性无码一区二区三区在线观看,少妇被爽到高潮在线观看,午夜精品一区二区三区,无码中文字幕人妻在线一区二区三区,无码精品国产一区二区三区免费

  • 回復
  • 收藏
  • 點贊
  • 分享
  • 發(fā)新帖

披著“羊皮”的狼-TXT文件的病毒陰謀

一種在Windows中被稱作“碎片對象”(擴展名為“.SHS”)的文件可能正披著雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通過電子郵件附件),然后輕松破壞你的計算機系統(tǒng).它之所以這樣可怕,有三點主要原因:

  1.該文件在Windows中的默認圖標與記事本非常類似.

  2.在Windows的默認狀態(tài)下,“碎片對象”文件的擴展名(“.SHS”)是隱藏的,即使你在“資源管理器\工具\文件夾選項\查看”中設置成顯示所有文件名的擴展名,“.SHS”也還是隱藏的,這是因為Windows支持雙重擴展名,如“iloveyou.txt.shs”顯示出來的名稱永遠是“iloveyou.txt”.

  3.這種SHS附件病毒制造起來非常容易,半個小時就可以學會,也不需要編程知識(“Format c:”大家都敲得出來吧).

  下面我們就一起來看看這個“隱身殺手”的真正面目吧!

  一、技術背景

  早在1992年的Windows 3.1版本中,微軟就引入了OLE(Object Linking and Embedding,對象鏈接與嵌入)技術.這項技術能在一個文件中鏈接或嵌入另一個文件,例如在寫字板或Word中可以鏈接或嵌入另一個文本文件、圖像文件或聲音文件等.當我們在Word中嵌入一個Excel文時,在Word會出現(xiàn)一個Excel文件圖標及文件名稱,雙擊這個圖標就可以調用Excel程序編輯該文件了,這項技術大大方便了文件的操作.

  為了能將這種嵌入文件中的“對象”方便地(使用復制方式)從一個文件移入另一個文件(或者說被其它文件調用、與其它文件共享此“對象”),Windows使用了另一種技術Shell Scrap Object(簡稱SHS),它能將嵌入文件中的“對象”包裝成一個“碎片對象”文件,以備復制到其它文件中.

  二、實例

  我們就來看看怎樣創(chuàng)建一個格式化軟盤的“碎片對象”文件.

  1.創(chuàng)建一個只包含一個空格(為了減小文件體積)的文本文件,任意取名.

  2.打開記事本,將此文件拖放入記事本.也可以點擊記事本菜單欄中的“插入\對象”,彈出“插入對象”對話框,選中“從文件創(chuàng)建”,然后點擊“瀏覽”按鈕選擇要插入的文件.

  3.選中該插入對象的圖標,選擇菜單欄中的“編輯\包對象\編輯包”(如圖1).在彈出的“對象包裝程序”對話框中,選擇菜單欄中的“編輯\命令行”,然后輸入如下命令:Format.com a: /autotest,點擊“確定”,此時,內容欄中會顯示出命令內容.

  4.點擊外觀欄中的“插入圖標”按鈕,會彈出一個警告對話框,確認,然后任選一個圖標.

  5.選擇菜單欄中的“編輯\卷標”,為此嵌入對象取一個名稱(會替換原來的文件名稱).點擊“文件”菜單中的“更新”,然后關閉此對話框.

  6.將剛剛建立的嵌入對象拖放到桌面上.文件的默認名是“碎片”,現(xiàn)在我們把它改成“iloveyou.txt”.打開電子郵件程序將桌面上的“iloveyou.txt”作為附件發(fā)出,或者將含有嵌入對象(帶有惡意命令)的文檔作為附件發(fā)出.

  7.當郵件接收者誤將“iloveyou.txt.shs”文件作為“iloveyou.txt”(如前文所述,“.SHS”擴展名永遠是隱藏的)放心地打開時,或打開文件,點擊文件中的嵌入對象時觸發(fā)惡意命令(彈出DOS運行窗口,執(zhí)行格式化命令),假如此時有另一個程序正在訪問軟驅,則會顯示如下信息“Drive A: is currently in use by another process. Aborting Format.”(A驅正被另一個程序訪問,格式化中止).

  真的很簡單,就這樣一個惡意的攻擊程序被弄出來了,太可怕了!

  三、防治措施

  1.在注冊表編輯器[HEY_CLASSES_ROOT\ShellScrap]鍵下,有一個鍵值“NeverShowExt”,它是導致“.SHS”文件擴展名無法顯示的“罪魁禍首”.刪除這個鍵值,你就可以看到“.SHS”擴展名了.

