也许在不知不觉中,我们就打开了一个“readme.txt”或者一个.bat批处理文件,你能保证这些文件绝对安全吗?类似的,在.hlp(帮助文件)、.pif(指向DOS的快捷方式)、.lnk(Windows快捷方式)等文件中,也存在着同样的危险,一不小心,我们就有可能掉入这些文件的陷阱。对于身经百战的用户来说,虽然有些文件很容易判断,而其它一些带有“陷阱”的文件就不容易判断了。下面,我们来看看其中的一些典型文件陷阱。
偷梁换柱:从HTML网页文件谈起
HTML文件应该是我们见的最多的文件了,不过“树大招风”,HTML也是最危险的文件格式之一,它有一个调用外部对象脚本运行的功能,能给用户造成了很大的麻烦。
1.HTML文件的关联
下面,我们来看一个普通的例子。现在,我们的邮件里面有一个看起来是这样的文件:“机密文件.txt”,我们能肯定它就是纯文本文件吗?实际上,它的文件名可能“机密文件.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。而后面的这个后缀就很有学问了,“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注册表里就是HTML文件关联的意思,等同于“机密文件.txt.html”。双击它,就会调用HTML来运行,说不定已经开始在后台格式化D盘了。
2.WScript与文件陷阱
谈到上述文件的危害,我们就要谈到WScript了。在Windows Scripting Host脚本环境里,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。下面我们通过如下的*.vbs文件来说明:
Set so=CreateObject("Scripting.FileSystemObject")
so.GetFile(c:.exe).Copy("e:.exe")
小知识:WScript的全称是“Windows Scripting Host”,它所对应的程序“WScript.exe”是一个脚本语言解释器,位于C:\WINNT\system32,正是它使得脚本可以被执行,效果和执行批处理一样。
我们来详细分析一下上述代码,它可以拷贝文件到指定地点。第一行是创建一个文件系统对象,第二行前面是打开这个脚本文件,“c:.exe”是指明这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到E盘根目录下。这也是大多数VBscript病毒的一个特点,它们在破坏过程中几乎无声无息,运行它们时没有任何提示,可谓是“随风潜入夜,润物细无声”。
3.识别及防范方法
可以看出,禁止相关对象就可以很有效地控制这种代码的传播。用“Regsvr32 scrrun.dll /u”这条命令就可以禁止文件系统对象,此外,在Windows 2000下,双击“我的电脑”图标,然后执行“工具/文件夹选项”命令,选择“文件类型”选项卡,找到“VBS VBScript Script File”选项,并单击[删除]按钮,最后单击[确定]即可。如图1所示。
图1
另外,还可以升级WSH 5.6以防止IE浏览器被恶意脚本修改,就是因为IE 5.5以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及Htmlfilr ActiveX对象读取浏览者的注册表,可以在www.microsoft.com下载最新版本的WSH。
天外来客:OutLook中的陷阱文件
1.典型陷阱邮件分析
在Outlook中,我们很容易收到经过改头换面的OLE(Object Linking and Embedding,对象链接与嵌入)对象,和上面的HTML文件类似,它并不是真正的邮件附件。下面是一个很典型的例子:
步骤1:打开OutLook2000,新建一个邮件。选择“格式” 菜单下的“带格式文本”,在邮件正文点击鼠标左键。然后,选择 “插入” 菜单下的“对象”,选择“由文件创建”后的“浏览”。现在,可以选择Windows目录下的Notepad.exe,点击“确定”,在新邮件主体部分就会出现图标。
步骤2:在图标上点击鼠标右键,选择“编辑包”,打开对象包装程序,选择“插入图标”按钮,选择“浏览”。以Windows 2000为例,选择C:\winnt\system\shell32.dll,在当前图标框中选择一个你想要的图标,比方说选择一个文本文件的图标,“确定”,然后选择菜单“编辑”→“卷标”,任意定义一个名字,比方说readme.txt,点击“确定”。如图2所示。
图2
步骤3:退出对象包装程序,在提示是否更新时选择“是”。现在出现的是Readme.txt,一般人会认为它是一个地地道道的文本文件附件。双击这个图标,如果它是一个病毒文件,后果可想而知,而这种情况十分常见。如图3所示。
图3
事实上,当你用OutLook2000收到这样一个邮件时,它会显示这是一个带附件的邮件,当你以为它是一个文本文件附件双击打开时,OutLook会提示对象携带病毒,并可能对计算机造成危害,因此,请确保该对象来源可靠。
2.陷阱邮件防范之道
实际防范的过程中,我们需要明白:它其实是一个OLE对象,并不是附件。双击打开它时,安全提示与附件的安全提示不同,这点非常重要。在选择“文件”→“保存附件”时并无对话框出现。
小提示:由于并非所有的邮件收发软件都支持对象嵌入,所以这类邮件的格式不一定被某些软件识别,如OutLook Express。但是OutLook的使用面很广,因此有必要小心行事。
瞒天过海:SHS碎片文件及防范
这种情形比较常见:双击打开某个文本文件时,系统会闪过一个DOS窗口,然后听到硬盘不停地读写,这就有可能是.shs文件了。
1.SHS文件陷阱的基础知识
SHS文件是一类特殊的OLE(Object Linking and Embedding,对象连接和嵌入)对象,可以由Word文档或Excel电子表格创建。也就是说,我们所输入的命令作为OLE对象嵌入到对象包装程序新建的文件中了,当你在不同文件间复制对象时,Windows是将对象包装成一个碎片对象来进行复制的。因此,一旦我们不是在文件间进行复制粘贴,而是直接将碎片对象粘贴到硬盘上,就会产生一个.SHS文件。这个碎片对象文件保存了原来对象的所具备的功能,原来对象包含的命令同样会被解析执行,这正是其可怕之处!如果在该文件中含有诸如“Format”之类的命令将非常可怕!
2.关于陷阱文件的具体实例
那么,碎片对象到底对用户的计算机会造成什么威胁呢?
步骤1:在硬盘上创建一个Readme.txt,然后我们来制作一个能删除这个测试文件的碎片对象文件。先运行c:/winnt/system32下的对象包装程序Packager.exe。新建一个文件后,打开 “文件” 菜单下的“导入”,这时会弹出一个文件对话框,让你选择一个文件。不用考虑,随便选择一个文件就可以了。
步骤2:然后打开“编辑”菜单下的“命令行”选项,在弹出的命令行输入对话框中输入“cmd.exe /c del d:\readme.txt”,点“确定”。然后在菜单中选择“编辑”→“复制数据包”,如图4所示。
图4
接着,在桌面上点击鼠标右键,在弹出菜单中选择“粘贴”,这时我们可以看到在桌面创建了一个碎片对象文件。双击后,CMD窗口一闪而过后,再到D盘看看,测试文件D:\readme.txt已经被删除了!如果这条命令是Format之类的危险命令,后果可想而知。
3.SHS文件的防范方法
碎片文件的图标和文本文件图标很相似,不过我们可以从注册表中设置使SHS文件的扩展名显现出来。运行注册表编辑器Regedit.exe,在HKEY_CLASSES_ROOT\.shs主键下,将默认值ShellScrap删除,现在双击.SHS文件就不会执行了。如图5所示。
图5
随着病毒文件和恶意文件的不断演变,五花八门的文件陷阱也越来越多,这就需要我们在平时多多留心,了解其运行机制,从而避免掉入这些危害极大的陷阱中。
|
