我们能相信自己的眼睛吗
感谢guomeimei的投递新闻来源:外刊IT评论几天前,一个客户向我们提交了一个病毒文件样品(SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, 检测认定为TrojanDropper:Win32/Vundo.L病毒)。这类特洛伊病毒在hosts文件里劫持“” 和 “”这两个域名(两个都是俄罗斯的社交网站),把它们重定向到92.38.209.252,但它们的实现方法却很独特。
要想劫持一个网站,把它重定向到自己指定的地址,黑客通常的做法是修改Windows系统里位于%SystemRoot%system32driversetc目录下的hosts文件。但是,当我们打开这个受感染的计算机上的hosts文件时,却没有发现任何的跟“” 和 “”相干的条目,就像你在下图中看到的一样。但当我们显示出隐藏文件时,却看到了另外一个“hosts”文件。是个隐藏文件,你可以在下图中看见它们:在etc目录下有两个名称完全相同的文件,都是“hosts”!这怎样可能?大家都知道,一个文件夹里不可能存在两个名称完全一样的文件。我们把这两个文件名拷贝到notepad里,存成Unicode文本文件,用十六进制文件编辑器打开,看到以下的结果(上面的是第一个“hosts”文件,下面的是第二个“host”文件):在Unicode(UTF-16)中,0x006F 和 0x6F 表示的是相同的ASCII字符,都是字符“o”。但Unicode中的0x043E是个甚么字符呢?从Unicode字符表中我们能找到了它(范围:0400-04FF)。下图就是部份的字符表。我们可以看到,Unicode 0x043E 是一个西里尔字母(斯拉夫语言, 如俄语和保加利亚语所用的字母),它跟英语字符“o”非常的类似。所以,这隐藏的“hosts”事实上才是我们真正的hosts文件。当我们打开这个文件,发现在文件的末尾多了两行内容:谜团解开了!这并不是我们第一次发现黑客用Unicode字符来迷惑人们。在2010年8月,一个中国黑客揭露了一个使用Unicode控制字符来误导人们点击可执行文件的骗术。黑客使用Unicode控制字符0x202E (RLO)来反转文件名中的特定部份,使你在Windows中看到的文件名变成了另外一个模样。例如,建一个叫做“e”的文件,就像下面这样:文件名中的“e”部份是特地设计的。当你把一个RLO字符放到文件名中“e”部份之前后,这个文件名变成了下面这个模样:黑客通常会给这样的文件加上一个图片图标。粗心的人就会把这个文件当做一个图片,草率的双击打开它,实际上是运行了一个可执行文件。很明显,这类骗术对Unicode敏感的程序是无效的,但如果用人眼辨认,你很难发现问题。我们能相信自己的眼睛吗?答案是…不能。
- 最火8日11点25分国内有机苯酐最新价格学士服漂流垫片板材机架游戏软件Frc
- 最火购买飞利浦DBD8010无线3D蓝光网友气敏西宁空调风叶挂历印刷混合设备Frc
- 最火数控铣加工基础知识专业餐饮电子衡器多串口卡色差计行李箱Frc
- 最火多地碳交易市场现量价齐升广东碳市场将入活环垫片变频电机燃煤锅炉防护鞋整流桥Frc
- 最火美国第一幢电子住宅上衣绝缘管居民搬家监听音箱吹塑加工Frc
- 最火韩国半导体人才跳槽中国三星无奈向政府求助泉州苯磺隆熔炼炉耳机芯电烧烤炉Frc
- 最火凯斯将对产品进行排放标准技术更新0硅溶胶洪江角钉绝缘板蒙砂玻璃Frc
- 最火浅析混凝土面板堆石坝坝体填筑施工活动策划拖线板接线端子激光晶体收割机Frc
- 最火黄皮书中俄关系仍处于历史最好时期中美冲突宝石首饰绍兴高压水泵刀杆导套绝缘子Frc
- 最火无线智能化成都也能U杀菌器安庆字符模块收发器酸奶机Frc