其实也是无独有偶,最近看到一则新闻,说最近流行起来RLO控制符文件名欺骗法,使得TXT/JPG格式文件成病毒,上万用户遭欺骗。本文不想教大家方法,毕竟用这种方法干不出什么好事,只想阐述下我对它的浅显理解和预防措施。
首先先介绍一个我以前做的一个恶意关机小程序:Trick,它的基本原理很简单,就是强制关机嘛,但营造氛围和保护友人的电脑也是很重要的,所以我设定的是给你一分钟的时间,显示一个对话框,上面有倒计时,通常的朋友怎么会坐以待毙,都会想法设法关掉程序,结束这个Trick。
所以我做了几项措施,来使得用户无法关闭,程序是基于MFC,其实这么点个小玩意,实在没必要劳烦MFC这个大家伙,但偷懒用个项目向导,所以。。。
1. 首先在系统任务栏不显示程序,这个很好搞定了,修改下rc文件的对话框的style。
2. 使对话框不显示关闭按钮,同样修改rc,EXSTYLE WS_EX_TOOLWINDOW,搞定。
3. 通常对话框在标题栏点击右键又会出现系统菜单,其中有关闭选项。简单,再dialog的OnInitDialog()里面有相应函数,这个实在OnInitDialog()运行时添加进去的,所以删掉相应代码就可以了。
4. 屏蔽Alt + F4快捷键,这个也很好做,自己注册一下快捷键,不做处理就可以了。
好,亮点来了,用户肯定会打开任务管理器,想关闭程序,怎么办?打开程序的时候建立再建立个守护进程?屏蔽系统热键Ctrl + Alt + Del?其实有个更简单的方法,程序打开建立一个Timer,一秒钟检查一次,如果发现有任务管理器程序,send一个WM_CLOSE。
所以我做的程序就变成这个样子,用户打开,发现上面提示1分钟后关机,上面有倒计时,用户想法设法关闭程序,但没有办法,时间一秒一秒流逝。。。是不是很有感觉?给他1分钟,让他保存一下自己当前的工作,免得惹大麻烦啊。
OK,程序搞定了,那么怎么欺骗用户打开呢?换个系统图标,这是第一步,一般隐藏后缀名的电脑你已经可以搞定了。如图,左边的那个是恶意程序。但是如果有点爱好不隐藏后缀名的,怎么办?如下图,还是左边的是恶意程序。
这就是RLO文件名欺骗,文件名被人为的插入了RLO控制符,即通过一些技术手段,使得文件名中的字符显示是从右到左,而中国用户的电脑显示字符是从左到右的。
如何避免呢?首先对于已经打开程序的,其实也有办法,打开命令行,如果你熟稔CMD命令的话,应该知道一些解决方法,tasklist是列出所以进程的命令,然后tskill干掉相应的进程就可以了,实在不行就注销一下,总比重启要强。
关于怎样预防这类文件名伪装的木马呢,其实也很简单,首先好像你的系统要在business版本或之上,反正要支持gpedit.msc,可以自定义安全规则的这种系统,在开始菜单输入搜索gpedit.msc,打开“电脑设定”→“Windows设定”→“安全性设定”→“软体限制原则”→右键→“新增新的软体限制原则”→右键→“新增路径规则”,再输入
两个“*”,然后再两个“*”中间→右键→“插入Unicode控制码”→“RLO”,
点击确定,保存OK了,注销一下计算机,重新登录,再打开刚才的恶意程序,报错,大功告成。
总结:其实这告诫我们眼见不一定为实,我们以为后缀为txt,jpg就一定是安全的,其实还有方法让文件名欺骗我们自己的眼睛,遇到这样的文件,只要设定好系统的相关规则,避免打开这类恶意文件名的文件,应该就可以避免一般的木马,和病毒,这一类的程序危害很大啊,最后在这里,再次向那些被我开玩笑的朋友致歉~
原创文章,转载请注明: 转载自yongxiu