一、別被“文本”圖標欺騙了你
幾乎所有的木馬病毒都懂得更改文件圖標,欺騙用戶運行中招,所以在面對一個文本圖標的文件時,別被文件的圖標所欺騙。
假設黑客制作了一個木馬程序“Server.exe”,他會將程序圖標更改為文本圖標,用以欺騙一些粗心大意的用戶。
修改木馬圖標非常簡單,一般可使用專門的圖標修改工具,如"Executable File Icon Changer"、"Program Icon Changer"等。以Executable File Icon Changer為例,這個工具支持替換Exe、Dll、Ocx、Scr等文件的圖標,被改文件即使移動到其它電腦上,也能顯示更改后的文件圖標。
運行Executable File Icon Changer程序后,點擊界面中的“圖標源”按鈕,瀏覽選擇本地硬盤中“C:\windows\system32\shell32.dll”文件 ,即可看到所有Winodws系統中常見的圖標了(如圖1)。拖動滾動條選擇其中第509號[48,48,True]大小的文本文件圖標。然后點擊"欲更改文件"按鈕,瀏覽選擇"Server.exe"文件。此時在界面下方會顯示"新圖標"和"原圖標",點擊兩個圖標中間的"Replace"按鈕,就可以更換后門程序的圖標了。
圖1 更改木馬文件的圖標
可以看到,新生成的程序圖標與真正的文本文件混在一起,是很不容易被發現的(如圖2)。尤其是在資源管理器的“文件夾選項”中將默認文件后綴名隱藏的用戶,很可能無意中就會將這個文件成文本文件打開運行了。
圖2 難以辨別的真假文本文件
二、雙后綴文件,真假難辨
在顯示文件后綴的主機上,上面的“文本木馬”還是比較容易被看出破綻的。黑客們可能還會對文件名動一番手腳,讓它更具迷惑性。
首先可為文件名加上雙后綴,將上面的木馬文件名改為“******.txt.exe",在一些隱藏了文件后綴名的電腦上,這個文件會顯示文件為“******.txt”,這樣就迷惑了很多用戶,以后文件名綴就是.txt的文本文件。
黑客還可能使用更絕的一個招數,在兩個后綴名間加上一些空格,例如將文件改名為“******.txt .exe”。由于文件現在是雙后綴,并且文件名足夠的長,我們在文件名中添加了足夠的空格,以至于在文件名中只顯示“.txt”后綴,而表示真正文件類型的“.exe”后綴卻隱藏起來了(如圖3)!
圖3 利用空格隱藏真正的文件類型
這樣的文件是不是很具迷惑性?不是細心看,根本看不出來文件后綴中那幾個小小的省略號,電腦用戶十有八九會被其欺騙!即使用戶在資源管理器中開啟了顯示文件后綴名的選項,也依然會在很大程度上被蒙騙過去!
三、深度隱藏,不會顯示的文件名
大家知道,木馬攻擊早已從簡單的程序木馬,演變成了網頁木馬、圖片木馬等多種分類。有沒想這,也許你打開的一個貌似文本的文件,實際上卻運行了一個網頁木馬呢?
黑客首先會制作一個后綴為“.html”的網頁木馬,這類木馬制作很簡單,例如利用IE的Iframe漏洞就可以方便的制作一個溢出HTML網頁,只要有人打開些網頁,就會造成IE溢出,系統打開端口供黑客遠程連接控制。制作的具體方法在這里就不多說了,假設網頁文件文件名為“test.html”,黑客可能將它改成“test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}”。這樣該文件在資源管理器中即使采用了顯示后綴名的方式,也只顯示為后綴名為.txt的文本文件,一般人根本看不出任何的異樣。但是因為{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}實際上就是html的注冊表文件關聯,雙擊時卻會調用IE打開文件以HTML格式運行,造成IE溢出系統打開遠程控制端口。
四、系統崩潰,毀于“碎片”
很多朋友聽說過Windows中的碎片對象文件(.shs文件),但是對于這種文件所帶來的威脅,卻不是很重視。不過當你運行了一個貌似文本文件的文件碎片時,也許才知道不起眼的碎片,原來有如此大的破壞力!
