電腦裏這些文件千萬不要點擊,否則下一個中毒的可能就是你

作者:徐瑞 發布時間:2020-03-16 14:03:10 瀏覽量:2189

日常工作中,電腦桌麵和開始菜單中的快捷方式對於大家來說並不陌生,多數情況隻起到了跳轉作用,點擊之後就可進入相對應的應用程序。大多數用戶慣性思維下,很容易讓人放鬆安全警惕。即使點擊後殺毒軟件提示發現病毒,但仍然會有不少用戶手動信任,更甚至選擇臨時關閉殺毒軟件。

近日,360安全大腦就檢測到一批特殊的快捷方式,並進行別有用心的偽裝後,大肆實施釣魚攻擊。該類釣魚病毒不僅具備與快捷方式極其相似的高隱蔽性;同時使用多腳本語言開發,而且由於其一般不需要考慮環境和版本差異,使得無數用戶頻繁中招。

如何才能不被這些披著快捷方式外衣的釣魚病毒欺騙呢?

招式一:表裏不一

表裏不一的偽裝可能是快捷方式病毒最常用的伎倆。將惡意程序和快捷方式放在同一目錄下,並使用docx後綴和文檔圖標進行偽裝,很容易讓用戶覺得這就是一個普通文檔。

3.16.1.png

經分析,這個偽裝成文檔的快捷方式實際執行的命令,是通過cmd執行目錄下一個修改了後綴的可執行文件svchost.rtf,而此文件正是遠控木馬。

3.16.2.png

同樣,變幻多端的快捷方式病毒,也可能偽裝成常用的文件夾圖標。如下圖,同一個zip壓縮包裏包含了一個修改為文件夾圖標的快捷方式,和一個通過後綴名改為jpg偽裝成圖片的隱藏可執行文件。如果稍不慎雙擊打開了偽裝的文件夾快捷方式,則會通過執行如下命令,最終運行名稱偽裝為JPG圖片的木馬程序。

 3.16.3.png

招式二:綿裏藏針

如果壓縮包裏隻有一個快捷方式也不要掉以輕心,因為惡意腳本或者資源可以全部內嵌到快捷方式中。如下圖,該病毒將名稱偽裝成圖片Credit Card Back.jpg,圖標卻偽裝成了docx文檔。

3.16.4.png

招式三:藏形匿影

基於腳本語言的特點,一些快捷方式病毒會利用各種方式,將核心代碼“隱藏起來”, 

3.16.5.png

該快捷方式指向一段CMD命令,使用環境變量進行解密後的命令如下圖所示:

3.16.6.png

招式四:聲東擊西

部分攻擊者也會通過Link Resolution機製來重定位目標,這種情況下,乍一看指向的目標文件不存在,實際上是在聲東擊西迷惑用戶。

3.16.7.png

在快捷方式的文件結構中有一個RELATIVE_PATH字段,如果存在這樣的值,打開快捷方式就會嚐試修複快捷方式的指向。如下快捷方式的RELATIVE_PATH值為.\DeviceConfigManager.vbs,執行時會被修複為當前目錄下的VBS腳本文件,而這,恰恰就為病毒的釋放提供了執行路徑。

在麵對該類聲東擊西的快捷方式病毒之時,大家切記要對其中暗藏的殺機加以防範,在點擊開啟前:

1)可以首先右鍵查看快捷方式“屬性”,並查看其“目標”指向的文件是否存在;

2)若不存在此文件,還需要判斷快捷方式同目錄下的文件與其指向的文件是否具有相同文件名,若存在此種情況,需要高度警惕,否則極易中招。

縱觀以上案例後不難發現,快捷方式病毒既可以通過內嵌腳本執行惡意功能,也可以通過調用指向的文件來進行攻擊,形式靈活,手段多變。最重要的是,不法分子主要利用了用戶的認知習慣,使得該類攻擊方式極具威脅。

而事實上,著名黑客凱文·米特尼克在其著作《欺騙的藝術》就曾提到,人為因素才是安全的軟肋,就此也提出了社會工程學的概念。不同於找到存在於程序或者服務器之內的漏洞以攻克目標的方式,社會工程學則是利用人性弱點這一安全漏洞,通過欺騙受害者的手段來實施對計算機係統的網絡攻擊。甚至在有些情況下,往往一些技術並不複雜的攻擊方式,反而因此而屢試不爽。

廣大用戶一定要時刻謹記提高網絡安全防範意識,以避免為不法分子提供可乘之機。


互聯網應用定製服務商

AG下载科技是一家專注於互聯網與移動互聯網領域的軟件研發團隊

聯係定製
聯係我們
深圳市龍華區布龍路1010號智慧穀創新園
0755-33581131(服務時間:9:00-18:00)
138 2657 1667
ruiec@gameslegacy.com
了解更多請關注我們
深圳AG下载科技有限公司 Copyright 2011 - 2018 / All rights reserved 深圳市市場監督管理局企業主體身份公示