文本文件中木马
今天一到办公室,隔壁办公室的张莹MM就来找我。“你有什么事吗?”我问道。张莹说:“我的电脑不知道怎么回事,他们都说你会修电脑,能不能帮我看看啊。”本来我们还不是很熟,不过现在她有求于自己,当然我还是很乐意地答应了她。
我坐到张莹的电脑前,立刻调出系统的任务管理器查看,发现CPU的使用率非常高,运行程序非常缓慢。打开一个Foobar2000播放器,都要一分多钟的时间。我知道系统一定是遭到了恶意程序的攻击,可能是病毒,也可能是木马等程序。再对系统进程仔细观察,明明没有开IE却发现有一个IE浏览器的进程,我心想,90%以上的可能是系统中了木马。
检查了系统的端口和服务,看来这又是灰鸽子木马在捣鬼,直接从灰鸽子官方网站下载一个灰鸽子服务端清除工具,将系统中的灰鸽子木马扫地出门。
为了预防再出现这样的情况,我要让她搞清楚那个木马程序从何而来。我问张莹:“什么时候开始出现这种情况的?” “今天我从网上下载了一个共享软件,安装后就这样了。”张莹回答道。
我怀疑可能是程序被捆绑了木马程序,于是调出这个共享软件的安装程序进行查看,并没有发现可疑之处,但程序自带的说明文件却引起了我的怀疑。由于张莹的系统设置了隐藏常见类型的文件扩展名,但这个名为“ReadMe.txt”的“文本文件”的扩展名却并没有隐藏。
点击系统的“文件夹选项”,在弹出的窗口将“隐藏已知文件类型的扩展名”前面的钩去掉,显出这个文件的真实扩展名为EXE。我指着这个“文本文件”告诉张莹:“这个文件并不是文本文件,而是一个木马程序,你的系统运行缓慢,就是因为它。”
让“文本文件”现原形
“那个明明是文本文件的图标,怎么会是木马程序呢?”张莹不解地问道。“其实更换图标和更名改姓是入侵者配置木马时最常用的方法。” “那你能不能演示给我看看啊!”张莹问道。我正求之不得,正好在她面前露一手。
“要为木马程序更换图标,有两种方法,一种是在设置木马程序的时候直接进行更换,现在流行的木马程序都有类似的功能;另一种就是木马程序生成后再使用专门的工具进行更换。下面我就用最流行的灰鸽子木马程序来为你进行演示。”我为了让她了解得更清楚,先介绍了现在比较流行的两种更改图标的方法。
我运行灰鸽子2006,点击工具栏中的“配置服务端程序”按钮来配置木马的服务端。“木马程序的其他设置我就不讲了,今天就主要为你讲解如何更换图标。”我说道。在弹出的“服务器图标”窗口选择“服务器图标”标签,选择一个“文本文件”的图标。
另外我再给张莹演示通过EXE图标工具修改EXE文件图标。我告诉张莹:“这款软件支持真彩色,不过EXE文件必须是没有进行过加壳加密处理的才行。”我在EXE图标工具中的“EXE文件”框中选择木马服务端程序,然后点击“选择”按钮选择记事本程序,接着从中提取一个文本文件的图标,点击“修改EXE图标”对服务端程序进行图标修改。
为MM支招
看过前面的内容,相信大家一定感到“入侵者是无孔不入的”,看似安全的文本文件,原来也暗藏了这么多的危险,那我们应该如何防范这种文本陷阱呢?
在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项,具体操作为:打开“资源管理器”,在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框,去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可。对于在文件图标和文件后缀上做手脚的文件,只要提高警惕性,看清楚文件的真实名称再运行,一般是不会中招的。
这里,我再教大家一个小技巧,只要换一种方式打开文本文件,就可以避免中招。比如我们怀疑一个文本文件不正常,那么我们不要双击打开它,只要打开记事本程序,然后通过“文件”菜单中的“打开”命令来打开这个文件,如果显示出的是乱码,那么这个“文本文件”就肯定是有问题的。
|