烈火建站学院(liehuo.net)讯 如今的网络,几乎已经成了木马的网络。游戏、软件里面有木马,网页中有病毒,视频里面也夹着些危险的东西,几乎没有任何安全感可言。在某些用户的眼中,也许只有文本文件才是比较安全的,当看到一个文本图标的文件,都会毫不犹豫的双击打开它。但是,所谓的文本文件真的就这么安全吗?也许在这些文本文件中隐藏着更大的陷井,让你的电脑陷入万劫不复之地!鉴于社会的实际需要,网上报警中心电话需要改变一些原有的问题,更好的服务于社会,造福于人们。
一、别被文本图标欺骗了你
几乎所有的木马病毒都懂得更改文件图标,欺骗用户运行中招,所以在面对一个文本图标的文件时,别被文件的图标所欺骗。
假设黑客制作了一个木马程序server.exe,他会将程序图标更改为文本图标,用以欺骗一些粗心大意的用户。
修改木马图标非常简单,一般可使用专门的图标修改工具,如"executable file icon changer"、"program icon changer"等。以executable file icon changer为例,这个工具支持替换exe、dll、ocx、scr等文件的图标,被改文件即使移动到其它电脑上,也能显示更改后的文件图标。
运行executable file icon changer程序后,点击界面中的图标源按钮,浏览选择本地硬盘中c:\windows\system32\shell32.dll文件 ,即可看到所有winodws系统中常见的图标了(如图1)。拖动滚动条选择其中第509号[48,48,true]大小的文本文件图标。然后点击"欲更改文件"按钮,浏览选择"server.exe"文件。此时在界面下方会显示"新图标"和"原图标",点击两个图标中间的"replace"按钮,就可以更换后门程序的图标了。
图1 更改木马文件的图标
可以看到,新生成的程序图标与真正的文本文件混在一起,是很不容易被发现的(如图2)。尤其是在资源管理器的文件夹选项中将默认文件后缀名隐藏的用户,很可能无意中就会将这个文件成文本文件打开运行了。
图2 难以辨别的真假文本文件
二、双后缀文件,真假难辨
在显示文件后缀的主机上,上面的文本木马还是比较容易被看出破绽的。黑客们可能还会对文件名动一番手脚,让它更具迷惑性。
首先可为文件名加上双后缀,将上面的木马文件名改为******.txt.exe",在一些隐藏了文件后缀名的电脑上,这个文件会显示文件为******.txt,这样就迷惑了很多用户,以后文件名缀就是.txt的文本文件。
黑客还可能使用更绝的一个招数,在两个后缀名间加上一些空格,例如将文件改名为******.txt .exe。由于文件现在是双后缀,并且文件名足够的长,我们在文件名中添加了足够的空格,以至于在文件名中只显示.txt后缀,而表示真正文件类型的.exe后缀却隐藏起来了(如图3)!
图3 利用空格隐藏真正的文件类型
这样的文件是不是很具迷惑性?不是细心看,根本看不出来文件后缀中那几个小小的省略号,电脑用户十有八九会被其欺骗!即使用户在资源管理器中开启了显示文件后缀名的选项,也依然会在很大程度上被蒙骗过去!#p#副标题#e#
三、深度隐藏,不会显示的文件名
大家知道,木马攻击早已从简单的程序木马,演变成了网页木马、图片木马等多种分类。有没想这,也许你打开的一个貌似文本的文件,实际上却运行了一个网页木马呢?
黑客首先会制作一个后缀为.html的网页木马,这类木马制作很简单,例如利用ie的iframe漏洞就可以方便的制作一个溢出html网页,只要有人打开些网页,就会造成ie溢出,系统打开端口供黑客远程连接控制。制作的具体方法在这里就不多说了,假设网页文件文件名为test.html,黑客可能将它改成test.txt.{3050f4d8-98b5-11cf-bb82-00aa00bdce0b}。这样该文件在资源管理器中即使采用了显示后缀名的方式,也只显示为后缀名为.txt的文本文件,一般人根本看不出任何的异样。但是因为{3050f4d8-98b5-11cf-bb82-00aa00bdce0b}实际上就是html的注册表文件关联,双击时却会调用ie打开文件以html格式运行,造成ie溢出系统打开远程控制端口。
四、系统崩溃,毁于碎片
很多朋友听说过windows中的碎片对象文件(.shs文件),但是对于这种文件所带来的威胁,却不是很重视。不过当你运行了一个貌似文本文件的文件碎片时,也许才知道不起眼的碎片,原来有如此大的破坏力!
