披着“羊皮”的狼TXT下的病毒阴谋

最新推荐文章于 2024-07-25 12:00:37 发布
最新推荐文章于 2024-07-25 12:00:37 发布
阅读量747 收藏
点赞数
文章标签: 扩展 windows 文档 excel object 制造
一种在Windows中被称作“碎片对象”(扩展名为“.SHS”)的文件可能正披着雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通过电子邮件附件),然后轻松破坏你的计算机系统。它之所以这样可怕,有三点主要原因:

  1.该文件在Windows中的默认图标与记事本非常类似。

  2.在Windows的默认状态下,“碎片对象”文件的扩展名(“.SHS”)是隐藏的,即使你在“资源管理器/工具/文件夹选项/查看”中设置成显示所有文件名的扩展名,“.SHS”也还是隐藏的,这是因为Windows支持双重扩展名,如“iloveyou.txt.shs”显示出来的名称永远是“iloveyou.txt”。

  3.这种SHS附件病毒制造起来非常容易,半个小时就可以学会,也不需要编程知识(“Format c:”大家都敲得出来吧)。

  下面我们就一起来看看这个“隐身杀手”的真正面目吧!

  一、技术背景

  早在1992年的Windows 3.1版本中,微软就引入了OLE(Object Linking and Embedding,对象链接与嵌入)技术。这项技术能在一个文件中链接或嵌入另一个文件,例如在写字板或Word中可以链接或嵌入另一个文本文件、图像文件或声音文件等。当我们在Word中嵌入一个Excel文时,在Word会出现一个Excel文件图标及文件名称,双击这个图标就可以调用Excel程序编辑该文件了,这项技术大大方便了文件的操作。

  为了能将这种嵌入文件中的“对象”方便地(使用复制方式)从一个文件移入另一个文件(或者说被其它文件调用、与其它文件共享此“对象”),Windows使用了另一种技术Shell Scrap Object(简称SHS),它能将嵌入文件中的“对象”包装成一个“碎片对象”文件,以备复制到其它文件中。

  二、实例

  我们就来看看怎样创建一个格式化软盘的“碎片对象”文件。

  1.创建一个只包含一个空格(为了减小文件体积)的文本文件,任意取名。

  2.打开记事本,将此文件拖放入记事本。也可以点击记事本菜单栏中的“插入/对象”,弹出“插入对象”对话框,选中“从文件创建”,然后点击“浏览”按钮选择要插入的文件。

  3.选中该插入对象的图标,选择菜单栏中的“编辑/包对象/编辑包”(如图1)。在弹出的“对象包装程序”对话框中,选择菜单栏中的“编辑/命令行”,然后输入如下命令:Format.com a: /autotest,点击“确定”,此时,内容栏中会显示出命令内容。

  4.点击外观栏中的“插入图标”按钮,会弹出一个警告对话框,确认,然后任选一个图标。

  5.选择菜单栏中的“编辑/卷标”,为此嵌入对象取一个名称(会替换原来的文件名称)。点击“文件”菜单中的“更新”,然后关闭此对话框。

  6.将刚刚建立的嵌入对象拖放到桌面上。文件的默认名是“碎片”,现在我们把它改成“iloveyou.txt”。打开电子邮件程序将桌面上的“iloveyou.txt”作为附件发出,或者将含有嵌入对象(带有恶意命令)的文档作为附件发出。

  7.当邮件接收者误将“iloveyou.txt.shs”文件作为“iloveyou.txt”(如前文所述,“.SHS”扩展名永远是隐藏的)放心地打开时,或打开文件,点击文件中的嵌入对象时触发恶意命令(弹出DOS运行窗口,执行格式化命令),假如此时有另一个程序正在访问软驱,则会显示如下信息“Drive A: is currently in use by another process. Aborting Format.”(A驱正被另一个程序访问,格式化中止)。

  真的很简单,就这样一个恶意的攻击程序被弄出来了,太可怕了!

  三、防治措施

  1.在注册表编辑器[HEY_CLASSES_ROOT/ShellScrap]键下,有一个键值“NeverShowExt”,它是导致“.SHS”文件扩展名无法显示的“罪魁祸首”。删除这个键值,你就可以看到“.SHS”扩展名了。

  2.更换“碎片对象”文件的默认图标。由于碎片对象文件的默认图标与文本文件图标非常相似,容易麻痹人,所以我们要更换它的图标。打开资源管理器,选中查看菜单下的“文件夹选框”,在弹出的对话框中选择“文件类型”活页卡,在“已注册的文件类型”下找到“碎片对象”。单击右上角“编辑”按钮,在打开的“编辑文件类型”对话框中单击上边的“更改图标”按钮。打开C:/WINDOWS/SYSTEM/Pifmgr.dll,从出现的图标中选一个作为.SHS文件的新图标(就选第一排最后一个吧,一颗炸弹!)。

  四、类似的情况

  另一种类似的情况是“指向文档的快捷方式”文件。病毒制造者可以建立指向文档中嵌入对象的快捷方式,点击这种快捷方式同样可以触发嵌入对象中的恶意命令!

