• 首页
  
  ASP
• ASP.NET
  
  CSS
• JSP
  
  Javascript
• MsSQL
  
  MySQL
• php
  
  网页
• XML
  
  培训
• Linux
  
  系统
• 办公
  
  问答
• 安全
  
  服务器

• 路由器
• 交换机
• 处理器
• 存储
• 安全
• 解决方案
• 应用案例
• 数字化
• 采购
• 芯片
• 测试
• 中小企业
• 网络
• ERP
• 资讯
• 行业
• 技术
• 软件
• 应用
• OS
• PS
• 网页
• 其它

披着“羊皮”的狼 TXT下的病毒阴谋

一种在windows中被称作“碎片对象”(扩展名为“.shs”)的文件可能正披着雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通过电子邮件附件)，然后轻松破坏你的计算机系统。它之所以这样可怕，有三点主要原因: 　1.该文件在windows中的默认图标与记事本非常类似。

　　2.在windows的默认状态下，“碎片对象”文件的扩展名(“.shs”)是隐藏的，即使你在“资源管理器工具文件夹选项查看”中设置成显示所有文件名的扩展名，“.shs”也还是隐藏的，这是因为windows支持双重扩展名，如“iloveyou.txt.shs”显示出来的名称永远是“iloveyou.txt”。

　　3.这种shs附件病毒制造起来非常容易，半个小时就可以学会，也不需要编程知识(“format c:”大家都敲得出来吧)。

　　下面我们就一起来看看这个“隐身杀手”的真正面目吧!

　　一、技术背景

　　早在1992年的windows 3.1版本中，微软就引入了ole(object linking and embedding，对象链接与嵌入)技术。这项技术能在一个文件中链接或嵌入另一个文件，例如在写字板或word中可以链接或嵌入另一个文本文件、图像文件或声音文件等。当我们在word中嵌入一个excel文时，在word会出现一个excel文件图标及文件名称，双击这个图标就可以调用excel程序编辑该文件了，这项技术大大方便了文件的操作。

　　为了能将这种嵌入文件中的“对象”方便地(使用复制方式)从一个文件移入另一个文件(或者说被其它文件调用、与其它文件共享此“对象”)，windows使用了另一种技术shell scrap object(简称shs)，它能将嵌入文件中的“对象”包装成一个“碎片对象”文件，以备复制到其它文件中。

　　二、实例

　　我们就来看看怎样创建一个格式化软盘的“碎片对象”文件。

　　1.创建一个只包含一个空格(为了减小文件体积)的文本文件，任意取名。

　　2.打开记事本，将此文件拖放入记事本。也可以点击记事本菜单栏中的“插入对象”，弹出“插入对象”对话框，选中“从文件创建”，然后点击“浏览”按钮选择要插入的文件。

　　3.选中该插入对象的图标，选择菜单栏中的“编辑包对象编辑包”(如图1)。在弹出的“对象包装程序”对话框中，选择菜单栏中的“编辑命令行”，然后输入如下命令:format.com a: /autotest，点击“确定”，此时，内容栏中会显示出命令内容。

　　4.点击外观栏中的“插入图标”按钮，会弹出一个警告对话框，确认，然后任选一个图标。

　　5.选择菜单栏中的“编辑卷标”，为此嵌入对象取一个名称(会替换原来的文件名称)。点击“文件”菜单中的“更新”，然后关闭此对话框。

　　6.将刚刚建立的嵌入对象拖放到桌面上。文件的默认名是“碎片”，现在我们把它改成“iloveyou.txt”。打开电子邮件程序将桌面上的“iloveyou.txt”作为附件发出，或者将含有嵌入对象(带有恶意命令)的文档作为附件发出。

　　7.当邮件接收者误将“iloveyou.txt.shs”文件作为“iloveyou.txt”(如前文所述，“.shs”扩展名永远是隐藏的)放心地打开时，或打开文件，点击文件中的嵌入对象时触发恶意命令(弹出dos运行窗口，执行格式化命令)，假如此时有另一个程序正在访问软驱，则会显示如下信息“drive a: is currently in use by another process. aborting format.”(a驱正被另一个程序访问，格式化中止)。
　　真的很简单，就这样一个恶意的攻击程序被弄出来了，太可怕了!

