空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

用心体会图片式木马病毒防御之法

上一篇 / 下一篇 2008-02-14 22:33:51

“有网络的地方，就有图片”，当用户在浏览网页有图片。聊天会收到图片，收发邮件、办公……在电脑和网络中图片是无处不在的。正因如此，一些病毒、木马就盯上了图片。打开某张图片，也许就会遭受木马的攻击。

8X,nb\%Z,T/c `C0 一、图片木马揭秘

一般来说，图片木马有两种形式：一种是木马程序通过修改图标，伪装成图片文件；另一种图片木马是利用系统或者软件的漏洞，对真正的图片动了手脚，使用户打开图片就会受到木马的攻击。此外，“会动的图片”—Flash动画，无需利用系统漏洞，而是利用动画本身的特性，直接对用户进行攻击。

1、伪装型图片木马

|6uA/xxX)r#a0 现在的木马都有极强的伪装功能，可以将自己伪装成图片、文本文件等，稍不注意，就会误将木马当成图片。这种木马通常是通过修改文件图标和文件后缀名实现的，可以看到木马与真正的图片非常接近。如果在资源管理器中，将文件后缀名隐藏后，迷惑性就更大了。

2、漏洞型图片木马IXPUB技术博客&T FR*yMK,W

.VLHlQ y [d0 伪装型图片木马，无论再怎么伪装，都只是象图片而已，并不是真正的图片。但是利用系统的漏洞，攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片，但当用户打开图片时，就中招了。IXPUB技术博客.Y$r7TBP4ZP

:QR^4c7d#rs&i0 微软曾经发布了一个图片漏洞安全公告（MS04-028），这个漏洞是个高危漏洞，利用这个漏洞制作出来的图片木马不用打开，只要Windows的图片预览功能开着，隐藏在图片中的木马就会自动运行，危害十分巨大。利用此漏洞的攻击者，不需要将木马捆绑在图片中，只需把木马的下载地址嵌入图片中，当预览图片时，就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒，可以报告有木马，但是这些图片和无毒的图片放在一起，普通的用户一般很难发现。IXPUB技术博客!X"q7zWE

b5p(J!SSh"H4U;U0还有一类图片木马，是具有溢出攻击特性的，在利用图片漏洞产生系统错误时，后台悄悄打开系统的某个端口。黑客可以利用打开的端口，远程连接该端口，进而控制用户电脑。这类木马一般都是利用微软的MS-0601号“WMF文件远程溢出漏洞”制作的，远程溢出与图片相结合制作出的新型WMF图片木马，危害极为巨大。当用户访问包含这类图片的网页时，将打开一个空白页面，但是如果机器存在MS0601漏洞，就会自动下载运行木马。

F0B8mN;DP03、Flash动画木马

6~T5yq ddq$X,q0 在网站上观看Flash动画，接收到“好友”发来的一张Flash贺卡，甚至于一个QQ魔法表情，一不留神就中了木马。Flash动画木马可以说无处不在，攻击力和覆盖面极其广泛。IXPUB技术博客%p1osKBBD

Flash动画攻击原理，是在网页中显示或本地直接播放Flash动画木马时，让Flash自动打开一个网址，而该网页就是攻击者预先制作好一个木马网页。也就是说，Flash动画木马，其实就是利用Flash跳转特性，进行网页木马攻击的。要让Flash自动跳转打开网页，只要使用Macromedia Flash MX之类的编辑工具，在Flash中添加一段跳转代码，让Flash跳转到木马网页就可以了。IXPUB技术博客c Wsq'x&xA

,N2|-O'D k3L(sC1j.v0 用浏览器打开Flash动画木马，或者是包含有Flash动画木马的网页时，可以看到随着Flash动画播放时，自动弹出一个浏览器窗口，里面将会显示一个无关的网页，这个网页很可能就是木马网页。

8W~2[%e j4MW` ]0二、揪出伪装型图片木马病毒IXPUB技术博客7kO+[5n}[a

Yh)W;|7_E t%g0 伪装成“图片”的木马，无论其外表多么具有迷惑性，但木马的本质是改变不了的。木马必然是个可执行的程序文件，其后缀名是“exe”，这是不可更改的。因此，要避免伪装成“图片”的木马程序的迷惑，可以从文件名上入手。

$AeJQQot9Li0 在资源管理器窗口中，点击菜单“工具”→“文件夹选项”，打开文件夹选项对话框。切换到“查看”选项卡，在中间的列表中，去掉对“隐藏受保护的操作系统文件夹”项和“隐藏已知文件类型的扩展名”项的选择，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。当接收到某张图片时，一定要注意观察它的后缀名，是否为.exe，如果是的话，那么说明这种图片是伪装的木马。IXPUB技术博客u(C;k&s&u7idj