  “指向文档的快捷方式”文件的扩展名是“.SHB”,它同“.SHS”文件一样,扩展名是无条件隐藏的。控制隐藏“.SHB”扩展名的键值是:HKEY_CLASSES_ROOT/DocShortcut,删掉它!

  五、更多防治手段

  1.如果你在病毒扫描软件中设置成扫描指定程序文件,而不是所有文件,那么在指定程序文件中加入“.SHS”和“.SHB”文件。各种防病毒软件的设置大同小异(比较简单),这里略过。

  2.禁止“碎片对象”文件及“指向文档的快捷方式”文件。

 
RiceRoll
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TXT文件病毒
weixin_48195660的博客
01-19 977
"TXT",即大家最熟悉的纯文本格式,它是一种最基本的文本文件保存格式。有体积小、兼容性好、无病毒等优点。实话说树大招风,黑客们却利用人们对TXT这份信任搞起了TXT"炸弹"。TXT炸弹其实是披着".txt"外皮的"碎片对象"(扩展名为SHS)的文件,它通过邮件附件的形式,悄悄的进入你的系统。善良的人们以为光临的是TXT文件,没有任何的考虑便双击运行。这时这只披着羊皮的"老",却脱掉"羊皮",露出原形,干起破坏计算机系统的勾当。为了保护自身的安全,摸清的"对方"的底细。今天我们向大家展示如何制作一个格式化
教你赶走无法删除病毒的小技巧.txt
07-05
教你赶走无法删除病毒的小技巧.txt教你赶走无法删除病毒的小技巧.txt
Txt病毒
ssss39的博客
10-24 352
/ 这个“RLO”是一个转义字符,只要在一行字符前面加上它,就可以实现文本的反向排列。它是Unicode为了兼容某些文字的阅读习惯而设计的一个转义字符。鼠标放到 read 与 txt 中间 设置格式为 RLO。(2)将程序重命名 readtxt.exe。二、RLO与注册表 伪装成正常的文件。
病毒木马查杀实战第022篇:txt病毒研究
热门推荐
Gleam的专栏
04-20 1万+
前言       反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实才是最厉害的,也是病毒发展的主流;或者有朋友可能认为,采取了五花八门的隐藏技术的病毒才是最难对付的。诚然,大家的观点都很有道理,病毒编写者往往也会用复杂高深的技术来武装自己的恶意
披着羊皮作文.doc
01-24
1. 故事元素与寓言:这篇文档标题和内容构成了一则寓言故事,"披着羊皮"是中国传统寓言故事《外婆》的变体,旨在通过故事传达深刻的道理。寓言故事通常使用动物角色来象征人类行为,帮助读者理解复杂的社会...
wxh披着羊皮”的 TXT下的病毒阴谋-网络安全-病毒-天极Yesky.rar
03-21
标题中的“wxh披着羊皮”的 TXT下的病毒阴谋”揭示了这是一个关于病毒攻击的案例,其中病毒隐藏在TXT文本文件中,利用伪装来欺骗用户。这是一类常见的网络威胁,通常被称为“伪装病毒”或“伪装恶意软件”。在IT...
程序员羊皮卷电子书.txt
10-20
程序员羊皮卷 程序员必读 程序员宝典 程序员电子书羊皮卷电子书
《程序员羊皮卷》电子书txt
03-08
本书介绍一个IT行业学生和从业人员面临生活和工作各种问题的建议,涉及考研,就业,工作环境,人际关系处理。尤其对程序员如何应对“猎头”(为某IT企业挖人的公司)作了详细剖析,是程序员及相关人士的必备之书。
羊皮卷1到10 羊皮卷打印版.doc
03-02
羊皮卷中的第一个原则是关于心态的转变,它强调开始新生活的决心,从失败的阴影中走出来,重新审视人生。这涉及到自我认知与心理重建,鼓励我们勇敢面对挫折,不再让失败定义自我,而是将其视为通往成功的垫脚石。...
清除病毒.txt
05-19
@echo off @echo 本程式专杀copy.exe. host.exe. rose.exe和RavMonE.exe病毒,在杀毒之前请确认wf.reg文件与本程式在同一个目录下。 @ECHO. @echo 本程式能够查杀所有盘符内的病毒,包括软驱。 @ECHO. @Pause @ECHO. @ECHO. @ECHO. @echo ------------正在停止病毒进程...------------ @taskkill /im temp1.exe /f /t @taskkill /im temp2.exe /t /f @echo ------------停止病毒进程成功!------------ @ECHO. @echo ---------正在删除关键性病毒文件--------- @ del c:\windows\xcopy.exe /a /f @ del c:\windows\svchost.exe /a /f @ del c:\windows\systen32\temp1.exe /a /f @ del c:\windows\systen32\temp2.exe /a /f @ del d:\windows\xcopy.exe /a /f @ del d:\windows\svchost.exe /a /f @ del d:\windows\systen32\temp1.exe /a /f @ del d:\windows\systen32\temp2.exe /a /f @ del e:\windows\xcopy.exe /a /f @ del e:\windows\svchost.exe /a /f @ del e:\windows\systen32\temp1.exe /a /f @ del e:\windows\systen32\temp2.exe /a /f @ del f:\windows\xcopy.exe /a /f @ del f:\windows\svchost.exe /a /f @ del f:\windows\systen32\temp1.exe /a /f @ del f:\windows\systen32\temp2.exe /a /f @ del g:\windows\xcopy.exe /a /f @ del g:\windows\svchost.exe /a /f @ del g:\windows\systen32\temp1.exe /a /f @ del g:\windows\systen32\temp2.exe /a /f @echo -------关键性病毒文件删除成功!