廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2612 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 披著“羊皮”的狼 TXT下的病毒陰謀
披著“羊皮”的狼 TXT下的病毒陰謀
http://3800hk.com/new...929.html



一種在Windows中被稱作“碎片對象”(擴展名爲“.SHS”)的文件可能正披著雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通過電子郵件附件),然後輕松破壞你的計算機係統。它之所以這樣可怕,有三點主要原因:

1.該文件在Windows中的默認圖標與記事本非常類似。

2.在Windows的默認狀態下,“碎片對象”文件的擴展名(“.SHS”)是隱藏的,即使你在“資源管理器\工具\文件夾選項\查看”中設置成顯示所有文件名的擴展名,“.SHS”也還是隱藏的,這是因爲Windows支持雙重擴展名,如“iloveyou.txt.shs”顯示出來的名稱永遠是“iloveyou.txt”。

3.這種SHS附件病毒制造起來非常容易,半個小時就可以學會,也不需要編程知識(“Format c:”大家都敲得出來吧)。

下面我們就一起來看看這個“隱身殺手”的真正面目吧!

一、技術背景

早在1992年的Windows 3.1版本中,微軟就引入了OLE(Object Linking and Embedding,對象鏈接與嵌入)技術。這項技術能在一個文件中鏈接或嵌入另一個文件,例如在寫字板或Word中可以鏈接或嵌入另一個文本文件、圖像文件或聲音文件等。當我們在Word中嵌入一個Excel文時,在Word會出現一個Excel文件圖標及文件名稱,雙擊這個圖標就可以調用Excel程序編輯該文件了,這項技術大大方便了文件的操作。

爲了能將這種嵌入文件中的“對象”方便地(使用複制方式)從一個文件移入另一個文件(或者說被其它文件調用、與其它文件共享此“對象”),Windows使用了另一種技術Shell Scrap Object(簡稱SHS),它能將嵌入文件中的“對象”包裝成一個“碎片對象”文件,以備複制到其它文件中。

二、實例

我們就來看看怎樣創建一個格式化軟盤的“碎片對象”文件。

1.創建一個只包含一個空格(爲了減小文件體積)的文本文件,任意取名。

2.打開記事本,將此文件拖放入記事本。也可以點擊記事本菜單欄中的“插入\對象”,彈出“插入對象”對話框,選中“從文件創建”,然後點擊“浏覽”按鈕選擇要插入的文件。

3.選中該插入對象的圖標,選擇菜單欄中的“編輯\包對象\編輯包”(如圖1)。在彈出的“對象包裝程序”對話框中,選擇菜單欄中的“編輯\命令行”,然後輸入如下命令:Format.com a: /autotest,點擊“確定”,此時,內容欄中會顯示出命令內容。

4.點擊外觀欄中的“插入圖標”按鈕,會彈出一個警告對話框,確認,然後任選一個圖標。

5.選擇菜單欄中的“編輯\卷標”,爲此嵌入對象取一個名稱(會替換原來的文件名稱)。點擊“文件”菜單中的“更新”,然後關閉此對話框。

6.將剛剛建立的嵌入對象拖放到桌面上。文件的默認名是“碎片”,現在我們把它改成“iloveyou.txt”。打開電子郵件程序將桌面上的“iloveyou.txt”作爲附件發出,或者將含有嵌入對象(帶有惡意命令)的文檔作爲附件發出。

7.當郵件接收者誤將“iloveyou.txt.shs”文件作爲“iloveyou.txt”(如前文所述,“.SHS”擴展名永遠是隱藏的)放心地打開時,或打開文件,點擊文件中的嵌入對象時觸發惡意命令(彈出DOS運行窗口,執行格式化命令),假如此時有另一個程序正在訪問軟驅,則會顯示如下信息“Drive A: is currently in use by another process. Aborting Format.”(A驅正被另一個程序訪問,格式化中止)。

真的很簡單,就這樣一個惡意的攻擊程序被弄出來了,太可怕了!

三、防治措施

1.在注冊表編輯器[HEY_CLASSES_ROOT\ShellScrap]鍵下,有一個鍵值“NeverShowExt”,它是導致“.SHS”文件擴展名無法顯示的“罪魁禍首”。刪除這個鍵值,你就可以看到“.SHS”擴展名了。

2.更換“碎片對象”文件的默認圖標。由於碎片對象文件的默認圖標與文本文件圖標非常相似,容易麻痹人,所以我們要更換它的圖標。打開資源管理器,選中查看菜單下的“文件夾選框”,在彈出的對話框中選擇“文件類型”活頁卡,在“已注冊的文件類型”下找到“碎片對象”。單擊右上角“編輯”按鈕,在打開的“編輯文件類型”對話框中單擊上邊的“更改圖標”按鈕。打開C:\WINDOWS\SYSTEM\Pifmgr.dll,從出現的圖標中選一個作爲.SHS文件的新圖標(就選第一排最後一個吧,一顆炸彈!)。

四、類似的情況

另一種類似的情況是“指向文檔的快捷方式”文件。病毒制造者可以建立指向文檔中嵌入對象的快捷方式,點擊這種快捷方式同樣可以觸發嵌入對象中的惡意命令!

“指向文檔的快捷方式”文件的擴展名是“.SHB”,它同“.SHS”文件一樣,擴展名是無條件隱藏的。控制隱藏“.SHB”擴展名的鍵值是:HKEY_CLASSES_ROOT\DocShortcut,刪掉它!

五、更多防治手段

1.如果你在病毒掃描軟件中設置成掃描指定程序文件,而不是所有文件,那麽在指定程序文件中加入“.SHS”和“.SHB”文件。各種防病毒軟件的設置大同小異(比較簡單),這裏略過。

2.禁止“碎片對象”文件及“指向文檔的快捷方式”文件。



爸爸 你一路好走
獻花 x1 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-09 06:58 |
hlking0110 手機
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x2
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這樣危險的東西~還得感謝大大提醒

MIS們要小心嚕~可別著了這個小東西的道

不然可是得不償失喔!! 表情 表情

在此感謝大大的文章~感激阿 表情


獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2007-03-29 14:34 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.075974 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言