今天一到办公室, 隔壁办公室的MM就来找我。 “你有什么事吗?”我问道。 MM说:“我的电脑不知道怎么回事, 他们都说你会修电脑, 能不能帮我看看啊。 ”本来我们还不是很熟, 不过现在她有求于自己, 当然我还是很乐意地答应了她。
我坐到MM的电脑前, 立刻调出系统的任务管理器查看, 发现CPU的使用率非常高, 运行程序非常缓慢。 打开一个Foobar2000播放器, 都要一分多钟的时间。 我知道系统一定是遭到了恶意程序的攻击, 可能是病毒, 也可能是木马等程序。 再对系统进程仔细观察, 明明没有开IE却发现有一个IE浏览器的进程, 我心想, 90%以上的可能是系统中了木马。
检查了系统的端口和服务, 看来这又是灰鸽子木马在捣鬼, 直接从灰鸽子官方网站(http://www.huigezi.net)下载一个灰鸽子服务端清除工具, 将系统中的灰鸽子木马扫地出门。
为了预防再出现这样的情况, 我要让她搞清楚那个木马程序从何而来。 我问她:“什么时候开始出现这种情况的?” “今天我从网上下载了一个共享软件, 安装后就这样了。 ”张莹回答道。
我怀疑可能是程序被捆绑了木马程序, 于是调出这个共享软件的安装程序进行查看, 并没有发现可疑之处, 但程序自带的说明文件却引起了我的怀疑。 由于她的系统设置了隐藏常见类型的文件扩展名, 但这个名为“ReadMe.txt”的“文本文件”的扩展名却并没有隐藏。
点击系统的“文件夹选项”, 在弹出的窗口将“隐藏已知文件类型的扩展名”前面的钩去掉, 显出这个文件的真实扩展名为EXE。 我指着这个“文本文件”告诉张莹:“这个文件并不是文本文件, 而是一个木马程序, 你的系统运行缓慢, 就是因为它。 ”
让“文本文件”现原形
“那个明明是文本文件的图标, 怎么会是木马程序呢?”她不解地问道。 “其实更换图标和更名改姓是入侵者配置木马时最常用的方法。 ” “那你能不能演示给我看看啊!”她问道。 我正求之不得, 正好在她面前露一手。
“要为木马程序更换图标, 有两种方法, 一种是在设置木马程序的时候直接进行更换, 现在流行的木马程序都有类似的功能;另一种就是木马程序生成后再使用专门的工具进行更换。 下面我就用最流行的灰鸽子木马程序来为你进行演示。 ”我为了让她了解得更清楚, 先介绍了现在比较流行的两种更改图标的方法。
我运行灰鸽子2006, 点击工具栏中的“配置服务端程序”按钮来配置木马的服务端。 “木马程序的其他设置我就不讲了, 今天就主要为你讲解如何更换图标。 ”我说道。 在弹出的“服务器图标”窗口选择“服务器图标”标签, 选择一个“文本文件”的图标。
另外我再给她演示通过EXE图标工具修改EXE文件图标。 我告诉她:“这款软件支持真彩色, 不过EXE文件必须是没有进行过加壳加密处理的才行。 ”我在EXE图标工具中的“EXE文件”框中选择木马服务端程序, 然后点击“选择”按钮选择记事本程序, 接着从中提取一个文本文件的图标, 点击“修改EXE图标”对服务端程序进行图标修改。
为MM支招
看过前面的内容, 相信大家一定感到“入侵者是无孔不入的”, 看似安全的文本文件, 原来也暗藏了这么多的危险, 那我们应该如何防范这种文本陷阱呢?
在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项, 具体操作为:打开“资源管理器”, 在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框, 去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可。 对于在文件图标和文件后缀上做手脚的文件, 只要提高警惕性, 看清楚文件的真实名称再运行, 一般是不会中招的。
这里, 我再教大家一个小技巧, 只要换一种方式打开文本文件, 就可以避免中招。 比如我们怀疑一个文本文件不正常, 那么我们不要双击打开它, 只要打开记事本程序, 然后通过“文件”菜单中的“打开”命令来打开这个文件, 如果显示出的是乱码, 那么这个“文本文件”就肯定是有问题的。
