■ 河南 郭建伟

编者按：如今网络攻击已是无孔不入，在日常计算机操作中也可能会无意遇到安全威胁。本文通过笔者遇到的一些隐秘威胁，探讨了网络攻击的某些常用欺骗术，同时提醒读者巧避陷阱。

当双击一个看似正常的文本文件，却误入恶意网站，进而招来病毒木马，这听起来有些让人无法相信。其实，这是网络攻击者利用了URL 地址欺骗技术，很容易达到上述目的。

从外表上看，这类不法文件虽然拥有TXT 文档图标，但是，在文件夹选项窗口中的“查看”面板中取消“隐藏已知文件类型的扩展名”项，让文件扩展名彻底显示出来。但是该类文件却没有显示扩展名。

我们知道，不同的文件都拥有文件头信息，只要使用记事本将对应的文件打开，通过查阅文件头信息，就很容易了解其类型。例如，将一个EXE 文件拖放到记事本中，就会发现其是以“MZ”开头的，这就是EXE 文件的特征。将一个JPG 图像文件使用记事本打开，会发现其文件头包含“JFIF”信息等。

但是，在该类假冒的文本文件右键菜单上点击“打开方式”项，却无法使用记事本打开。而在WinHEX 中打开该假冒的文本，在右侧的ASCII 区域则可以清晰地看到该文件的真实内容，里面的网址明显是挂马网址。而且在WinHEX 的文件名称标签上显示其真实名称，例如“xxx.url” “xxx”等为具体的文件名。

看来，这根本不是什么文本文件，而是包含特殊内容的URL 地址文件。

例如，笔者就遇到过这种假冒的文本文件，在WinHEX中将其打开后，再点击菜单“文件”→“另存为”项，将文件名称修改为“xxx.txt”。这样，就可以直接使用记事本了解其庐山真面目了。对其进行分析后，笔者发现它的前两行定义的目标页面，当双击该文件后，就直接进入了该页面。毫无疑问，其中包含了木马等恶意程序。第三行和第四行定义了一个快捷方式的网址，第五句中的“Modified”字样可能是修改属性的意思，用来修改上述内容的属性信息。第六行和第七行是使用系统路径中的“shell32.dll”中包含的图标信息，来伪装该文件图标，其中第70号图标对应的就是TXT 图标。

该页面其实是一个挂马网站，当进入该网站后，指定网址中的名为“xxx.exe”的木马病毒就会侵入系统。

由此可以得出对付这种危险文件的方法，一旦发现看起来很像TXT、Word 等类型的文件，而且使用正常方法无法显示其扩展名，同时其名称颇具迷惑性的文件，最好使用记事本或者WinHEX等工具将其手工打开，来充分了解其内容。

其实，要想查看这类特殊的文件类型，还有一种简单易行的方法，只需在CMD 窗口中切换到目标路径下，执行“dir/a”命令，就可以让其扩展名显露无遗。如果发现其中包含可疑网址，最好将它直接删除，以避免危害系统安全。

黑客为了实现入侵目的，往往会采用各种手段来麻痹用户。例如，将这类文件起一个具有迷惑性的名字，通过邮箱或论坛等途径传送，或者将它和正常软件打包在一起，让用户在毫无防范之际中招。

其实，除了这种URL 欺骗之外，还有一种URL 欺骗方式也值得警惕，那就是通过伪造超级链接，来诱惑用户进入非法网站。例如，当笔者某次浏览网页时，指向一个名称很正规的链接，在浏览器状态栏上也显示这是一个很常用的网站，但是当点击该链接后，却进入了一个内容杂乱的网站，杀毒软件也弹出警告，提示有危险的程序试图下载运行。

笔者浏览上述页面的源代码，发现在页面上显示的“www.xxx.com”链接显得很正规，并没有什么可疑之处。当指向该链接后，在状态栏上也会显示“www.xxx.com”字样。其实这都是假象，该链接真实的地址其实是一个非法网站，当您误击该链接后，自然会掉入陷阱之中。

关于URL 地址欺骗类型有多种，要想了解这些攻击的伎俩，首先需要知晓URL的结构组成。

大家一般都认为URL就是WWW 网址或者FTP 地址，其实不然。URL 的全称是Uniform Resource Loca tiors，即统一资源定位器。它的标准在RFC1738 中被定义。其中最普遍的形式定义为“:”。“”部分是网络协议的名称，“”被定义为“//:@:/”，其中只有“”部分是必须的，“；”和“@字符具有特殊的含义。这样，服务器才可以解析完整的字符串。如果用户名和密码包含在URL 中，“”部分则只能从“@”字符后开始。

了解了URL 的组成结构之后，我们来看一个最古老的URL 欺骗方法。例如，对于网址“http://www.sohu.com@www.xxx.net”来说，其中的“www.xxx.net”代表恶意网址。从表面上看，用户很容易被其前部的“http://www.sohu.com”迷惑，以为这是一个正规的大网站，而放松对该地址的防范。其实，在该地址中，“@”符号之前的部分是虚假的用户名，服务器会忽略它，最终打开的确实其后的“www.xxx.net”。

当然，这类比较初级的URL 欺骗方式对于高版本的IE 是无效的，但是对于很多第三方的浏览器，例如遨游、世界之窗、GreenBrowser 等是有效的，所以当使用这些浏览器时，还是应该防范这类URL 地址欺骗。

因为常规的URL 地址很容易让恶意网站现行，为了更好地蒙骗用户，攻击者通常会采取更改URL 地址格式或者是加密的方式，来伪装恶意URL 地址。在一般情况下，IP 都是采用诸如“aaa.bbb.ccc.ddd”的划分格式，但其实也可以八进制、十进制或者十六进制的方式进行表述。从用法上来说，不管采用何种进制，都不影响对目标IP 的访问。如果攻击者在某个IP 上布设了木马网站，然后采用以上特殊的进制格式来伪装访问网站，就很容易让用户上当受骗。除了更改进制格式外，黑客往往会对URL 进行加密处理，来进一步对其进行伪装。

那么，面对变化多端的URL 欺骗，该如何加以防范呢？虽然URL 欺骗很狡猾，不过也有其弱点。我们只需在访问之前进行一番检测，就可以让它彻底露出原型。

例如，利用Netcraft 公司的网站信息查询引擎，使用浏览器就可以轻松实现查询。打开网址“http://toolbar.netcraft.com/site_report”，在其中的“Lookup another URL”栏中可以输入网址，回车后就可以对其进行深入检测，并显示一份详细的报表，包括该网站建立日期、网站的IP、所属国家、域名注册商、主机所在地址、网站全球排名（Site rank）等具体数据，甚至包括网络主机上次启动的时间。

在“Hosting History”中列出网站变迁历史的清单，包括IP、服务器类型、操作系统种类以及上次更新时间等数据。

利用这些数据，不仅可以洞察网站的具体信息，同时可以有效地对抗钓鱼网站的欺骗。当然，也可以在虚拟运行环境中访问可疑网站，来检测其是否存不法行为。

例如，使用一些杀毒软件提供的隔离沙箱功能，就可以在保证系统安全的前提下，访问存在疑点的URL 地址。因为它被“软禁”在沙箱中，自然不会危害真实的系统。例如，在360 安全卫士的隔离沙箱主界面中点击“运行指定程序”按钮，启动世界之窗浏览器，在该浏览器顶部会显示“360 隔离沙箱保护中”字样，说明其活动已经和真实系统隔开，在其中就可以放心大胆地打开存在问题的URL 地址，来查看其中是否存在问题了。