小貼士:什么是文件碎片
碎片對象文件(.shs)的缺省圖標與文本文件圖標相同,很容易會被誤認為是一些文本文檔,因此用戶對這種文件也不會太注意防范。“.shs”是一個無條件隱藏擴展名的文件,即使將資源管理器的“文件夾選項”設置為顯示所有文件后綴名,“.shs”文件也仍然是隱藏的!并且用任何殺毒軟件檢查此文件,都絕對找不到任何病毒,用碎片文件來偽裝文本文件進行攻擊是最合適不過的了。
黑客會創建一個碎片對象文件,點擊“開始→運行”,輸入“packager.exe”后回車,運行“對象包裝”程序。然后點擊菜單“文件→導入”,彈出一個文件對話框,任意選擇一個文件。
點擊菜單“編輯→命令行”,在彈出的命令行輸入對話框中輸入命令“cmd.exe /c del c:\*.*”(如圖4),確定后此命令將顯示在程序右邊窗口中。
圖4 輸入惡意命令
點擊菜單“編輯→復制數據包”命令,回到Windows桌面上,點擊鼠標右鍵,在彈出菜單中選擇“粘貼”,可以看到,桌面創建了一個名為“片段”的碎片對象文件。接下來,再將文件改名為“片段.txt”。
一旦有人雙擊運行了這個“文本”文件,桌面上閃過一個命令窗口之后,C盤根目錄下的所有文件都被刪除了,重啟后無法正常進入系統。黑客基至可以在命令行窗口中輸入破壞性更強的命令,例如格式化硬盤“cmd.exe /c format c:\”等。
五、精心構造的“文本陷阱”
如果說將木馬偽裝成文本的方法有些復雜,那么“文本陷阱”這個文本利用工具就是一個現成的文件木馬,足以讓大家體會到在“文本”偽裝下的木馬攻擊威力!
下載這個文本利用工具并解壓,可以看到在文件夾中有兩個名為“admin”的“文本文件”,當顯示文件名后綴后,可以得知這兩個文件的真實文件名分別為“admin.txt”和“admin.exe”。其中“admin.exe”是真正的利用程序,由于采用了文本文件的圖標,所以在隱藏文件擴展名時,很容易被誤認為這是一個文本文件。
“admin.exe”文件其實是一個偽裝成文本的入侵程序。它的功能非常強大,可以實現在被攻擊主機上添加管理用戶;打開磁盤自動運行功能以運行特殊木馬;開啟Windows XP/2003的遠程終端等等。接下來我們在本機上運行這個木馬,以便讀者朋友可以更清楚的認識到它的危害。
當我們在電腦上運行這個程序后,進入命令提示符窗口,輸入“net user”命令,即可顯示電腦上的所有用戶帳號(如圖5)。可以看到,在用戶列表中有一個名為“IWAM-IUSR”的用戶名,這個用戶就是剛才運行文本陷阱后添加用戶。“IWAM-IUSR”的默認密碼為“gxgl.com#2004”。這個用戶名現系統中默認的用戶名非常相似,一些沒有經驗的管理員很難察覺出來。
圖5 自動添加的管理員帳號
此時右擊“我的電腦→屬性”,打開“系統屬性”窗口,在“遠程”標簽中可以看到“遠程桌面”中的“允許用戶遠程連接到此計算機”項已經被開啟。這就是剛才運行文本陷阱運行,自動為黑客入侵開啟的后門。由于剛才添加了一個管理員用戶,而管理員用戶默認是被許可進行遠程連接的,因此黑客可以用剛添加的用戶名和密碼,通過3389遠程終端連接運行了文本陷阱的主機,輕松的完成入侵。而當黑客在被入侵電腦上添加了一個管理員帳號后,其可以完成很多的入侵操作,例如遠程連接、開啟服務和端口等等。這方面的內容在此前的“黑客防線”中已經介紹過很多,在這里就不再詳細說明了。
六、應對自如,輕松化解“文本”危機
看過前面的內容,相信大家一定會發出“木馬和黑客攻擊無孔不入”的硬要感慨,看似安全的文本文件,原來也暗藏了這么多的危險。如何才能防范各種木馬病毒借助文本文件進行攻擊呢?
對于在文件圖標和文件后綴上作手腳的文件,只要提高警慎性,看清楚文件的真實名稱再運行,一般是不會中招的。
對于文件碎片之類的文本文件,就需要對系統進行一下簡單的設置了。打開注冊表編輯器,找到“HKEY_CLASSES_ROOT\.shs”鍵,將的“ShellScrap”刪除。此后,雙擊“.shs”文件時就不會自動運行,而是彈出一個提示對話框,詢問是否進行操作。這樣就可以在很大程度上防范“.shs”文件的攻擊了。