小贴士:什么是文件碎片
碎片对象文件(.shs)的缺省图标与文本文件图标相同,很容易会被误认为是一些文本文档,因此用户对这种文件也不会太注意防范。.shs是一个无条件隐藏扩展名的文件,即使将资源管理器的文件夹选项设置为显示所有文件后缀名,.shs文件也仍然是隐藏的!并且用任何杀毒软件检查此文件,都绝对找不到任何病毒,用碎片文件来伪装文本文件进行攻击是最合适不过的了。
黑客会创建一个碎片对象文件,点击开始→运行,输入packager.exe后回车,运行对象包装程序。然后点击菜单文件→导入,弹出一个文件对话框,任意选择一个文件。
点击菜单编辑→命令行,在弹出的命令行输入对话框中输入命令cmd.exe c del c:\*.*(如图4),确定后此命令将显示在程序右边窗口中。
图4 输入恶意命令
点击菜单编辑→复制数据包命令,回到windows桌面上,点击鼠标右键,在弹出菜单中选择粘贴,可以看到,桌面创建了一个名为片段的碎片对象文件。接下来,再将文件改名为片段.txt。
一旦有人双击运行了这个文本文件,桌面上闪过一个命令窗口之后,c盘根目录下的所有文件都被删除了,重启后无法正常进入系统。黑客基至可以在命令行窗口中输入破坏性更强的命令,例如格式化硬盘cmd.exe c format c:\等。#p#副标题#e#
五、精心构造的文本陷阱
如果说将木马伪装成文本的方法有些复杂,那么文本陷阱这个文本利用工具就是一个现成的文件木马,足以让大家体会到在文本伪装下的木马攻击威力!
下载这个文本利用工具并解压,可以看到在文件夹中有两个名为admin的文本文件,当显示文件名后缀后,可以得知这两个文件的真实文件名分别为admin.txt和admin.exe。其中admin.exe是真正的利用程序,由于采用了文本文件的图标,所以在隐藏文件扩展名时,很容易被误认为这是一个文本文件。
admin.exe文件其实是一个伪装成文本的入侵程序。它的功能非常强大,可以实现在被攻击主机上添加管理用户;打开磁盘自动运行功能以运行特殊木马;开启windows xp2003的远程终端等等。接下来我们在本机上运行这个木马,以便读者朋友可以更清楚的认识到它的危害。
当我们在电脑上运行这个程序后,进入命令提示符窗口,输入net user命令,即可显示电脑上的所有用户帐号(如图5)。可以看到,在用户列表中有一个名为iwam-iusr的用户名,这个用户就是刚才运行文本陷阱后添加用户。iwam-iusr的默认密码为gxgl.com#2004。这个用户名现系统中默认的用户名非常相似,一些没有经验的管理员很难察觉出来。
图5 自动添加的管理员帐号
此时右击我的电脑→属性,打开系统属性窗口,在远程标签中可以看到远程桌面中的允许用户远程连接到此计算机项已经被开启。这就是刚才运行文本陷阱运行,自动为黑客入侵开启的后门。由于刚才添加了一个管理员用户,而管理员用户默认是被许可进行远程连接的,因此黑客可以用刚添加的用户名和密码,通过3389远程终端连接运行了文本陷阱的主机,轻松的完成入侵。而当黑客在被入侵电脑上添加了一个管理员帐号后,其可以完成很多的入侵操作,例如远程连接、开启服务和端口等等。这方面的内容在此前的黑客防线中已经介绍过很多,在这里就不再详细说明了。
六、应对自如,轻松化解文本危机
看过前面的内容,相信大家一定会发出木马和黑客攻击无孔不入的硬要感慨,看似安全的文本文件,原来也暗藏了这么多的危险。如何才能防范各种木马病毒借助文本文件进行攻击呢?
对于在文件图标和文件后缀上作手脚的文件,只要提高警慎性,看清楚文件的真实名称再运行,一般是不会中招的。
对于文件碎片之类的文本文件,就需要对系统进行一下简单的设置了。打开注册表编辑器,找到hkey_classes_root\.shs键,将的shellscrap删除。此后,双击.shs文件时就不会自动运行,而是弹出一个提示对话框,询问是否进行操作。这样就可以在很大程度上防范.shs文件的攻击了。