冰风谷2 龙之眼 拉杆:Admin.exe是什么?这几天开机瑞星就发现病毒且来源于Admin.exe.

五、精心构造的“文本陷阱”

如果说将木马伪装成文本的方法有些复杂，那么“文本陷阱”这个文本利用工具就是一个现成的文件木马，足以让大家体会到在“文本”伪装下的木马攻击威力！

下载这个文本利用工具并解压，可以看到在文件夹中有两个名为“admin”的“文本文件”，当显示文件名后缀后，可以得知这两个文件的真实文件名分别为“admin.txt”和“admin.exe”。其中“admin.exe”是真正的利用程序，由于采用了文本文件的图标，所以在隐藏文件扩展名时，很容易被误认为这是一个文本文件。

“admin.exe”文件其实是一个伪装成文本的入侵程序。它的功能非常强大，可以实现在被攻击主机上添加管理用户；打开磁盘自动运行功能以运行特殊木马；开启Windows XP/2003的远程终端等等。接下来我们在本机上运行这个木马，以便读者朋友可以更清楚的认识到它的危害。

当我们在电脑上运行这个程序后，进入命令提示符窗口，输入“net user”命令，即可显示电脑上的所有用户帐号（如图5）。可以看到，在用户列表中有一个名为“IWAM-IUSR”的用户名，这个用户就是刚才运行文本陷阱后添加用户。“IWAM-IUSR”的默认密码为“gxgl.com#2004”。这个用户名现系统中默认的用户名非常相似，一些没有经验的管理员很难察觉出来。

图5 自动添加的管理员帐号

此时右击“我的电脑→属性”，打开“系统属性”窗口，在“远程”标签中可以看到“远程桌面”中的“允许用户远程连接到此计算机”项已经被开启。这就是刚才运行文本陷阱运行，自动为黑客入侵开启的后门。由于刚才添加了一个管理员用户，而管理员用户默认是被许可进行远程连接的，因此黑客可以用刚添加的用户名和密码，通过3389远程终端连接运行了文本陷阱的主机，轻松的完成入侵。而当黑客诒蝗肭值缒陨咸砑恿艘桓龉芾碓闭屎藕螅?淇梢酝瓿珊芏嗟娜肭植僮鳎??缭冻塘?印⒖?舴?窈投丝诘鹊取U夥矫娴哪谌菰诖饲暗摹昂诳头老摺敝幸丫?樯芄?芏啵?谡饫锞筒辉傧晗杆得髁恕?/P>

六、应对自如，轻松化解“文本”危机

看过前面的内容，相信大家一定会发出“木马和黑客攻击无孔不入”的硬要感慨，看似安全的文本文件，原来也暗藏了这么多的危险。如何才能防范各种木马病毒借助文本文件进行攻击呢？

对于在文件图标和文件后缀上作手脚的文件，只要提高警慎性，看清楚文件的真实名称再运行，一般是不会中招的。

对于文件碎片之类的文本文件，就需要对系统进行一下简单的设置了。打开注册表编辑器，找到“HKEY_CLASSES_ROOT\.shs”键，将的“ShellScrap”删除。此后，双击“.shs”文件时就不会自动运行，而是弹出一个提示对话框，询问是否进行操作。这样就可以在很大程度上防范“.shs”文件的攻击了。