今天一到辦公室,隔壁辦公室的張瑩MM就來找我。“你有什麼事嗎?”我問道。張瑩說:“我的電腦不知道怎麼回事,他們都說你會修電腦,能不能幫我看看啊。”本來我們還不是很熟,不過現在她有求於自己,當然我還是很樂意地答應了她。www.sq120.com推薦文章
我坐到張瑩的電腦前,立刻調出系統的任務管理器查看,發現CPU的使用率非常高,運行程序非常緩慢。打開一個Foobar2000播放器,都要一分多鐘的時間。我知道系統一定是遭到了惡意程序的攻擊,可能是病毒,也可能是木馬等程序。再對系統進程仔細觀察,明明沒有開IE卻發現有一個IE浏覽器的進程,我心想,90%以上的可能是系統中了木馬。
檢查了系統的端口和服務,看來這又是灰鴿子木馬在搗鬼,直接從灰鴿子官方網站下載一個灰鴿子服務端清除工具,將系統中的灰鴿子木馬掃地出門。
為了預防再出現這樣的情況,我要讓她搞清楚那個木馬程序從何而來。我問張瑩:“什麼時候開始出現這種情況的?” “今天我從網上下載了一個共享軟件,安裝後就這樣了。”張瑩回答道。
我懷疑可能是程序被捆綁了木馬程序,於是調出這個共享軟件的安裝程序進行查看,並沒有發現可疑之處,但程序自帶的說明文件卻引起了我的懷疑。由於張瑩的系統設置了隱藏常見類型的文件擴展名,但這個名為“ReadMe.txt”的“文本文件”的擴展名卻並沒有隱藏。tW.WIngWIT.cOm
點擊系統的“文件夾選項”,在彈出的窗口將“隱藏已知文件類型的擴展名”前面的鉤去掉,顯出這個文件的真實擴展名為EXE。我指著這個“文本文件”告訴張瑩:“這個文件並不是文本文件,而是一個木馬程序,你的系統運行緩慢,就是因為它。”
讓“文本文件”現原形
“那個明明是文本文件的圖標,怎麼會是木馬程序呢?”張瑩不解地問道。“其實更換圖標和更名改姓是入侵者配置木馬時最常用的方法。” “那你能不能演示給我看看啊!”張瑩問道。我正求之不得,正好在她面前露一手。
“要為木馬程序更換圖標,有兩種方法,一種是在設置木馬程序的時候直接進行更換,現在流行的木馬程序都有類似的功能;另一種就是木馬程序生成後再使用專門的工具進行更換。下面我就用最流行的灰鴿子木馬程序來為你進行演示。”我為了讓她了解得更清楚,先介紹了現在比較流行的兩種更改圖標的方法。
我運行灰鴿子2006,點擊工具欄中的“配置服務端程序”按鈕來配置木馬的服務端。“木馬程序的其他設置我就不講了,今天就主要為你講解如何更換圖標。”我說道。在彈出的“服務器圖標”窗口選擇“服務器圖標”標簽,選擇一個“文本文件”的圖標。
另外我再給張瑩演示通過EXE圖標工具修改EXE文件圖標。我告訴張瑩:“這款軟件支持真彩色,不過EXE文件必須是沒有進行過加殼加密處理的才行。”我在EXE圖標工具中的“EXE文件”框中選擇木馬服務端程序,然後點擊“選擇”按鈕選擇記事本程序,接著從中提取一個文本文件的圖標,點擊“修改EXE圖標”對服務端程序進行圖標修改。
為MM支招
看過前面的內容,相信大家一定感到“入侵者是無孔不入的”,看似安全的文本文件,原來也暗藏了這麼多的危險,那我們應該如何防范這種文本陷阱呢?
在“文件夾選項”對話框中選取“隱藏已知文件類型的擴展名”選項,具體操作為:打開“資源管理器”,在菜單欄選擇“工具→文件夾選擇”打開“文件夾選擇”對話框,去掉“隱藏已知文件類型的擴展名”復選框中的小鉤即可。對於在文件圖標和文件後綴上做手腳的文件,只要提高警惕性,看清楚文件的真實名稱再運行,一般是不會中招的。
這裡,我再教大家一個小技巧,只要換一種方式打開文本文件,就可以避免中招。比如我們懷疑一個文本文件不正常,那麼我們不要雙擊打開它,只要打開記事本程序,然後通過“文件”菜單中的“打開”命令來打開這個文件,如果顯示出的是亂碼,那麼這個“文本文件”就肯定是有問題的。
From:http://tw.wingwit.com/Article/Network/201309/932.html