在眾多媒體的宣傳報道下,今天的我們都知道了不能輕易打開電子郵件裡的可執行文件類的附件,但是顯然那些破壞活動的制造者們也看了那些警告防范的文章,他們開始玩一些新的把戲,讓您以為那些附件只不過是沒有危險的文本文件或是圖像文件等就是其手段之一。由於目前大多數人使用的是windows系列操作系統,windows的默認設置是隱藏已知文件擴展名的,而當你去點擊那個看上去很友善的文件,那些破壞性的東西就跳出來了。您可能說這我早就知道了,那麼下面講述的.txt文件的新欺騙方法及原理您知道嗎?
假如您收到的郵件附件中有一個看起來是這樣的文件:QQ靓號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靓號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊表裡是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同於QQ靓號放送.txt.html。那麼直接打開這個文件為什麼有危險呢?請看如果這個文件的內容如下:
您可能以為它會調用記事本來運行,可是如果您雙擊它,結果它卻調用了HTML來運行,並且自動在後台開始格式化d盤,,同時顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個對話框來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?
欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由於真正文件擴展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,於是就會以html文件的形式運行,這是它能運行起來的先決條件。
文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者,在其中可以加載帶有破壞性質的命令。那麼第2行又是干什麼的呢?您可能已經注意到了第2行裡的“WSCript”,對!就是它導演了全幕,它是實際行動總指揮。
WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程序“WScript.exe”是一個腳本語言解釋器,位於c:\WINDOWS下,正是它使得腳本可以被執行,就象執行批處理一樣。在Windows Scripting Host腳本環境裡,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變量、創建快捷方式、加載程序、讀寫注冊表等功能。