刘景云
桌面是众多快捷图标的栖息地,在同恶意程序的较量中,桌面也难以独善其身,恶意程序会通过使用窜改、替换等各种非法手段,在桌面上放置外观颇能迷惑人的非法图标。当无辜的用户双击此类图标后,就会误入其精心预设的恶意网站中,从而招来病毒木马的袭击。我们当然不能任由这些流氓图标在桌面上为非作歹,必须采取各种防御方法,将其彻底从桌面上驱逐出去!
清除黏在桌面上的“牛皮癣”图标
有时,我们会发现桌面上出现一些奇怪的图标,当双击这些图标时,就进入在线游戏、广告宣传甚至是内藏木马病毒的恶意网站。但是,使用普通的方法,根本无法将其删除,这些赖在桌面上的垃圾图标实在让人厌恶。其实,这些“牛皮癣”图标之所以难以对付,关键是其对注册表做了手脚。
运行“regedit.exe”程序,打开
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”分支,在其下存在很多子键,其名称实际上是CLSID字符串。它们和桌面上的图标存在对应关系(如图1)。当然,这里显示的只是和桌面图标对应的CLSID名称,其具体的配置信息其实是保存在“HKEY_CLASSES_ROOT\CLSID”分支中的。对其仔细观察,不难发现这些子键与正常图标是一一对应的。但是,依次打开其中最后几个子键,发现其右侧内容为空,就说明其和桌面上的垃圾图标存在关联。记下该子健CLSID名称(例如“{93163F2E-6B9C-8276-AF59-A1EBE3392799}”,之后将其删除。
接下来选中“HKEY_CLASSES_ROOT\CLSID”,点击Ctrl+F键,在其中搜索上述CLSIS值,找到相关子键,将其一定删除。然后刷新桌面,就会发现与其关联的流氓图标消失了。按照同样的方法,可以清除所有的流氓图标。当然,也可以在QQ电脑管家中打开“电脑诊所”窗口,点击桌面图标按钮,在弹出窗口中点击“桌面图标删除不了”项,点击“修复”按钮,QQ电脑管家会自动分析桌面图标信息(如图2),单击“进入全屏模式”按钮,勾选无法删除的图标,点击屏幕右下角的确定按钮,将其导入到删除列表中,点击下一步按钮,这些讨厌的快捷图标就会彻底消失。
利用权限,为桌面图标巧加锁
对于自己精心布设的桌面,我们最讨厌别人随意删除或者添加快捷图标,将桌面搞得混乱不堪。其实,只要利用系统提供的权限设置功能,就可以将桌面图标彻底保护起来。例如,对于Windows 7来说,当前的用户名为“feiyun”可以创建多个账户,在“C:\Users\feiyun\Desktop”文件夹中保存的是当前用户的桌面内容,在“C:\Users\公用\Desktop”中保存的是公用用户的桌面内容。在别人使用您的电脑之前,在“C:\Users\feiyunDesktop”的属性窗口中打开“安全”面板,在其中点击“高级”按钮,在弹出窗口中确保取消“包括可从该对象的父项继承的权限”项的选择状态。
点击“更改权限”按钮,在权限项目列表中选择“feiyun”账户名,或者点击“添加”按钮,添加所需的账户。点击“编辑”按钮,在权限设置窗口(如图3)中的“允许”列中取消“创建文件/写入数据”、“删除子文件夹及文件”、“删除”、“更改权限”等项的选择状态。对于“C:\Users\Publish\Desktop”文件夹,执行同样的权限设置动作。这样,当其他人在本机上操作时,就无法在桌面上进行创建、删除、更改图标等操作,保护了桌面图标的安全性和完整性。当您使用时,取消上述权限约束,就可以正常操作桌面图标了。
为合法图标穿上“防护衣”
其实,我们完全可以借鉴上述“牛皮癣”图标的创建技术,反其道而行之,将其使用到保护合法的图标的“正道”上。例如以保护迅雷快捷图标为例,运行注册表编辑器,在“HKEY_CLASSES_ROOT\CLSID”分支下创建一个合适的CSLID子键,名称可以随意设置,例如“{2EE3F720-6CE7-98A8-AA8F-901AD79A0DAF}”。在该子键下依次创建“DefaultIcon”(显示桌面图标)、“Shell”(该图标右键菜单)、“ShellFolder”(右击信息)等项。选择其中的“DefalutIcon”子键,在右侧窗口双击“默认”键值名,将其内容修改为“%SystemRoot%\system32\Shell32.dll,192”,表示使用“Shell32.dll”动态库中指定序号为192的图标为其显示图标。当然,您可以为其选择其他的图标。之后在上述“Shell”子键下创建名为“安全启动”的子键,当然,其名称可以随意设置。
在其下再创建名为“command”的子键,选中“command”子键,双击其右侧的“默认”键值名,在其中输入迅雷程序路径信息。在上述“ShellFolder”子键右侧窗口中分别创建“Attributes”(DWORD类型)、“HideOnDesktopPerUser”(字符串型)、“HideFolderVerbs”(字符串型)、“WantParsDisplayName”(字符串型)等键值名,其中的“Attributes”项的数值为0,其余项的内容为空。下面执行最后一步,打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”分支,在其下创建名为“{2EE3F720-6CE7-98A8-AA8F-901AD79A0DAF}”的子键,并将其默认值设置为需要的名称(例如“安全的迅雷图标”等)。这样,在桌面上就会出现无法删除的快捷图标了。
识破危险的“文本”图标
在网上冲浪时,最担心的就是误入黑客精心布设的恶意网站。对于这些恶意网站,我们警惕性一般比较高,总是想方设法避开陷阱。但是,如果某天在您的桌面上出现了某个文本文件图标,名称看起来也没有问题(例如“联系信息”等),估计您会放心地双击打开,但是,接下来很可能会自动进入一个恶意网站,让人在毫不知情中中招。
其实,这种看似正常的文本图标绝非善类,而是黑客精心设置的虚假文件。即使您打开文件夹选项窗口,在其中的“查看”面板中取消“隐藏已知文件类型的扩展名”项的选择状态,都无法看到其真实身份。而且,在该假冒的文本文件右键菜单上点击“打开方式”项,却无法使用记事本打开。使用WinHEX这款强悍的编辑工具打开这个所谓的文本文件,在右侧的ASCII区域可以清晰地看到该文件的真实内容,里面的网址明显是挂马网址(如图4)。在WinHEX的文件名称标签上显示其完整名称,其后缀却是“.url”,这类文件是不会显示扩展名的。
在WinHEX中点击菜单“文件”→“另存为”项,将文件名称修改为“真实内容.txt”。这样,就可以直接使用记事本了解其真实内容,其中包含了一些代码,经过分析,前四行中的“BASEURL”和“URL”栏定义的目标恶意网址,当用户双击该文件后,就直接进入了该页面,毫无疑问,其中包含了木马等恶意程序。第五句中的“Modified”字样可能是修改属性的意思,用来修改上述内容的属性信息。第六行和第七行是使用系统路径中的“shell32.dll”中包含的图标信息,来伪装该文件图标,其中第70号图标对应的就是TXT图标。
所以,一旦发现看起来很像TXT、Word等类型的文件,而且使用正常方法无法显示其扩展名,同时其名称颇具迷惑性,最好使用记事本或者WinHEX等工具将其手工打开,来充分了解其内容。其实,要想查看这类特殊的文件类型,还有一种简单易行的方法,只需在CMD窗口中切换到目标路径下(例如“C:\Users\用户名\Desktop”),执行“dir /a”命令,就可以让其扩展名显露无遗(如图5)。