　　三、防治措施

　　1.在注册表编辑器[hey_classes_rootshellscrap]键下，有一个键值“nevershowext”，它是导致“.shs”文件扩展名无法显示的“罪魁祸首”。删除这个键值，你就可以看到“.shs”扩展名了。

　　2.更换“碎片对象”文件的默认图标。由于碎片对象文件的默认图标与文本文件图标非常相似，容易麻痹人，所以我们要更换它的图标。打开资源管理器，选中查看菜单下的“文件夹选框”，在弹出的对话框中选择“文件类型”活页卡，在“已注册的文件类型”下找到“碎片对象”。单击右上角“编辑”按钮，在打开的“编辑文件类型”对话框中单击上边的“更改图标”按钮。打开c:windowssystempifmgr.dll，从出现的图标中选一个作为.shs文件的新图标(就选第一排最后一个吧，一颗炸弹!)。

　　四、类似的情况

　　另一种类似的情况是“指向文档的快捷方式”文件。病毒制造者可以建立指向文档中嵌入对象的快捷方式，点击这种快捷方式同样可以触发嵌入对象中的恶意命令!

　　“指向文档的快捷方式”文件的扩展名是“.shb”，它同“.shs”文件一样，扩展名是无条件隐藏的。控制隐藏“.shb”扩展名的键值是:hkey_classes_rootdocshortcut，删掉它!

　　五、更多防治手段

　　1.如果你在病毒扫描软件中设置成扫描指定程序文件，而不是所有文件，那么在指定程序文件中加入“.shs”和“.shb”文件。各种防病毒软件的设置大同小异(比较简单)，这里略过。

　　2.禁止“碎片对象”文件及“指向文档的快捷方式”文件。

• · 让系统安全起来 把间谍软件请出硬盘
• · 简单三步走堵死SQLServer注入漏洞
• · 从细微处做起 全面打造系统安全
• · Windows上网后速度越来越慢怎么办？
• · 如何让让IE6也能实现反“钓鱼”
• · 上网安全 谨防ActiveX插件成病毒帮凶
• · 解析Windows Vista 5270的UAP功能
• · 世界之窗对决GB:浏览器截图功能比拼
• · 小技巧御大敌：如何防止IE被恶意修改
• · 在Cisco交换机上实现隔离访问
• · 与一个黑客的较量
• · 办公室共用电脑系统安全防范攻略
• · 一种“您无权查看该网页”的原因和解决方法
• · SQL注入程序带来的攻击及防范
• · 学习心得 TCP/IP攻击原理分析总结
• · SQL注入技术和跨站脚本攻击的检测
• · 真正安全起来 网页脚本攻击防范全攻略
• · 视频：ADSL宽带共享上网 2
• · 突破网络限制之三十六计篇
• · ADSL上网的常见问题及分析集锦
• · 视频：ADSL宽带共享上网
• · Windows系统中常见网络故障与解决方法
• · 揭开ADSL真正速度之谜:宽带到底该有多快
• · 网络管理之IP地址篇
• · 网络管理之网关篇
• · 一步一步学习代理服务器
• · 网络安全基础：防火墙的概念及实现原理
• · FTP登录错误详解
• · 测试网络通断的另类方法
• · 基于短信网关WAP推送的实现
• · 我写CC DDOS攻击器的思路及防范方法
• · 雅虎拟加强交友网站安全 防止成员账号泄露
• · ADSL常见问题精彩问答
• · 上网不用防火墙！一招克死所有病毒
• · SANS发布2005全球20大网络安全隐患排行
• · IE7将会采用Firefox的RSS Feed图标
• · 利用Google作黑客攻击的原理和防范
• · 知己知彼 解析远程控制带来的安全危险
• · 上网要当心！HTML文件也能格式化硬盘
• · 精解网络中IP地址与域名含义
• · 网管必知 如何设置虚拟主机访问权限
• · 手把手教你用代理
• · PHP在XP下IIS和Apache2服务器上的安装
• · 另辟蹊径：Windows系统防病毒另类高招
• · 经验共享—给闪存杀毒的另类方法一则
• · 用HelixProducer实现局域网内现场直播
• · 推荐 IE浏览器另类功能大放送
• · 局域网“隐身”小妙招
• · 局域网防雷电攻击完全揭密
• · 网吧IP自动修改程序
• · 轻松破解加密网页
• · 法治在线：音乐网站遭黑客持续攻击3个月
• · 网管员必读 10分钟恢复网络服务有绝招
• · 了解你的敌人 网络钓鱼攻击的实现过程
• · 如何利用嗅探器TcpDump分析网络安全
• · 修改Hosts文件获取的三个特殊妙用
• · 用Linux防火墙伪装抵挡黑客恶意攻击
• · 一段获得网卡地址的代码,可以用来做软件许可证用.
• · 给路由器设置用户 进行管理和维护
• · 入侵检测系统（IDS）的测试与评估