Txt病毒

一.txt病毒原理

利用翻转字符串的方法 混淆伪装  （jpg 、doc、ppt 等）

（1）更改程序图标

 可以使用Resource Hacker将该程序的图标修改为文本文档的图标：

（2）将程序重命名 readtxt.exe

鼠标放到 read 与 txt 中间 设置格式为 RLO

 // 这个“RLO”是一个转义字符，只要在一行字符前面加上它，就可以实现文本的反向排列。它是Unicode为了兼容某些文字的阅读习惯而设计的一个转义字符

二、RLO与注册表

利用转义字符原理生成 伪装成正常的程序

三、其它的字符陷阱

有些病毒为了实现网站的劫持，会把想要劫持的网站重定向到自己指定的地址。

通常的做法是修改Windows系统里位于%SystemRoot%\system32\drivers\etc目录下的hosts文件。

而病毒作者是不希望我们找到真实的hosts文件，以进行进一步的解析，于是病毒作者可以将真实的hosts文件设置为隐藏，再伪造一个hosts文件出来。

而伪造的方式，可以使用上述转义字符的方法，或者采用将原始的文件名中的英文字符替换为其它容易造成混淆的字符。

例如： 将“kernel32.dll”中“32”前面的“l”改为“1”，从而变成“kerne132.dll”，“kerne132.dll”正是一个恶意的动态链接库程序。

具体到hosts这个例子：首先在“记事本”中输入“hosts”这几个字符，然后保存为Unicode的形式。接着使用十六进制编辑工具打开这个文本文档，查看其十六进制代码：

       上图红框中的“6f 00”（注意这里是小端显示），也就是Unicode码的0x006f，表示的就是小写英文字母的“o”，那么这里我们将其修改为“3e 04”，也就是Unicode码的0x043e，它表示的是俄文字符的“o”：

保存后，再使用“记事本”打开，可以发现原来的“o”变成了一个怪怪的俄文字符：

将上述字符复制粘贴，使其成为一个文件的名称，并拷贝到真实的hosts文件目录中：

注意：

杀软并不会依据程序的名称进行杀毒，而是依靠病毒体内的特征码检测等方式来识别病毒的。而对于我们伪装的“熊猫烧香”病毒样本，即便是我们之前所编写的简陋的主动防御系统，也是能够将其制止住的。这也就凸显了杀软的重要性。