  2.更換“碎片對象”文件的默認圖標.由于碎片對象文件的默認圖標與文本文件圖標非常相似,容易麻痹人,所以我們要更換它的圖標.打開資源管理器,選中查看菜單下的“文件夾選框”,在彈出的對話框中選擇“文件類型”活頁卡,在“已注冊的文件類型”下找到“碎片對象”.單擊右上角“編輯”按鈕,在打開的“編輯文件類型”對話框中單擊上邊的“更改圖標”按鈕.打開C:\WINDOWS\SYSTEM\Pifmgr.dll,從出現(xiàn)的圖標中選一個作為.SHS文件的新圖標(就選第一排最后一個吧!).

  四、類似的情況

  另一種類似的情況是“指向文檔的快捷方式”文件.病毒制造者可以建立指向文檔中嵌入對象的快捷方式,點擊這種快捷方式同樣可以觸發(fā)嵌入對象中的惡意命令!

  “指向文檔的快捷方式”文件的擴展名是“.SHB”,它同“.SHS”文件一樣,擴展名是無條件隱藏的.控制隱藏“.SHB”擴展名的鍵值是:HKEY_CLASSES_ROOT\DocShortcut,刪掉它!

  五、更多防治手段

  1.如果你在病毒掃描軟件中設置成掃描指定程序文件,而不是所有文件,那么在指定程序文件中加入“.SHS”和“.SHB”文件.各種防病毒軟件的設置大同小異(比較簡單),這里略過.

  2.禁止“碎片對象”文件及“指向文檔的快捷方式”文件.
全部回復(13)
正序查看
倒序查看
2006-11-11 08:40
很老的病毒手法吧.....
0
回復
jacki_wang
LV.11
3
2006-11-11 08:47
@又冒煙了
很老的病毒手法吧.....
最近收到很多這樣的LJ郵件,信側靈
0
回復
李紹波
LV.9
4
2006-11-11 08:54
@jacki_wang
最近收到很多這樣的LJ郵件,信側靈
不是吧,你的什么操作系統(tǒng)?我的連你說的那個鍵值也沒有....

還軟驅呢,證明寫這個文章的人還是在軟驅大行其道的時候寫的,都N年前了.....現(xiàn)在隨便一個殺毒軟件也能搞定....
0
回復
j.j.
LV.2
5
2006-11-11 09:02
@李紹波
不是吧,你的什么操作系統(tǒng)?我的連你說的那個鍵值也沒有....還軟驅呢,證明寫這個文章的人還是在軟驅大行其道的時候寫的,都N年前了.....現(xiàn)在隨便一個殺毒軟件也能搞定....
哈哈,這個文章不錯了,難道說寫文章的要教你嘗試格式化硬盤才是新東西?不過估計改成C盤也不會有問題的吧?要不你試下再告訴樓主?
0
回復
jacki_wang
LV.11
6
2006-11-11 16:10
@j.j.
哈哈,這個文章不錯了,難道說寫文章的要教你嘗試格式化硬盤才是新東西?不過估計改成C盤也不會有問題的吧?要不你試下再告訴樓主?
樓上的,贊成你的說法,最近真的很多LJ郵件
0
回復
f.f.
LV.2
7
2006-11-11 19:07
謝謝!
0
回復
2006-11-13 15:15
@f.f.
謝謝!
我的電腦一打開老出現(xiàn)角本錯誤,是不是中毒了,現(xiàn)在老登不上機.
0
回復
2006-11-13 15:54
@sunshine66
我的電腦一打開老出現(xiàn)角本錯誤,是不是中毒了,現(xiàn)在老登不上機.
不是決少文件就是中毒啦....
0
回復
2006-11-13 23:53
@李紹波
不是吧,你的什么操作系統(tǒng)?我的連你說的那個鍵值也沒有....還軟驅呢,證明寫這個文章的人還是在軟驅大行其道的時候寫的,都N年前了.....現(xiàn)在隨便一個殺毒軟件也能搞定....
李兄我的電腦中標啦瑞星的最新版也拿它沒轍請賜教
這是瑞星殺毒后的報告顯示:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
說實話俺的電腦技術那就一個字------差
                      兩個字------很差
0
回復
2006-11-14 08:34
@一個好人玉米棒
李兄我的電腦中標啦瑞星的最新版也拿它沒轍請賜教這是瑞星殺毒后的報告顯示:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN說實話俺的電腦技術那就一個字------差                      兩個字------很差
裝卡巴6.0吧,網上很多下的...
0
回復
sunshine66
LV.4
12
2006-11-14 09:36
@四角天空
不是決少文件就是中毒啦....
中了木馬病毒.
0
回復
2006-11-14 10:20
頂樓主,高手
0
回復
aemthyst
LV.2
14
2007-08-27 12:07
@又冒煙了
很老的病毒手法吧.....
初學者近來看看很好的,有利于培養(yǎng)制造病毒的思路
哈哈哈哈
0
回復
發(fā)