泥客网 - 发布最实用的电脑技术,最新鲜的网文!
泥客注册 | 加入收藏 |
泥客广告牌
关键词:调侃 探索 电脑 网络 轻松 精彩 移动 高谈

文章中心

您的当前位置:泥客网 >> 科技 >> 网络时代 >> 浏览文章

隐藏于“文本文档”中的阴谋(3)

2006-08-20 12:09:33 文章来源:泥客论坛 字体:

五、精心构造的“文本陷阱”

如果说将木马伪装成文本的方法有些复杂,那么“文本陷阱”这个文本利用工具就是一个现成的文件木马,足以让大家体会到在“文本”伪装下的木马攻击威力!

下载这个文本利用工具并解压,可以看到在文件夹中有两个名为“admin”的“文本文件”,当显示文件名后缀后,可以得知这两个文件的真实文件名分别为“admin.txt”和“admin.exe”。其中“admin.exe”是真正的利用程序,由于采用了文本文件的图标,所以在隐藏文件扩展名时,很容易被误认为这是一个文本文件。

“admin.exe”文件其实是一个伪装成文本的入侵程序。它的功能非常强大,可以实现在被攻击主机上添加管理用户;打开磁盘自动运行功能以运行特殊木马;开启Windows XP/2003的远程终端等等。接下来我们在本机上运行这个木马,以便读者朋友可以更清楚的认识到它的危害。

当我们在电脑上运行这个程序后,进入命令提示符窗口,输入“net user”命令,即可显示电脑上的所有用户帐号(如图5)。可以看到,在用户列表中有一个名为“IWAM-IUSR”的用户名,这个用户就是刚才运行文本陷阱后添加用户。“IWAM-IUSR”的默认密码为“gxgl.com2004”。这个用户名现系统中默认的用户名非常相似,一些没有经验的管理员很难察觉出来。

图5 自动添加的管理员帐号

此时右击“我的电脑→属性”,打开“系统属性”窗口,在“远程”标签中可以看到“远程桌面”中的“允许用户远程连接到此计算机”项已经被开启。这就是刚才运行文本陷阱运行,自动为黑客入侵开启的后门。由于刚才添加了一个管理员用户,而管理员用户默认是被许可进行远程连接的,因此黑客可以用刚添加的用户名和密码,通过3389远程终端连接运行了文本陷阱的主机,轻松的完成入侵。而当黑客在被入侵电脑上添加了一个管理员帐号后,其可以完成很多的入侵操作,例如远程连接、开启服务和端口等等。这方面的内容在此前的“黑客防线”中已经介绍过很多,在这里就不再详细说明了。

六、应对自如,轻松化解“文本”危机

看过前面的内容,相信大家一定会发出“木马和黑客攻击无孔不入”的硬要感慨,看似安全的文本文件,原来也暗藏了这么多的危险。如何才能防范各种木马病毒借助文本文件进行攻击呢?

对于在文件图标和文件后缀上作手脚的文件,只要提高警慎性,看清楚文件的真实名称再运行,一般是不会中招的。

对于文件碎片之类的文本文件,就需要对系统进行一下简单的设置了。打开注册表编辑器,找到“HKEY_CLASSES_ROOT\.shs”键,将的“ShellScrap”删除。此后,双击“.shs”文件时就不会自动运行,而是弹出一个提示对话框,询问是否进行操作。这样就可以在很大程度上防范“.shs”文件的攻击了。

掌上泥客
进入论坛论坛热帖
非凡