防范各种病毒的软件和大部头的分析文章很多了,本文再从文件扩展名这个不为人所注意的小方面添砖加瓦,分析一下为什么看了这么多的文章,还是有不少人不幸“中招”。
无论病毒种类怎么变化,其发作是一定要有加载执行动作的,即使是含毒的文件已经进入你的电脑内潜伏或者是你浏览的网页要求加载运行java script、ActiveX控件,在你点击运行或选择“是”之前,病毒只是一个没打开的潘多拉盒子。我们也都知道了不要轻易打开电子邮件里的可执行文件类的附件,但是显然病毒的制造者们也看了那些警告防范的文章,在心理学和视觉上开始玩一些小把戏,让你以为那些附件只不过是没有危险的文本文件或是图像文件等。因为目前大多数人使用的是windows系列操作系统,windows 的默认设置,是不显示普通已注册关联文件的扩展名的,而当你一点击那个看上去很友善的文件,里面的......就跳出来了,这才是真正的暗黑破坏神。
比如臭名昭著的爱虫病毒,最初流行的邮件格式如下:
主题:I LOVE YOU (尽管知道这可能会是病毒,一看到你的心还是会砰砰的跳:)
正文:kindly check the attached LOVE LETTER coming from me.
附件:LOVE-LETTER-FOR-YOU.TXT.vbs (看见了?这就是把戏的关键)
以后出现的几种变种都只是更换主题来迷惑你。
要是你以为这是个文本文件选择了打开的话,它首先拷贝自己到硬盘上,然后设置注册表以在每次启动时都运行。在 Windows 系统目录下它将自己命名为 MSKernel32.vbs和LOVE-LETTER-FOR-YOU.TXT.vbs。在 Windows 目录下,它将创建一个名为 Win32DLL.vbs 的脚本。
接着,你正在运行mIRC的话,它会尝试通过IRC系统传播自身的拷贝;如果允许的话,它还会在网上下载一个 WIN-BUGSFIX.exe 的文件,听起来好象和修复 BUG有关,其实不然,这个独立的程序会扫描电脑内存中的网络密码并将他们发送至病毒的制造者。
当然,这家伙还是有马脚露出来的,你细心一点,就会发现它的图标不是文本文件的图标而是VB的,问题是很多初学者从来没经验过,老手也可能因为没留意而打开它,这里特别再提醒一次,注意你收到邮件中附件的文件格式,不仅要看显示的扩展名,还要注意其实际显示的图标,至少目前还没有以图片或文本形式加载能搞破坏的病毒。检查一下有无以下这两个文件(隐藏文件也不要放过)
LOVE-LETTER-FOR-YOU.HTM
LOVE-LETTER-FOR-YOU.TXT.vbs