$t0lR.b$]3`sj0三、恢复隐藏“文件夹选项”IXPUB技术博客4t"NG3l%ep/V

5xp8k1FV$t(qE0 有的木马非常狡猾，木马对注册表进行了修改使得资源管理器的“文件夹选项”被隐藏，让用户无法查看显示文件后缀名。此时要识别木马，必须恢复“文件夹选项”。

1.组策略法

Q]b9JH1V(\0 点击“开始”→“运行”，在出现的运行对话框中输入gpedit.msc，打开组策略编辑器，依次展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”，再在窗口右侧找到“从‘工具’菜单删除‘文件夹选项’菜单”选项。

B3pZt\D$IQ!MZ0 双击此项，在弹出的“从‘工具’菜单删除‘文件夹选项’菜单属性”标签页，选中“未配置”或者“已禁用”，按“应用”、“确定”按钮，再关闭“组策略”窗口，即可恢复“文件选项”。

2.注册表法IXPUB技术博客si xHxk6H$K

点击“开始→运行”，输入regedit，进入注册表编辑器。依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”分支，在右侧窗口中找到“NoFileMenu”键，将键值修改为“0”，或者删除该键。最后重新启动Windows XP即可。

IXPUB技术博客8Dj*oH7s^J
3.恢复工具栏按钮法IXPUB技术博客[ KY`Qg1M;K%q6qk

XQ|1G'MU0 右击工具栏空白处，在菜单中选择“自定义”命令，打开工具栏按钮添加对话框。在“可用工具栏按钮”中找到“文件夹选项”，选中“添加”，再按“确定”即可。重新添加文件夹选项后，关闭对话框，打开资源管理器，可看见上面多出了一个“文件夹选项”按钮，点击该按钮，即可进行文件后缀名设置了。IXPUB技术博客QX"FK&t

r4b&Ff3Sv9R8@.?+x$G04.专用工具，一键修复

不会手工修复的用户，可以使用专用的修复工具，只需要点击一键恢复按钮，即可重现文件夹选项。运行Fix_Hidden，在弹出的对话框中，点击“解除恶意锁定”按钮，即可开始进行修复。修复完毕后，要求重启系统，点击“立即重启”，即可对文件夹选项进行设置了。IXPUB技术博客f.K:]C%H&A5CL

四、图片木马病毒漏洞补丁IXPUB技术博客N#]L jJ

n;E+a {0i0 图片木马的攻击可以说是无处不在，不过从上面的介绍，可以看出图片木马除了伪装外，基本上是靠系统漏洞进行攻击的。因此，防范图片木马攻击，可以从为系统打补丁两方面入手。各种溢出类型图片木马，实际上是利用了系统漏洞进行攻击的，因此用户要想防范图片木马，以及以后出现的各种新木马，最好的办法就是及时进行系统更新。

为了节约系统资源，许多用户往往会将自动更新关掉，但是长期下来许多系统漏洞都没有打补丁。要补上这些漏洞，需要装的补丁太多了，哪些是重要的，哪些是不必要安装的，哪些会造成系统冲突的，很难分辨。我们可以利用一些特殊的安全工具，比如360安全卫生之类的，给系统打补丁就不是什么难事了。

/Z"x\'tbE7@;_0 运行360安全卫生，在界面中间会显示系统中是否有未打的重要安全补丁程序。切换到“修复系统漏洞”，点击“查看并修复系统漏洞”按钮，软件会自动扫描系统中的漏洞，然后就可以点击更新系统补丁。选择系统中未安装的重要安全漏洞，或简介“全选”，再点击“下载并修复”按钮，就会自动下载并安装所有的补丁程序了。IXPUB技术博客"_TQA&K

DtA*]a*_I!tz0五、Flash木马病毒的防范IXPUB技术博客)Z5gZ@7neE

其实不管Flash木马有多么的巧妙，最终都要跳转到木马网页中去的，也就是说用户最终要防范的还是网页木马。了解了思路，对于Flash动画木马就简单了。

/u(~^,a}$n8P0 首先，要开启Windows XP SP2的窗口拦截功能，或安装其他防弹出窗口的插件。如果那种漏网之鱼，莫名其妙弹出的窗口要及时关闭，另外，一定要在上网浏览时开启杀毒软的网页监控功能，只要网页木马中的木马下载到本地硬盘，就会被杀毒软件查杀。

打开IE浏览器，点击菜单“工具”→“Internet选项”，打开IE选项设置对话框。切换到“隐私”选项页，在页面中勾选“阻止弹出窗口项”（图片），点击“设置”按钮，打开设置对话框，在对话框中可以设置筛选级别，将其设置为是“高：阻止所有弹出窗口”。IXPUB技术博客rvR"ZHK Y\`@3u

导入论坛引用链接收藏分享给好友推荐到圈子管理举报

TAG:

查看全部评论