一種在Windows中被稱作“碎片對(duì)象”(擴(kuò)展名為“.SHS”)的文件可能正披著雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通過(guò)電子郵件附件),然后輕松破壞你的計(jì)算機(jī)系統(tǒng).它之所以這樣可怕,有三點(diǎn)主要原因:

  1.該文件在Windows中的默認(rèn)圖標(biāo)與記事本非常類似.

  2.在Windows的默認(rèn)狀態(tài)下,“碎片對(duì)象”文件的擴(kuò)展名(“.SHS”)是隱藏的,即使你在“資源管理器\工具\(yùn)文件夾選項(xiàng)\查看”中設(shè)置成顯示所有文件名的擴(kuò)展名,“.SHS”也還是隱藏的,這是因?yàn)閃indows支持雙重?cái)U(kuò)展名,如“iloveyou.txt.shs”顯示出來(lái)的名稱永遠(yuǎn)是“iloveyou.txt”.

  3.這種SHS附件病毒制造起來(lái)非常容易,半個(gè)小時(shí)就可以學(xué)會(huì),也不需要編程知識(shí)(“Format c:”大家都敲得出來(lái)吧).

  下面我們就一起來(lái)看看這個(gè)“隱身殺手”的真正面目吧!

  一、技術(shù)背景

  早在1992年的Windows 3.1版本中,微軟就引入了OLE(Object Linking and Embedding,對(duì)象鏈接與嵌入)技術(shù).這項(xiàng)技術(shù)能在一個(gè)文件中鏈接或嵌入另一個(gè)文件,例如在寫字板或Word中可以鏈接或嵌入另一個(gè)文本文件、圖像文件或聲音文件等.當(dāng)我們?cè)赪ord中嵌入一個(gè)Excel文時(shí),在Word會(huì)出現(xiàn)一個(gè)Excel文件圖標(biāo)及文件名稱,雙擊這個(gè)圖標(biāo)就可以調(diào)用Excel程序編輯該文件了,這項(xiàng)技術(shù)大大方便了文件的操作.

  為了能將這種嵌入文件中的“對(duì)象”方便地(使用復(fù)制方式)從一個(gè)文件移入另一個(gè)文件(或者說(shuō)被其它文件調(diào)用、與其它文件共享此“對(duì)象”),Windows使用了另一種技術(shù)Shell Scrap Object(簡(jiǎn)稱SHS),它能將嵌入文件中的“對(duì)象”包裝成一個(gè)“碎片對(duì)象”文件,以備復(fù)制到其它文件中.

  二、實(shí)例

  我們就來(lái)看看怎樣創(chuàng)建一個(gè)格式化軟盤的“碎片對(duì)象”文件.

  1.創(chuàng)建一個(gè)只包含一個(gè)空格(為了減小文件體積)的文本文件,任意取名.

  2.打開記事本,將此文件拖放入記事本.也可以點(diǎn)擊記事本菜單欄中的“插入\對(duì)象”,彈出“插入對(duì)象”對(duì)話框,選中“從文件創(chuàng)建”,然后點(diǎn)擊“瀏覽”按鈕選擇要插入的文件.

  3.選中該插入對(duì)象的圖標(biāo),選擇菜單欄中的“編輯\包對(duì)象\編輯包”(如圖1).在彈出的“對(duì)象包裝程序”對(duì)話框中,選擇菜單欄中的“編輯\命令行”,然后輸入如下命令:Format.com a: /autotest,點(diǎn)擊“確定”,此時(shí),內(nèi)容欄中會(huì)顯示出命令內(nèi)容.

  4.點(diǎn)擊外觀欄中的“插入圖標(biāo)”按鈕,會(huì)彈出一個(gè)警告對(duì)話框,確認(rèn),然后任選一個(gè)圖標(biāo).

  5.選擇菜單欄中的“編輯\卷標(biāo)”,為此嵌入對(duì)象取一個(gè)名稱(會(huì)替換原來(lái)的文件名稱).點(diǎn)擊“文件”菜單中的“更新”,然后關(guān)閉此對(duì)話框.

  6.將剛剛建立的嵌入對(duì)象拖放到桌面上.文件的默認(rèn)名是“碎片”,現(xiàn)在我們把它改成“iloveyou.txt”.打開電子郵件程序?qū)⒆烂嫔系摹癷loveyou.txt”作為附件發(fā)出,或者將含有嵌入對(duì)象(帶有惡意命令)的文檔作為附件發(fā)出.

  7.當(dāng)郵件接收者誤將“iloveyou.txt.shs”文件作為“iloveyou.txt”(如前文所述,“.SHS”擴(kuò)展名永遠(yuǎn)是隱藏的)放心地打開時(shí),或打開文件,點(diǎn)擊文件中的嵌入對(duì)象時(shí)觸發(fā)惡意命令(彈出DOS運(yùn)行窗口,執(zhí)行格式化命令),假如此時(shí)有另一個(gè)程序正在訪問(wèn)軟驅(qū),則會(huì)顯示如下信息“Drive A: is currently in use by another process. Aborting Format.”(A驅(qū)正被另一個(gè)程序訪問(wèn),格式化中止).

  真的很簡(jiǎn)單,就這樣一個(gè)惡意的攻擊程序被弄出來(lái)了,太可怕了!

  三、防治措施

  1.在注冊(cè)表編輯器[HEY_CLASSES_ROOT\ShellScrap]鍵下,有一個(gè)鍵值“NeverShowExt”,它是導(dǎo)致“.SHS”文件擴(kuò)展名無(wú)法顯示的“罪魁禍?zhǔn)住?刪除這個(gè)鍵值,你就可以看到“.SHS”擴(kuò)展名了.

  2.更換“碎片對(duì)象”文件的默認(rèn)圖標(biāo).由于碎片對(duì)象文件的默認(rèn)圖標(biāo)與文本文件圖標(biāo)非常相似,容易麻痹人,所以我們要更換它的圖標(biāo).打開資源管理器,選中查看菜單下的“文件夾選框”,在彈出的對(duì)話框中選擇“文件類型”活頁(yè)卡,在“已注冊(cè)的文件類型”下找到“碎片對(duì)象”.單擊右上角“編輯”按鈕,在打開的“編輯文件類型”對(duì)話框中單擊上邊的“更改圖標(biāo)”按鈕.打開C:\WINDOWS\SYSTEM\Pifmgr.dll,從出現(xiàn)的圖標(biāo)中選一個(gè)作為.SHS文件的新圖標(biāo)(就選第一排最后一個(gè)吧!).

  四、類似的情況

  另一種類似的情況是“指向文檔的快捷方式”文件.病毒制造者可以建立指向文檔中嵌入對(duì)象的快捷方式,點(diǎn)擊這種快捷方式同樣可以觸發(fā)嵌入對(duì)象中的惡意命令!

  “指向文檔的快捷方式”文件的擴(kuò)展名是“.SHB”,它同“.SHS”文件一樣,擴(kuò)展名是無(wú)條件隱藏的.控制隱藏“.SHB”擴(kuò)展名的鍵值是:HKEY_CLASSES_ROOT\DocShortcut,刪掉它!

  五、更多防治手段

  1.如果你在病毒掃描軟件中設(shè)置成掃描指定程序文件,而不是所有文件,那么在指定程序文件中加入“.SHS”和“.SHB”文件.各種防病毒軟件的設(shè)置大同小異(比較簡(jiǎn)單),這里略過(guò).

  2.禁止“碎片對(duì)象”文件及“指向文檔的快捷方式”文件.