--------- @echo. @echo ---------正在删除病毒文件...------------- @ del a:\autorun.inf /a /f @ del a:\copy.exe /a /f @ del a:\host.exe /a /f @ del a:\rose.exe /a /f @ del b:\autorun.inf /a /f @ del b:\copy.exe /a /f @ del b:\host.exe /a /f @ del b:\rose.exe /a /f @ del c:\autorun.inf /a /f @ del c:\copy.exe /a /f @ del c:\host.exe /a /f @ del c:\rose.exe /a /f @ del d:\autorun.inf /a /f @ del d:\copy.exe /a /f @ del d:\host.exe /a /f @ del d:\rose.exe /a /f @ del e:\autorun.inf /a /f @ del e:\copy.exe /a /f @ del e:\host.exe /a /f @ del e:\rose.exe /a /f @ del f:\autorun.inf /a /f @ del f:\copy.exe /a /f @ del f:\host.exe /a /f @ del f:\rose.exe /a /f @ del g:\autorun.inf /a /f @ del g:\copy.exe /a /f @ del g:\host.exe /a /f @ del g:\rose.exe /a /f @ del h:\autorun.inf /a /f @ del h:\copy.exe /a /f @ del h:\host.exe /a /f @ del h:\rose.exe /a /f @ del i:\autorun.inf /a /f @ del i:\copy.exe /a /f @ del i:\host.exe /a /f @ del i:\rose.exe /a /f @ del j:\autorun.inf /a /f @ del j:\copy.exe /a /f @ del j:\host.exe /a /f @ del j:\rose.exe /a /f @ del k:\autorun.inf /a /f @ del k:\copy.exe /a /f @ del k:\host.exe /a /f @ del k:\rose.exe /a /f @ del l:\autorun.inf /a /f @ del l:\copy.exe /a /f @ del l:\host.exe /a /f @ del l:\rose.exe /a /f @ del m:\autorun.inf /a /f @ del m:\copy.exe /a /f @ del m:\host.exe /a /f @ del m:\rose.exe /a /f @ del n:\autorun.inf /a /f @ del n:\copy.exe /a /f @ del n:\host.exe /a /f @ del n:\rose.exe /a /f @ del \autorun.inf /a /f @ del \copy.exe /a /f @ del \host.exe /a /f @ del \rose.exe /a /f @ del p:\autorun.inf /a /f @ del p:\copy.exe /a /f @ del p:\host.exe /a /f @ del p:\rose.exe /a /f @ del q:\autorun.inf /a /f @ del q:\copy.exe /a /f @ del q:\host.exe /a /f @ del q:\rose.exe /a /f @ del r:\autorun.inf /a /f @ del r:\copy.exe /a /f @ del r:\host.exe /a /f @ del r:\rose.exe /a /f @ del s:\autorun.inf /a /f @ del s:\copy.exe /a /f @ del s:\host.exe /a /f @ del s:\rose.exe /a /f @ del t:\autorun.inf /a /f @ del t:\copy.exe /a /f @ del t:\host.exe /a /f @ del t:\rose.exe /a /f @ del u:\autorun.inf /a /f @ del u:\copy.exe /a /f @ del u:\host.exe /a /f @ del u:\rose.exe /a /f @ del v:\autorun.inf /a /f @ del v:\copy.exe /a /f @ del v:\host.exe /a /f @ del v:\rose.exe /a /f @ del