一種在Windows中被稱作“碎片對(duì)象”(擴(kuò)展名為“.SHS”)的文件可能正披著雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通過電子郵件附件)，然后輕松破壞你的計(jì)算機(jī)系統(tǒng)。它之所以這樣可怕，有三點(diǎn)主要原因:

　　1.該文件在Windows中的默認(rèn)圖標(biāo)與記事本非常類似。

　　2.在Windows的默認(rèn)狀態(tài)下，“碎片對(duì)象”文件的擴(kuò)展名(“.SHS”)是隱藏的，即使你在“資源管理器工具文件夾選項(xiàng)查看”中設(shè)置成顯示所有文件名的擴(kuò)展名，“.SHS”也還是隱藏的，這是因?yàn)閃indows支持雙重?cái)U(kuò)展名，如“iloveyou.txt.shs”顯示出來的名稱永遠(yuǎn)是“iloveyou.txt”。

　　3.這種SHS附件病毒制造起來非常容易，半個(gè)小時(shí)就可以學(xué)會(huì)，也不需要編程知識(shí)(“Format c:”大家都敲得出來吧)。

　　下面我們就一起來看看這個(gè)“隱身殺手”的真正面目吧!

　　一、技術(shù)背景

　　早在1992年的Windows 3.1版本中，微軟就引入了OLE(Object Linking and Embedding，對(duì)象鏈接與嵌入)技術(shù)。這項(xiàng)技術(shù)能在一個(gè)文件中鏈接或嵌入另一個(gè)文件，例如在寫字板或Word中可以鏈接或嵌入另一個(gè)文本文件、圖像文件或聲音文件等。當(dāng)我們?cè)赪ord中嵌入一個(gè)Excel文時(shí)，在Word會(huì)出現(xiàn)一個(gè)Excel文件圖標(biāo)及文件名稱，雙擊這個(gè)圖標(biāo)就可以調(diào)用Excel程序編輯該文件了，這項(xiàng)技術(shù)大大方便了文件的操作。

　　為了能將這種嵌入文件中的“對(duì)象”方便地(使用復(fù)制方式)從一個(gè)文件移入另一個(gè)文件(或者說被其它文件調(diào)用、與其它文件共享此“對(duì)象”)，Windows使用了另一種技術(shù)Shell Scrap Object(簡(jiǎn)稱SHS)，它能將嵌入文件中的“對(duì)象”包裝成一個(gè)“碎片對(duì)象”文件，以備復(fù)制到其它文件中。

　　二、實(shí)例

　　我們就來看看怎樣創(chuàng)建一個(gè)格式化軟盤的“碎片對(duì)象”文件。

　　1.創(chuàng)建一個(gè)只包含一個(gè)空格(為了減小文件體積)的文本文件，任意取名。

　　2.打開記事本，將此文件拖放入記事本。也可以點(diǎn)擊記事本菜單欄中的“插入對(duì)象”，彈出“插入對(duì)象”對(duì)話框，選中“從文件創(chuàng)建”，然后點(diǎn)擊“瀏覽”按鈕選擇要插入的文件。

　　3.選中該插入對(duì)象的圖標(biāo)，選擇菜單欄中的“編輯包對(duì)象編輯包”(如圖1)。在彈出的“對(duì)象包裝程序”對(duì)話框中，選擇菜單欄中的“編輯命令行”，然后輸入如下命令:Format.com a: /autotest，點(diǎn)擊“確定”，此時(shí)，內(nèi)容欄中會(huì)顯示出命令內(nèi)容。

　　4.點(diǎn)擊外觀欄中的“插入圖標(biāo)”按鈕，會(huì)彈出一個(gè)警告對(duì)話框，確認(rèn)，然后任選一個(gè)圖標(biāo)。

　　5.選擇菜單欄中的“編輯卷標(biāo)”，為此嵌入對(duì)象取一個(gè)名稱(會(huì)替換原來的文件名稱)。點(diǎn)擊“文件”菜單中的“更新”，然后關(guān)閉此對(duì)話框。

　　6.將剛剛建立的嵌入對(duì)象拖放到桌面上。文件的默認(rèn)名是“碎片”，現(xiàn)在我們把它改成“iloveyou.txt”。打開電子郵件程序?qū)⒆烂嫔系摹癷loveyou.txt”作為附件發(fā)出，或者將含有嵌入對(duì)象(帶有惡意命令)的文檔作為附件發(fā)出。

　　7.當(dāng)郵件接收者誤將“iloveyou.txt.shs”文件作為“iloveyou.txt”(如前文所述，“.SHS”擴(kuò)展名永遠(yuǎn)是隱藏的)放心地打開時(shí)，或打開文件，點(diǎn)擊文件中的嵌入對(duì)象時(shí)觸發(fā)惡意命令(彈出DOS運(yùn)行窗口，執(zhí)行格式化命令)，假如此時(shí)有另一個(gè)程序正在訪問軟驅(qū)，則會(huì)顯示如下信息“Drive A: is currently in use by another process. Aborting Format.”(A驅(qū)正被另一個(gè)程序訪問，格式化中止)。
　　真的很簡(jiǎn)單，就這樣一個(gè)惡意的攻擊程序被弄出來了，太可怕了!

　　三、防治措施

　　1.在注冊(cè)表編輯器[HEY_CLASSES_ROOTShellScrap]鍵下，有一個(gè)鍵值“NeverShowExt”，它是導(dǎo)致“.SHS”文件擴(kuò)展名無法顯示的“罪魁禍?zhǔn)住�。刪除這個(gè)鍵值，你就可以看到“.SHS”擴(kuò)展名了。

　　2.更換“碎片對(duì)象”文件的默認(rèn)圖標(biāo)。由于碎片對(duì)象文件的默認(rèn)圖標(biāo)與文本文件圖標(biāo)非常相似，容易麻痹人，所以我們要更換它的圖標(biāo)。打開資源管理器，選中查看菜單下的“文件夾選框”，在彈出的對(duì)話框中選擇“文件類型”活頁卡，在“已注冊(cè)的文件類型”下找到“碎片對(duì)象”。單擊右上角“編輯”按鈕，在打開的“編輯文件類型”對(duì)話框中單擊上邊的“更改圖標(biāo)”按鈕。打開C:WINDOWSSYSTEMPifmgr.dll，從出現(xiàn)的圖標(biāo)中選一個(gè)作為.SHS文件的新圖標(biāo)(就選第一排最后一個(gè)吧，一顆炸彈!)。

　　四、類似的情況

　　另一種類似的情況是“指向文檔的快捷方式”文件。病毒制造者可以建立指向文檔中嵌入對(duì)象的快捷方式，點(diǎn)擊這種快捷方式同樣可以觸發(fā)嵌入對(duì)象中的惡意命令!

　　“指向文檔的快捷方式”文件的擴(kuò)展名是“.SHB”，它同“.SHS”文件一樣，擴(kuò)展名是無條件隱藏的。控制隱藏“.SHB”擴(kuò)展名的鍵值是:HKEY_CLASSES_ROOTDocShortcut，刪掉它!

　　五、更多防治手段

　　1.如果你在病毒掃描軟件中設(shè)置成掃描指定程序文件，而不是所有文件，那么在指定程序文件中加入“.SHS”和“.SHB”文件。各種防病毒軟件的設(shè)置大同小異(比較簡(jiǎn)單)，這里略過。

　　2.禁止“碎片對(duì)象”文件及“指向文檔的快捷方式”文件。