信件內的附件若副檔名為lnk的時候,千萬不要開啟》
「.lnk檔」是Windows的捷徑檔,近幾年這類型的病毒大增,網路上取得的「.lnk檔」千萬不要隨便開啟,否則你就會中毒,這種毒不管用哪種防毒軟體或反間諜軟體都防範不了,因為這種毒很難用人工智慧判斷是不是有危險。「.lnk檔」除了可作為捷徑檔外,還能用來呼叫CMD指令。駭客可以把一段有害的CMD指令寫到「.lnk檔」的「目標」欄內,當執行這個「.lnk檔」時就會去執行「目標」欄內的CMD指令;駭客通常會把「.lnk檔」的圖案修改一下,並將「.lnk檔」檔名設成誘人的字眼,然後藉由E-Mail信件四處傳播,E-Mail也會用一些誘人的內容勾起被駭者的好奇心去下載「.lnk檔」來執行,因為圖示被偽裝過了,檔名也很吸引人,不懂的被害者就會不疑有他的執行它,最後就中了駭客的圈套。
「.lnk檔」會如此猖獗,到處傳播而防毒軟體卻都拿它沒轍,就是因為它裡面的內容讓人很難去判斷它是不是有危險,「.lnk檔」的性質就跟bat、reg、vbs等等的檔案很像,重點就在於「它不具任何執行能力」,不像「.EXE檔」擁有自我執行能力,lnk、bat、reg、vbs等等必須依賴各自的相符程式才能執行,bat傳達給CMD.exe執行,reg傳達給Registry Editor執行,vbs傳達給Microsoft (R) Windows Based Script Host執行。
如果你有一點點的DOS基礎,你在病毒「.lnk檔」上按滑鼠右鍵→「內容」→切到「捷徑」標籤,你看看「目標」欄,在裡頭寫的就是執行該捷徑後會啟動的指令,你可別以為「目標」只有一欄就只能執行一件事,下面舉個例子:
cmd /c start notepad & mspaint
這樣寫會「同時」打開記事本以及小畫家。
再來看看這種:
cmd /c echo explorer > 1.bat & echo pause >> 1.bat
這種寫法會在「%windir%\system32」產生一個1.bat批次檔。批次檔內容為:
explorer
pause
再玩點進階的:
cmd /c echo explorer > 2.bat & echo pause >> 2.bat && 2.bat
這重寫法會在「%windir%\system32」產生一個2.bat批次檔,接著會執行2.bat使其產生效果。
聰明的你,應該已經瞭解lnk病毒檔的運作原理了吧,就是運用cmd的「重新導向」功能,讓一連串的文字組合成一個檔,這檔案可以是htm、cmd、bat、reg、vbs…等,只要是ANSI編碼格式的檔都行,現在你終於知道「.lnk檔」有多毒了吧,這幾年可惡的駭客利用這個漏洞編寫一堆病毒lnk檔,然後利用E-Mail傳送一些內容很誘人的電子信件,再附上一個有害的lnk病毒檔,不懂的人下載執行後就中毒了,甚至我還看過有lnk病毒檔會藉由cmd的FTP指令上傳你的私人資料到駭客手裡,非常的危險,不知不覺中你的私密資料就外洩了,還有FOXY上面你偶而也會搜到這種lnk病毒檔,也同樣要小心別上當了。
沒有留言:
張貼留言