w:\autorun.inf /a /f @ del w:\copy.exe /a /f @ del w:\host.exe /a /f @ del w:\rose.exe /a /f @ del x:\autorun.inf /a /f @ del x:\copy.exe /a /f @ del x:\host.exe /a /f @ del x:\rose.exe /a /f @ del y:\autorun.inf /a /f @ del y:\copy.exe /a /f @ del y:\host.exe /a /f @ del y:\rose.exe /a /f @ del z:\autorun.inf /a /f @ del z:\copy.exe /a /f @ del z:\host.exe /a /f @ del z:\rose.exe /a /f @echo -----------病毒文件删除成功!------------- @ECHO. @echo -------------正在修复注册表...------------ @regedit /s wf.reg @echo -------------注册表修复成功! ------------ @ECHO. SET /p c=重新启动计算机后才会生效, 是否重新启动? [y,n] if "%c%"=="y" shutdown /r /t 0 if "%c%"=="Y" shutdown /r /t 0
披着羊皮”的 TXT下的病毒阴谋
李寻欢的BLOG
01-21 801
一种在Windows中被称作“碎片对象”(扩展名为“.SHS”)的文件可能正披着雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通过电子邮件附件),然后轻松破坏你的计算机系统。它之所以这样可怕,有三点主要原因:   1.该文件在Windows中的默认图标与记事本非常类似。  2.在Windows的默认状态下,“碎片对象”文件的扩展名(“.SHS”)是隐藏的,即使你在“资源管理器/工具/
病毒Sodinokibi病毒出现,-readme.txt/Welcome. Again大家做好防御
weixin_33890526的博客
05-21 1685
近日网友提供,新病毒Sodinokibi病毒出现,这种病毒类似于GANDCRAB V5.2,文件被感染后,会出现随机后缀,并带有一封xxx-readme.txt的信件!根据国外安全研究团队的披露,***者传播Sodinokibi勒索软件的方式,往往是通过Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),而经过我们现场取证,发现此次***是通过爆破3389端...
c语言txt病毒,用C语言写病毒【转】
weixin_32375895的博客
05-22 391
C,是程序员最常用的编程语言之一。类似C等高级编程语言为开发人员提供了大量的内置函数,可以方便程序员编写各种跨平台的安心的应用编程。对于编写病毒而言,也方便了程序员来用自己擅长的语言来编写,但同时也带来了很多弊端。第一,许多高级语言的编程并不基于底层系统,即使是C也不太容易。这就导致这类的大都数病毒的传播机制十分原始(通常是通过重写来实现);另一方面的不足是,大多用高级语言编写的病毒至少有10K,...
认识“JPG、TXT”格式的病毒
weixin_34066347的博客
06-29 678
前两天有突然个坏人从QQ上发来了个rar压缩文件,当时我肯定这个是病毒,但是在我解压后发现,这个是一个asxarcs.txt的文本文件,随后我进入文件夹选项,发现隐藏已知文件类型的扩展名的勾已经去掉了,我又猜想这个可能是个广告吧,于是想打开看看,右击一下后发现,没有打开选项,只有测试、配置、安装这几个选项,此时我意识到不对,这绝对是个病毒、差一点点就打开了,好险。。 经过我的...
运行txt文本也可能中毒!微软急修“文本病毒”漏洞
weixin_33971205的博客
09-14 650
记事本文本(txt)一向被人们视为不可能带毒的安全文件,然而最新曝出的Windows漏洞(MS11-071)却使“文本病毒”成为现实。360安全中心提醒网民,针对Windows漏洞制作“文本病毒”的方法已在网上公开,将威胁到国内绝大多数电脑。微软于北京时间9月14日凌晨发布的9月补丁中,已修复了这一严重漏洞,建议广大网民尽快予以修复。 据360安全专家石晓虹博士介绍,“文...
javafx的ListView代入项目的使用
最新发布
2302_80364740的博客
07-25 457
(渲染器)展示控件的每个单元格,并且它可以允许你为每个单元格提供一个定制的渲染器,这里我定制的渲染器为ImageCellFctoryFriendList(方法名自定义),为自定义函数,格式需要一样,但是内容可以自定义。sitItems展示我添加的好友信息(项目中我只展示了好友的头像,昵称及在线状态)其中User为用户信息,MarkTool类是为了方便客户端,服务端传递信息的。这里先获取需要的用户信息,然后进行展示,两个50分别为展示头像的长和宽。设置右击菜单,这里右会出现两个按钮,具体代码在本文章的最后!
C++STL初阶(8):list的简易实现(上)
2301_79501467的博客
07-24 759
简易实现List的前半部分内容(不包括各类构造)
程序员羊皮卷:职场成长与求职攻略
"程序员羊皮下载版" 《程序员羊皮卷》是一本针对程序员职业发展的指导书籍,旨在帮助程序员从校园步入职场,找到合适的工作,适应职场环境,并正确处理工作中遇到的压力和挑战。书中的内容涵盖了程序员从大学生活...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值