在眾多媒體的宣傳報(bào)道下，今天的我們都知道了不能輕易打開電子郵件里的可執(zhí)行文件類的附件，但是顯然那些破壞活動(dòng)的制造者們也看了那些警告防范的文章，他們開始玩一些新的把戲，讓您以為那些附件只不過是沒有危險(xiǎn)的文本文件或是圖像文件等就是其手段之一。由于目前大多數(shù)人使用的是windows系列操作系統(tǒng)，windows的默認(rèn)設(shè)置是隱藏已知文件擴(kuò)展名的，而當(dāng)你去點(diǎn)擊那個(gè)看上去很友善的文件，那些破壞性的東西就跳出來了。您可能說這我早就知道了，那么下面講述的.txt文件的新欺騙方法及原理您知道嗎？

假如您收到的郵件附件中有一個(gè)看起來是這樣的文件：QQ靚號(hào)放送.txt，您是不是認(rèn)為它肯定是純文本文件？我要告訴您，不一定！它的實(shí)際文件名可以是QQ靚號(hào)放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并不會(huì)顯現(xiàn)出來，您看到的就是個(gè).txt文件，這個(gè)文件實(shí)際上等同于QQ靚號(hào)放送.txt.html。那么直接打開這個(gè)文件為什么有危險(xiǎn)呢？請(qǐng)看如果這個(gè)文件的內(nèi)容如下：

您可能以為它會(huì)調(diào)用記事本來運(yùn)行，可是如果您雙擊它，結(jié)果它卻調(diào)用了HTML來運(yùn)行，并且自動(dòng)在后臺(tái)開始格式化d盤，同時(shí)顯示“Windows is configuring the system。Plase do not interrupt this process。”這樣一個(gè)對(duì)話框來欺騙您。您看隨意打開附件中的.txt的危險(xiǎn)夠大了吧？

欺騙實(shí)現(xiàn)原理：當(dāng)您雙擊這個(gè)偽裝起來的.txt時(shí)候，由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會(huì)以html文件的形式運(yùn)行，這是它能運(yùn)行起來的先決條件。

文件內(nèi)容中的第2和第3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動(dòng)的執(zhí)行者，在其中可以加載帶有破壞性質(zhì)的命令。那么第2行又是干什么的呢？您可能已經(jīng)注意到了第2行里的“WSCript”，對(duì)！就是它導(dǎo)演了全幕，它是實(shí)際行動(dòng)總指揮。

WScript全稱Windows Scripting Host，它是Win98新加進(jìn)的功能, 是一種批次語言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語言解釋器，位于c:\WINDOWS下，正是它使得腳本可以被執(zhí)行，就象執(zhí)行批處理一樣。在Windows Scripting Host腳本環(huán)境里，預(yù)定義了一些對(duì)象，通過它自帶的幾個(gè)內(nèi)置對(duì)象，可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊(cè)表等功能。

下面我們通過一個(gè)小例子來說明Windows Scripting Host功能是如何的強(qiáng)大，使用又是怎樣的簡單，被有心人利用后的威脅有多大。例如有內(nèi)容如下的*.vbs文件：

Set so=CreateObject("Scripting.FileSystemObject") 
so.GetFile(c:\windows\winipcfg.exe).Copy("e:\winipcfg.exe")

就是這么兩行就可以拷貝文件到指定地點(diǎn)。第一行是創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象，第二行前面是打開這個(gè)腳本文件，c:\windows\winipcfg.exe指明是這個(gè)程序本身，是一個(gè)完整的路徑文件名。GetFile函數(shù)獲得這個(gè)文件，Copy函數(shù)將這個(gè)文件復(fù)制到e盤根目錄下。這也是大多數(shù)利用VBscript編寫的病毒的一個(gè)特點(diǎn)。從這里可以看出，禁止了FileSystemObject這個(gè)對(duì)象就可以很有效的控制這種病毒的傳播。用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統(tǒng)對(duì)象。

欺騙識(shí)別及防范方法：這種帶有欺騙性質(zhì)的.txt文件顯示出來的并不是文本文件的圖標(biāo)，它顯示的是未定義文件類型的標(biāo)志，這是區(qū)分它與正常.txt文件的最好方法。識(shí)別的另一個(gè)辦法是在“按WEB頁方式”查看時(shí)在“我的電腦”左面會(huì)顯示出其文件名全稱，此時(shí)可以看到它不是真正的txt文件。問題是很多初學(xué)者經(jīng)驗(yàn)不夠，老手也可能因?yàn)闆]留意而打開它，在這里再次提醒您，注意您收到的郵件中附件的文件名，不僅要看顯示出來的擴(kuò)展名，還要注意其實(shí)際顯示的圖標(biāo)是什么。對(duì)于附件中別人發(fā)來的看起來是.txt的文件，可以將它下載后用鼠標(biāo)右鍵選擇“用記事本打開”，這樣看會(huì)很安全。

好了，現(xiàn)在您知道.txt文件也不能輕易打開了吧？您知道了？那我寫這篇文章的目的就達(dá)到了！