论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1800阅读
  • 1回复

[已解决]TXT文档陷阱的阴谋 [复制链接]

上一主题 下一主题
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-07-02 11:10:14
除MS OFFICE文档外,TXT文本文档也是办公中常见的一种文本格式。很多朋友对这种文本更没有防范意识,其实貌似TXT文本的带病毒文件也很常见。
一、文本文档木马
目前比较流行的TXT文本文件木马是“文本陷阱”这个病毒的攻击非常简单,但是危害性却极大。“文本陷阱”是一个后缀为.exe的木马病毒程序,只不过其使用的是本文文件的图标,所以在因此文件扩展名时,很容易被误认为这是一个文本文档。
该木马的危害性非常大,可以实现在被攻击主机上添加管理员用户、打开磁盘自动运行功能以运行特殊木马,开启windows xp/2003的远程终端等。并且该程序完全不会被杀毒软件查出,而且只要对方的主机上运行了此程序,就会本文文件关联,每次打开文本文件时都会自动在次运行该程序,从而使被入侵主机牢牢地控制在攻击者的手中。
1、“文本陷阱”的攻击性

当电脑用户无意间在电脑上打开这个文本陷阱时,就会在用户列表中加入一个隐藏的管理员用户、打开远程控制等,在中了“文本陷阱”木马病毒的电脑上,进入命令提示符窗口,输入“net user”命令,即可显示电脑上的所有用户帐号。其中会有一个“IWAM-IUSR”的用户名,这个用户就是刚才运行文本陷阱后添加的用户,默认密码为“gxgi.com#2004”。这个用户名与系统中默认的用户名非常相似,相必一些没有经验的用户们是很难察觉出来的。
2、打开“我的电脑”的“属性”远程选项中可以看到“”远程桌面中的“允许用户远程连接此计算机”项已经被选择开启了。
20080421_118575933d15c8fd8189Twy3RFuvBGlD.jpg (36.64 KB)
2008-6-30 20:14



3、打开各个盘的根目录可以看到一个名为“autorun.inf”的木马文件,这个文件也是程序运行时自动添加的,他可以启用硬盘分区的自动运行功能,当该分区被打开时就会自动运行指定的后门程序,用记事本打开此文件,可以看到被自动运行的程序名为“c:\windows\system32\dllcache\sconf.exe”.

20080421_0af422a5416b3c47da81Sy8MfWmEJFuS.jpg (21.47 KB)
2008-6-30 20:14




二、防范
其实这个文本陷阱虽然有很大的诱惑性,但是只要我们在资源管理器的“文件夹选项”中将“隐藏已知文件类型的扩展名”项的选择取消掉,就可以然他原形毕露了。该怎么查杀呢?
1、删除掉程序添加的帐号
在命令提示符下输入 :net user IWAM-IUSR /delete
2、删除相关文件
删除各分区根目录下的autorun.inf文件和c:\windows\system32\dllcache\下的sconf.exe文件
3、关闭被开启的远程控制终端连接
经验分享:
有时当我们做完一切清楚工作后,会发现刚才删除的东西又重新出现了。这是由于当文本陷阱程序运行时,会将自身复制后重命名保存在system32目录中,文件名为“svhost.exe”该文件被设为隐藏和系统属性,创建时间改为和CMD.exe的一样,因此很不容易发现。并且该文件自动跟文本文件关联,打开文本文件就会自动运行“svhost.exe”一次,所以我们最后还需要将“svhost.exe”文件删除,才能彻底将系统中的后门删除掉。另外在删除掉这个文件后,还需重新将文本文件类型与记事本进行关联。可以直接使用第三方工具“sreng2”来进行修复
A6BTU18.jpg (78.78 KB)
2008-6-30 20:14



总结:
对于这种病毒只要平时谨慎些经常主要其后缀即可,其实电脑的安全往往在于自己的疏忽。
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2008-07-02 11:10:42
说到底,安全意识最重要~~~