠,老手也可能因為沒留意而打開它,在這裡再次提醒您,注意您收到的郵件中附件的文件名,不僅要看顯示出來的擴展名,還要注意其實際顯示的圖標是什麼。對於附件中別人發來的看起來是.txt的文件,可以將它下載後用鼠標右鍵選擇「用記事本打開」,這樣看會很安全。

加入好友line@vga9721w
線上客服
@hd119