請不要接收來歷不明的即時通主程式,近日發現很多駭客利用木馬參入即時通安裝檔或者免安裝後供給對方下載,帳號被盜危險性極高 [群組發,請傳給大家]
lnk 檔是WINDOWS的捷徑檔,這幾年這類型的病毒大增,
這種毒不管用哪種防毒軟體或反間諜軟體都防範不了,因為這種毒很難用人工智慧判斷是不是有害,
很久以前我還沒有概念,我終究想不透 lnk 檔哪裡能拿來當病毒,
不過就是捷徑而已嘛~若捷徑指定的程式不存在,那有什麼用?真是無聊~
直到最近我在知識+回答這個問題時才赫然想到:『 lnk 檔還能用來呼叫CMD指令啊!』
駭客他可以把一段有害的CMD指令寫到 lnk 檔的『目標』欄內,
當執行這個 lnk 檔時就會去執行『目標』欄內的CMD指令,
駭客通常會把 lnk 檔的圖案改一下,並將 lnk 檔名設成誘人的字眼,
然後藉由E-Mail信件到處夾檔傳撥,
E-Mail會用一些誘人的內容勾起被駭者的好奇心去下載lnk檔(附件)來執行,
因為圖示被偽裝過了,檔名也很吸引人,
不懂行的被害者就會不疑有他的執行它,最後就中了駭客的圈套了。
lnk檔會如此猖獗,到處傳撥而防毒軟體卻都拿他沒轍,就是因為他裡面的內容很難去判斷是不是有害,
lnk 檔的性質就跟 bat、reg、vbs 等等的檔案很像,重點就在於『他不具任何執行能力』,
不像EXE檔擁有自我執行能力,lnk、bat、reg、vbs等等必須依賴各自的相符程式才能執行,
bat 傳達給CMD.exe執行,reg 傳達給Registry Editor執行,vbs 傳達給Microsoft (R) Windows Based Script Host執行。
如果你有一點點的dos基礎,你在病毒 lnk檔上按滑鼠右鍵→『內容』→切到『捷徑』標籤,
你看看『目標』欄,在裡頭寫的就是執行該捷徑後會啟動的指令,
你可別以為『目標』只有一欄就只能執行一件事,下面舉個例子:
cmd /c start notepad & mspaint
這樣寫會同時打開記事本以及小畫家,(注意~是同時)
&用中文講是『以及』的意思,用英文講就是『and』。
再來看看這種:
cmd /c echo explorer >1.bat & echo pause >>1.bat
這種寫法會在『%windir%\system32』(因為cmd.exe在那,所以現行目錄就變成那裡了)產生一個『1.bat』批次檔,
批次檔內容為:
explorer
pause
再玩點進階的:
cmd /c echo explorer >2.bat & echo pause >>2.bat && 2.bat
這樣的寫法會在『%windir%\system32』產生一個2.bat,
接著就會自動去執行2.bat,讓2.bat產生效果。(而且還有迴圈效果)
聰明的你,應該已經瞭解 lnk 病毒檔的運作原理了吧,
就是運用 cmd 的『重新導向』功能,讓一連串的文字組合成一個檔,
這檔案可以是htm、cmd、bat、reg、vbs…不等,只要是ANSI編碼格式的檔都行,(ANSI檔可以稱作『純文字檔』)
現在你終於知道 lnk 檔有多『毒』了吧,
這幾年可惡的駭客利用這個漏洞編寫一堆病毒 lnk 檔,
然後利用E-Mail傳送一些內容很誘人的電子信件,
再附上一個有害的 lnk 病毒檔,不懂的人下載執行後就中毒了,
甚至我還看過有 lnk 病毒檔會藉由 cmd 的 FTP 指令上傳你的私人資料到駭客手裡,
非常的危險,不知不覺中你的私密資料就外洩了,
還有FOXY上面你偶而也會搜到這種 lnk 病毒檔,
也同樣要小心別上當了
如果文章中有任何錯誤的地方,麻煩大家幫我糾正,感謝。
還有阿,這種lnk病毒檔用yahoo信箱內建的趨勢防毒根本掃不出來,別說趨勢,連獲獎連連的卡巴斯基也沒輒。
再給大家一個觀念,有時你會發現寄件者就是你即時通上的熟人,但這不代表寄件人就是他,他有可能是被拿來當『跳板』了,駭客會先入侵被駭者電腦,然後盜走他的即時帳密後,隨便挑一個被駭者即時通上的一人,再利用那個人的信箱帳號到處傳撥病毒信件,若你的即時在被駭者的通訊錄裡,而駭客又挑中你,用你的信箱帳號到處傳送病毒郵件,收件者收到信後,信件的寄件人顯示的就是你的信箱帳號,這時你就當了被嫁禍的人了。
當對方以即時通傳輸檔案給你時,請務必確認副檔名,再進行存檔。
當然我也遇過駭客宣稱是繳交作業讓你看的或是洩漏考題,那都有詐騙嫌疑。
引用 http://tw.group.knowledge.yahoo.com/she123-she123s/ar
0 意見:
張貼留言