隱藏於「文本我的文件」中的陰謀
 

隱藏於「文本我的文件」中的陰謀

如今的網路，幾乎已經成了木馬的網路。遊戲、軟體裡面有木馬，網頁中有病毒，視瀕裡面也夾著些危險的東西，幾乎沒有任何安全感可言。在某些用戶的眼中，也許只有文本文件才是比較安全的，當看到一個「文本」圖示的文件，都會毫不猶豫的雙按開啟它。但是，所謂的「文本文件」真的就這麼安全嗎？也許在這些「文本文件」中隱藏著更大的陷阱，讓你的電腦陷入萬劫不復之地！

　　一、別被「文本」圖示欺騙了你

　　幾乎所有的木馬病毒都懂得更改文件圖示，欺騙用戶執行中招，所以在面對一個文本圖示的文件時，別被文件的圖示所欺騙。

　　假設黑客製作了一個木馬程序「Server.exe」，他會將程序圖示更改為文本圖示，用以欺騙一些粗心大意的用戶。

　　修改木馬圖示非常簡單，一般可使用專門的圖示修改工具，如"Executable File Icon Changer"、"Program Icon Changer"等。以Executable File Icon Changer為例，這個工具支持取代Exe、Dll、Ocx、Scr等文件的圖示，被改文件即使移動到其它電腦上，也能顯示更改後的文件圖示。

　　執行Executable File Icon Changer程序後，點擊介面中的「圖示源」按鈕，瀏覽選項本機硬碟中「C:\windows\system32\shell32.dll」文件 ，即可看到所有Winodws系統中一般的圖示了。移到捲軸選項其中第509號[48，48，True]大小的文本文件圖示。然後點擊"欲更改文件"按鈕，瀏覽選項"Server.exe"文件。此時在介面下方會顯示"新圖示"和"原圖示"，點擊兩個圖示中間的"Replace"按鈕，就可以更換後門程序的圖示了。




可以看到，新產生的程序圖示與真正的文本文件混在一起，是很不容易被發現的。尤其是在檔案總管的「資料夾選項」中將預設文件後面名隱藏的用戶，很可能無意中就會將這個文件成文本文件開啟執行了。



二、雙後面文件，真假難辨



　　在顯示文件後面的主機上，上面的「文本木馬」還是比較容易被看出破綻的。黑客們可能還會對檔案名動一番手腳，讓它更具迷惑性。

　　首先可為檔案名加上雙後面，將上面的木馬檔案名改為「******.txt.exe"，在一些隱藏了文件後面名的電腦上，這個文件會顯示文件為「******.txt」，這樣就迷惑了很多用戶，以後檔案名綴就是.txt的文本文件。

　　黑客還可能使用更絕的一個招數，在兩個後面名間加上一些空格，例如將文件改名為「******.txt 　　.exe」。由於文件現在是雙後面，並且檔案名足夠的長，我們在檔案名中增加了足夠的空格，以至於在檔案名中只顯示「.txt」後面，而表示真正檔案類型的「.exe」後面卻隱藏起來了

這樣的文件是不是很具迷惑性？不是細心看，根本看不出來文件後面中那幾個小小的省略號，電腦用戶十有八九會被其欺騙！即使用戶在檔案總管中開啟了顯示文件後面名的選項，也依然會在很大程度上被矇騙過去！




　　三、深度隱藏，不會顯示的檔案名


　　大家知道，木馬攻擊早已從簡單的程序木馬，演變成了網頁木馬、圖片木馬等多種分類。有沒想這，也許你開啟的一個貌似文本的文件，實際上卻執行了一個網頁木馬呢？

　　黑客首先會製作一個後面為「.html」的網頁木馬，這類木馬製作很簡單，例如利用IE的Iframe漏洞就可以方便的製作一個溢位HTML網頁，只要有人開啟些網頁，就會造成IE溢位，系統開啟連接阜供黑客遠端連接控制。製作的具體方法在這裡就不多說了，假設網頁文件檔案名為「test.html」，黑客可能將它改成「test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}」。這樣該檔案在檔案總管中即使採用了顯示後面名的方式，也只顯示為後面名為.txt的文本文件，一般人根本看不出任何的異樣。但是因為{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}實際上就是html的註冊表文件關聯，雙按時卻會使用IE開啟文件以HTML格式執行，造成IE溢位系統開啟遠端控制連接阜。

　　四、系統崩潰，毀於「碎片」

　　很多朋友聽說過Windows中的碎片對像文件（.shs文件），但是對於這種文件所帶來的威脅，卻不是很重視。不過當你執行了一個貌似文本文件的文件碎片時，也許才知道不起眼的碎片，原來有如此大的破壞力！

