網上行走千辛萬險 「文本文件」也要當心

【賽迪網-IT技術報道】如今的網絡，幾乎已經成了木馬的網絡。遊戲、軟體裡面有木馬，網頁中有病毒，視頻裡面也夾著些危險的東西，幾乎沒有任何安全感可言。在某些用戶的眼中，也許只有文本文件才是比較安全的，當看到一個「文本」圖標的文件，都會毫不猶豫的雙擊打開它。但是，所謂的「文本文件」真的就這麼安全嗎？也許在這些「文本文件」中隱藏著更大的陷阱，讓你的電腦陷入萬劫不復之地！

一、別被「文本」圖標欺騙了你

幾乎所有的木馬病毒都懂得更改文件圖標，欺騙用戶運行中招，所以在面對一個文本圖標的文件時，別被文件的圖標所欺騙。

假設黑客製作了一個木馬程序「Server.exe」，他會將程序圖標更改為文本圖標，用以欺騙一些粗心大意的用戶。

修改木馬圖標非常簡單，一般可使用專門的圖標修改工具，如"Executable File Icon Changer"、"Program Icon Changer"等。以Executable File Icon Changer為例，這個工具支持替換Exe、Dll、Ocx、Scr等文件的圖標，被改文件即使移動到其它電腦上，也能顯示更改後的文件圖標。

可以看到，新生成的程序圖標與真正的文本文件混在一起，是很不容易被發現的（如圖）。尤其是在資源管理器的「文件夾選項」中將默認文件後綴名隱藏的用戶，很可能無意中就會將這個文件成文本文件打開運行了。

二、雙後綴文件，真假難辨

在顯示文件後綴的主機上，上面的「文本木馬」還是比較容易被看出破綻的。黑客們可能還會對文件名動一番手腳，讓它更具迷惑性。

首先可為文件名加上雙後綴，將上面的木馬文件名改為「******.txt.exe"，在一些隱藏了文件後綴名的電腦上，這個文件會顯示文件為「******.txt」，這樣就迷惑了很多用戶，以後文件名綴就是.txt的文本文件。

黑客可能使用更絕一招數，在兩後綴名間加空格，將文件改名為「******.txt 　　.exe」。由於文件現在是雙後綴，並且文件名足夠的長，我們在文件名中添加了足夠的空格，以至於在文件名中只顯示「.txt」後綴，而表示真正文件類型的「.exe」後綴卻隱藏起來了（如圖）！

這樣的文件是不是很具迷惑性？不是細心看，根本看不出來文件後綴中那幾個小小的省略號，電腦用戶十有八九會被其欺騙！即使用戶在資源管理器中開啟了顯示文件後綴名的選項，也依然會在很大程度上被蒙騙過去！

三、深度隱藏，不會顯示的文件名

大家知道，木馬攻擊早已從簡單的程序木馬，演變成了網頁木馬、圖片木馬等多種分類。有沒想這，也許你打開的一個貌似文本的文件，實際上卻運行了一個網頁木馬呢？

黑客首先會製作一個後綴為「.html」的網頁木馬，這類木馬製作很簡單，例如利用IE的Iframe漏洞就可以方便的製作一個溢出HTML網頁，只要有人打開些網頁，就會造成IE溢出，系統打開端口供黑客遠程連接控制。製作的具體方法在這裡就不多說了，假設網頁文件文件名為「test.html」，黑客可能將它改成「test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}」。這樣該文件在資源管理器中即使採用了顯示後綴名的方式，也只顯示為後綴名為.txt的文本文件，一般人根本看不出任何的異樣。但是因為{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}實際上就是html的註冊表文件關聯，雙擊時卻會調用IE打開文件以HTML格式運行，造成IE溢出系統打開遠程控制端口。

四、系統崩潰，毀於「碎片」

很多朋友聽說過Windows中的碎片對像文件（.shs文件），但是對於這種文件所帶來的威脅，卻不是很重視。不過當你運行了一個貌似文本文件的文件碎片時，也許才知道不起眼的碎片，原來有如此大的破壞力！

