txt炸彈

txt炸彈是一種在Windows中被稱作“碎片對象”(擴展名為“.SHS”)的檔案,披著雪白的“羊皮”(文本檔案“.txt”)悄悄地走近你(通過電子郵件附屬檔案),然後輕鬆破壞你的計算機系統,十分可怕。

可怕原因

1.該檔案在Windows中的默認圖示與記事本非常類似。

2.在Windows的默認狀態下,“碎片對象”檔案的擴展名(“.SHS”)是隱藏的,即使你在“資源管理器\工具\資料夾選項\查看”中設定成顯示所有檔案名稱的擴展名,“.SHS”也還是隱藏的,這是因為Windows支持雙重擴展名,如“iloveyou.txt.shs”顯示出來的名稱永遠是“iloveyou.txt”。

3.這種SHS附屬檔案病毒製造起來非常容易,半個小時就可以學會,也不需要編程知識(“Format c:”大家都敲得出來吧)。

技術背景

早在1992年的Windows 3.1版本中,微軟就引入了OLE(Object Linking and Embedding,對象連結與嵌入)技術。這項技術能在一個檔案中連結或嵌入另一個檔案,例如在寫字板或Word中可以連結或嵌入另一個文本檔案、圖像檔案或聲音檔案等。當我們在Word中嵌入一個Excel文時,在Word會出現一個Excel檔案圖示及檔案名稱稱,雙擊這個圖示就可以調用Excel程式編輯該檔案了,這項技術大大方便了檔案的操作。

為了能將這種嵌入檔案中的“對象”方便地(使用複製方式)從一個檔案移入另一個檔案(或者說被其它檔案調用、與其它檔案共享此“對象”),Windows使用了另一種技術Shell Scrap Object(簡稱SHS),它能將嵌入檔案中的“對象”包裝成一個“碎片對象”檔案,以備複製到其它檔案中。

實例

我們就來看看怎樣創建一個格式化軟碟的“碎片對象”檔案。

1.創建一個只包含一個空格(為了減小檔案體積)的文本檔案,任意取名。

2.打開寫字板,將此檔案拖放入記事本。也可以點擊寫字板選單欄中的“插入\對象”,彈出“插入對象”對話框,選中“從檔案創建”,然後點擊“瀏覽”按鈕選擇要插入的檔案。

3.選中該插入對象的圖示,選擇選單欄中的“編輯\包對象\編輯包”(如圖1)。在彈出的“對象包裝程式”對話框中,選擇選單欄中的“編輯\命令行”,然後輸入如下命令:FORMat a: /autotest,點擊“確定”,此時,內容欄中會顯示出命令內容。

4.點擊外觀欄中的“插入圖示”按鈕,會彈出一個警告對話框,確認,然後任選一個圖示。

5.選擇選單欄中的“編輯\卷標”,為此嵌入對象取一個名稱(會替換原來的檔案名稱稱)。點擊“檔案”選單中的“更新”,然後關閉此對話框。

6.將剛剛建立的嵌入對象拖放到桌面上。檔案的默認名是“碎片”,我們把它改成“iloveyou.txt”。打開電子郵件程式將桌面上的“iloveyou.txt”作為附屬檔案發出,或者將含有嵌入對象(帶有惡意命令)的文檔作為附屬檔案發出。

7.當郵件接收者誤將“iloveyou.txt.shs”檔案作為“iloveyou.txt”(如前文所述,“.SHS”擴展名永遠是隱藏的)放心地打開時,或打開檔案,點擊檔案中的嵌入對象時觸發惡意命令(彈出DOS運行視窗,執行格式化命令),假如此時有另一個程式正在訪問軟碟機,則會顯示如下信息“Drive A: is currently in use by another process. Aborting FORMat.”(A驅正被另一個程式訪問,格式化中止)。

真的很簡單,就這樣一個惡意的攻擊程式被弄出來了,太可怕了!

防治措施

1.★在註冊表編輯器[HKEY_CLASSES_ROOT\ShellScrap]鍵下,有一個鍵值“NeverShowExt”,它是導致“.SHS”檔案擴展名無法顯示的“罪魁禍首”。刪除這個鍵值,你就可以看到“.SHS”擴展名了。

2.更換“碎片對象”檔案的默認圖示。由於碎片對象檔案的默認圖示與文本檔案圖示非常相似,容易麻痹人,所以我們要更換它的圖示。打開資源管理器,選中查看選單下的“資料夾選框”,在彈出的對話框中選擇“檔案類型”活頁卡,在“已註冊的檔案類型”下找到“碎片對象”。單擊右上角“編輯”按鈕,在打開的“編輯檔案類型”對話框中單擊上邊的“更改圖示”按鈕。打開C:\WINDOWS\SYSTEM\Pifmgr.dll,從出現的圖示中選一個作為.SHS檔案的新圖示(就選第一排最後一個吧,一顆炸彈!)。

相關詞條

相關搜尋

熱門詞條

聯絡我們