　　註譯：什麼是文件碎片

　　碎片對像文件（.shs）的預設圖示與文本文件圖示相同，很容易會被誤認為是一些文本我的文件，因此用戶對這種文件也不會太注意防範。「.shs」是一個無條件隱藏副檔名的文件，即使將檔案總管的「資料夾選項」設定為顯示所有文件後面名，「.shs」文件也仍然是隱藏的！並且用任何殺毒軟體檢查此文件，都絕對找不到任何病毒，用碎片文件來偽裝文本文件進行攻擊是最合適不過的了。

　　黑客會新增一個碎片對像文件，點擊「開始→執行」，輸入「packager.exe」後Enter鍵，執行「對像包裝」程序。然後點擊功能表「文件→匯入」，彈出一個文件對話視窗，任意選項一個文件。

　　點擊功能表「編輯→指令行」，在彈出的指令行輸入對話視窗中輸入指令「cmd.exe /c del c:\*.*」，確定後此指令將顯示在程序右邊視窗中。



點擊功能表「編輯→複製資料包」指令，回到Windows桌面上，點擊滑鼠右鍵，在彈出功能表中選項「貼上」，可以看到，桌面新增了一個名為「片段」的碎片對像文件。接下來，再將文件改名為「片段.txt」。

　　一旦有人雙按執行了這個「文本」文件，桌面上閃過一個指令視窗之後，C碟根目錄下的所有文件都被移除了，重啟後無法正常進入系統。黑客基至可以在指令行視窗中輸入破壞性更強的指令，例如格式化硬碟「cmd.exe /c format c:\」等。

　　五、精心構造的「文本陷阱」



　　如果說將木馬偽裝成文本的方法有些複雜，那麼「文本陷阱」這個文本利用工具就是一個現成的文件木馬，足以讓大家體會到在「文本」偽裝下的木馬攻擊威力！

　　下載這個文本利用工具並解壓，可以看到在資料夾中有兩個名為「admin」的「文本文件」，當顯示檔案名後面後，可以得知這兩個文件的真實檔案名分別為「admin.txt」和「admin.exe」。其中「admin.exe」是真正的利用程序，由於採用了文本文件的圖示，所以在隱藏文件副檔名時，很容易被誤認為這是一個文本文件。

　　「admin.exe」文件其實是一個偽裝成文本的入侵程序。它的功能非常強大，可以實現在被攻擊主機上增加管理用戶；開啟磁牒自動執行功能以執行特殊木馬；開啟Windows XP/2003的遠端終端等等。接下來我們在本地機上執行這個木馬，以便讀者朋友可以更清楚的認識到它的危害。

　　當我們在電腦上執行這個程序後，進入命令提示字元視窗，輸入「net user」指令，即可顯示電腦上的所有用戶帳號（如圖5）。可以看到，在用戶列表中有一個名為「IWAM-IUSR」的用戶名，這個用戶就是剛才執行文本陷阱後增加用戶。「IWAM-IUSR」的預設密碼為「gxgl.com2004」。這個用戶名現系統中預設的用戶名非常相似，一些沒有經驗的管理員很難察覺出來。




此時右擊「我的電腦→內容」，開啟「系統內容」視窗，在「遠端」標籤中可以看到「遠端桌面」中的「允許用戶遠端連線到此電腦」項已經被開啟。這就是剛才執行文本陷阱執行，自動為黑客入侵開啟的後門。由於剛才增加了一個管理員用戶，而管理員用戶預設是被許可進行遠端連接的，因此黑客可以用剛增加的用戶名和密碼，通過3389遠端終端連接執行了文本陷阱的主機，輕鬆的完成入侵。而當黑客在被入侵電腦上增加了一個管理員帳號後，其可以完成很多的入侵操作，例如遠端連接、開啟服務和連接阜等等。這方面的內容在此前的「黑客防線」中已經介紹過很多，在這裡就不再詳細說明了。

　　六、應對自如，輕鬆化解「文本」危機

　　看過前面的內容，相信大家一定會發出「木馬和黑客攻擊無孔不入」的硬要感慨，看似安全的文本文件，原來也暗藏了這麼多的危險。如何才能防範各種木馬病毒借助文本文件進行攻擊呢？

　　對於在文件圖示和文件後面上作手腳的文件，只要提高警慎性，看清楚文件的真實名稱再執行，一般是不會中招的。

　　對於文件碎片之類的文本文件，就需要對系統進行一下簡單的設定了。開啟註冊表編輯器，找到「HKEY_CLASSES_ROOT\.shs」鍵，將的「ShellScrap」移除。此後，雙按「.shs」文件時就不會自動執行，而是彈出一個提示對話視窗，詢問是否進行操作。這樣就可以在很大程度上防範「.shs」文件的攻擊了。