黑客會創建一個碎片對像文件，點擊「開始→運行」，輸入「packager.exe」後回車，運行「對像包裝」程序。然後點擊菜單「文件→導入」，彈出一個文件對話框，任意選擇一個文件。

點擊菜單「編輯→命令行」，在彈出的命令行輸入對話框中輸入命令「cmd.exe /c del c:/*.*」（如圖），確定後此命令將顯示在程序右邊窗口中。

點擊菜單「編輯→複製資料包」命令，回到Windows桌面上，點擊鼠標右鍵，在彈出菜單中選擇「粘貼」，可以看到，桌面創建了一個名為「片段」的碎片對像文件。接下來，再將文件改名為「片段.txt」。

一旦有人雙擊運行了這個「文本」文件，桌面上閃過一個命令窗口之後，C盤根目錄下的所有文件都被刪除了，重啟後無法正常進入系統。黑客基至可以在命令行窗口中輸入破壞性更強的命令，例如格式化硬碟「cmd.exe /c format c:/」等。

五、精心構造的「文本陷阱」

如果說將木馬偽裝成文本的方法有些複雜，那麼「文本陷阱」這個文本利用工具就是一個現成的文件木馬，足以讓大家體會到在「文本」偽裝下的木馬攻擊威力！

下載這個文本利用工具並解壓，可以看到在文件夾中有兩個名為「admin」的「文本文件」，當顯示文件名後綴後，可以得知這兩個文件的真實文件名分別為「admin.txt」和「admin.exe」。其中「admin.exe」是真正的利用程序，由於採用了文本文件的圖標，所以在隱藏文件擴展名時，很容易被誤認為這是一個文本文件。

「admin.exe」文件其實是一個偽裝成文本的入侵程序。它的功能非常強大，可以實現在被攻擊主機上添加管理用戶；打開硬碟自動運行功能以運行特殊木馬；開啟Windows XP/2003的遠程終端等等。接下來我們在本機上運行這個木馬，以便讀者朋友可以更清楚的認識到它的危害。

當我們在電腦上運行這個程序後，進入命令提示符窗口，輸入「net user」命令，即可顯示電腦上的所有用戶帳號。可以看到，在用戶列表中有一個名為「IWAM-IUSR」的用戶名，這個用戶就是剛才運行文本陷阱後添加用戶。「IWAM-IUSR」的默認密碼為「gxgl.com#2004」。這個用戶名現系統中默認的用戶名非常相似，一些沒有經驗的管理員很難察覺出來。

此時右擊「我的電腦→屬性」，打開「系統屬性」窗口，在「遠程」標籤中可以看到「遠程桌面」中的「允許用戶遠程連接到此計算機」項已經被開啟。這就是剛才運行文本陷阱運行，自動為黑客入侵開啟的後門。由於剛才添加了一個管理員用戶，而管理員用戶默認是被許可進行遠程連接的，因此黑客可以用剛添加的用戶名和密碼，通過3389遠程終端連接運行了文本陷阱的主機，輕鬆的完成入侵。而當黑客在被入侵電腦上添加了一個管理員帳號後，其可以完成很多的入侵操作，例如遠程連接、開啟服務和端口等等。這方面的內容在此前的「黑客防線」中已經介紹過很多，在這裡就不再詳細說明了。

總結：應對自如，輕鬆化解「文本」危機

看過前面的內容，相信大家一定會發出「木馬和黑客攻擊無孔不入」的硬要感慨，看似安全的文本文件，原來也暗藏了這麼多的危險。如何才能防範各種木馬病毒借助文本文件進行攻擊呢？

對於在文件圖標和文件後綴上作手腳的文件，只要提高警慎性，看清楚文件的真實名稱再運行，一般是不會中招的。

對於文件碎片之類的文本文件，就需要對系統進行一下簡單的設置了。打開註冊表編輯器，找到「HKEY_CLASSES_ROOT/.shs」鍵，將的「ShellScrap」刪除。此後，雙擊「.shs」文件時就不會自動運行，而是彈出一個提示對話框，詢問是否進行操作。這樣就可以在很大程度上防範「.shs」文件的攻擊了。

(