千萬不要點擊這些文件！否則下一個中毒的可能就是你

原標題：千萬不要點擊這些文件！否則下一個中毒的可能就是你

日常工作中，電腦桌面和開始菜單中的快捷方式對於大家來說並不陌生，點擊之後就可進入相應的應用程序。由於快捷方式自身不是可執行文件，多數情況只起到了跳轉作用，同時在大多數用戶慣性思維的加持下，很容易讓人放鬆安全警惕。即使在點擊後，殺毒軟件提示發現病毒，但仍然會有用戶手動信任，甚至臨時關閉殺毒軟件。

近日，360安全大腦就檢測到一批特殊的快捷方式，其利用社會工程學進行別有用心的僞裝後，大肆實施釣魚攻擊。該類釣魚病毒不僅具備與快捷方式極其相似的高隱蔽性；同時因爲其多使用腳本語言開發，所以也擁有着開發週期短和易混淆的特點；而且由於其一般不需要考慮環境和版本差異，使得無數用戶頻繁中招。

那麼，如何才能不被這些披着快捷方式外衣的釣魚病毒欺騙呢？在此，360安全大腦就爲大家拆穿一些常見花招。

招式一：表裏不一

試想，如果看到一份“外貌”正常的文檔圖標，你會對它進行防備麼？而事實上，此類表裏不一的僞裝卻可能是快捷方式病毒最常用的伎倆。將惡意程序和快捷方式放在同一目錄下，並使用docx後綴和文檔圖標進行僞裝，很容易讓用戶覺得這就是一個普通文檔。

然而，如果你信以爲真，就意味着將不幸中招了。經分析，這個僞裝成文檔的快捷方式實際執行的命令，是通過cmd執行目錄下一個修改了後綴的可執行文件svchost.rtf，而此文件正是遠控木馬。

同樣，變幻多端的快捷方式病毒，也可能僞裝成常用的文件夾圖標。如下圖，同一個zip壓縮包裏包含了一個修改爲文件夾圖標的快捷方式，和一個通過後綴名改爲jpg僞裝成圖片的隱藏可執行文件。

如果稍不慎雙擊打開了僞裝的文件夾快捷方式，則會通過執行如下命令，最終運行名稱僞裝爲JPG圖片的木馬程序。

由此可見，該類手法就是利用了用戶通過圖標含義理解文件類型的思維習慣，來實施攻擊。所以，當我們接收到陌生可疑文件或文件夾時，不妨注意以下幾點：

1）右鍵查看快捷方式“屬性”--“目標”一欄裏是否有可疑字符串，確保與期待的目標文件相一致；

2）觀察快捷方式同目錄下是否存在其他可疑文件或者隱藏文件，若存在需確認是否爲危險文件。

招式二：綿裏藏針

除了要當心壓縮包裏同時包含快捷方式和隱藏文件的情況之外，如果壓縮包裏只有一個快捷方式也不要掉以輕心，因爲惡意腳本或者資源可以全部內嵌到快捷方式中。如下圖，該病毒將名稱僞裝成圖片Credit Card Back.jpg，圖標卻僞裝成了docx文檔。

通過查看快捷方式的目標屬性就可發現，這明顯不是普通的快捷方式，而這段代碼的主要功能是最終釋放具有執行遠程命令、盜取隱私等木馬行爲的JS文件。

面對這種綿裏藏針的釣魚快捷方式病毒，用戶只要保持警惕性，實際很容易識破，因爲惡意代碼都嵌入在快捷方式中，所以最終的快捷方式文件通常比較大，如果發現文件大小異常或者查看屬性發現有可疑字符串，那就一定要當心了。

招式三：藏形匿影

基於腳本語言的特點，一些快捷方式病毒會利用各種方式，將核心代碼“隱藏起來”，而這些爲了躲避殺毒軟件檢測的“潛伏”手段則是花樣百出。

有的不法分子會通過超長命令行，來隱藏數據。

該快捷方式指向一段CMD命令，使用環境變量進行解密後的命令如下圖所示：

但是，命令開啓mshta.exe 後，沒有任何參數，也不會運行任何腳本，那其它數據到底藏到了哪裏呢？

原來，在Windows系統中屬性的“目標”只能查看260個字符，而命令行參數的最大長度爲4096個字符，惡意文件正是利用這個特性隱藏了位於260個字符以後的數據。通過對完整代碼解密後便會發現，該代碼主要是在通過打開誘餌文檔矇蔽用戶後，加載惡意代碼。

有的不法分子則會對嵌入的腳本進行高強度混淆，不免讓人頭暈目眩。

然而，從經過多次去除混淆得到最終的腳本代碼中可以看出，該代碼最終將通過CMD執行惡意PowerShell腳本。

還有的不法分子會將快捷方式病毒同攻擊載荷打包到一個壓縮文件，壓縮文件末尾添加有附加數據。

如上圖，壓縮包裏面有兩個文件，一個是正常PDF文檔，另一個爲僞裝成圖片的快捷方式。如果打開快捷方式，則會通過執行如下命令來釋放惡意腳本，最後還會打開正常PDF文件迷惑用戶。

而面對以上這些藏形匿影的釣魚快捷方式病毒，大家儘可以注意以下幾點，以實現見招拆招：

1）單一快捷方式可以檢查文件大小，正常快捷方式只有幾K大小，體積過大請勿執行；

2）壓縮包中的快捷方式可以先解壓，然後查看快捷方式是否通過CMD執行同目錄的其他文件。

招式四：聲東擊西

在快捷方式的文件結構中有一個RELATIVE_PATH字段，如果存在這樣的值，打開快捷方式就會嘗試修復快捷方式的指向。如下快捷方式的RELATIVE_PATH值爲.DeviceConfigManager.vbs，執行時會被修復爲當前目錄下的VBS腳本文件，而這，恰恰就爲病毒的釋放提供了執行路徑。

所以，在面對該類聲東擊西的快捷方式病毒之時，大家切記要對其中暗藏的殺機加以防範，在點擊開啓前：

1）可以首先右鍵查看快捷方式“屬性”，並查看其“目標”指向的文件是否存在；

2）若不存在此文件，還需要判斷快捷方式同目錄下的文件與其指向的文件是否具有相同文件名，若存在此種情況，需要高度警惕，否則極易中招。

縱觀以上案例後不難發現，快捷方式病毒既可以通過內嵌腳本執行惡意功能，也可以通過調用指向的文件來進行攻擊，形式靈活，手段多變。最重要的是，不法分子主要利用了用戶的認知習慣，使得該類攻擊方式極具威脅。

而事實上，著名黑客凱文·米特尼克在其著作《欺騙的藝術》就曾提到，人爲因素纔是安全的軟肋，就此也提出了社會工程學的概念。不同於找到存在於程序或者服務器之內的漏洞以攻克目標的方式，社會工程學則是利用人性弱點這一安全漏洞，通過欺騙受害者的手段來實施對計算機系統的網絡攻擊。甚至在有些情況下，往往一些技術並不複雜的攻擊方式，反而因此而屢試不爽。

所以，在明白“ 人是網絡安全中的薄弱環節” 這一道理後，廣大用戶一定要時刻謹記提高網絡安全防範意識，以避免爲不法分子提供可乘之機。除此之外，大家也可以及時前往weishi.360.cn下載安裝360安全衛士，在360安全大腦的極智賦能下，360安全衛士可全面攔截各類釣魚木馬攻擊，心動的小夥伴不妨親自一試。