用心体会 图片式木马病毒防御之法_基础信息化_信息安全_.docVIP

用心体会 图片式木马病毒防御之法_基础信息化_信息安全蹋锛嫠溜牌间裁掭倮钡冽昶硖 ??? “有网络的地方，就有图片”，当用户在浏览网页有图片。聊天会收到图片，收发邮件、办公……在电脑和网络中图片是无处不在的。正因如此，一些病毒、木马就盯上了图片。打开某张图片，也许就会遭受木马的攻击。肼偏莸芝怒钺溟咄帐摊遏钍曳 ??? 一、图片木马揭秘籍币繁鏊逵遑第强哝噫馁选淙 ??? 一般来说，图片木马有两种形式：一种是木马程序通过修改图标，伪装成图片文件；另一种图片木马是利用系统或者软件的漏洞，对真正的图片动了手脚，使用户打开图片就会受到木马的攻击。此外，“会动的图片”—Flash动画，无需利用系统漏洞，而是利用动画本身的特性，直接对用户进行攻击。橇厥毫窟遏棺编缘祝肢启斤辗 ??? 1、伪装型图片木马梆蹈镀亘踔酶施绨路饱鬃襁缣 ??? 现在的木马都有极强的伪装功能，可以将自己伪装成图片、文本文件等，稍不注意，就会误将木马当成图片。这种木马通常是通过修改文件图标和文件后缀名实现的，可以看到木马与真正的图片非常接近。如果在资源管理器中，将文件后缀名隐藏后，迷惑性就更大了。（图1）莞镀揩澄次霖鄢绢橘跪芑苛驱 仆丶摄改缱扰境觜谱呜嫉篝买 ??? 2、漏洞型图片木马劢鸷妤霏侔歉鹨湖鼓核眩底贼 ??? 伪装型图片木马，无论再怎么伪装，都只是象图片而已，并不是真正的图片。但是利用系统的漏洞，攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片，但当用户打开图片时，就中招了。??? 微软曾经发布了一个图片漏洞安全公告（MS04-028），这个漏洞是个高危漏洞，利用这个漏洞制作出来的图片木马不用打开，只要Windows的图片预览功能开着，隐藏在图片中的木马就会自动运行，危害十分巨大。利用此漏洞的攻击者，不需要将木马捆绑在图片中，只需把木马的下载地址嵌入图片中，当预览图片时，就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒，可以报告有木马，但是这些图片和无毒的图片放在一起，普通的用户一般很难发现。（图2）汊殁甘觜欢俪相邵综足畸谵凳 浸谜鼷硪灿乘樽管慰亨滢娇狼 ??? 还有一类图片木马，是具有溢出攻击特性的，在利用图片漏洞产生系统错误时，后台悄悄打开系统的某个端口。黑客可以利用打开的端口，远程连接该端口，进而控制用户电脑。这类木马一般都是利用微软的MS-0601号“WMF文件远程溢出漏洞”制作的，远程溢出与图片相结合制作出的新型WMF图片木马，危害极为巨大。当用户访问包含这类图片的网页时，将打开一个空白页面，但是如果机器存在MS0601漏洞，就会自动下载运行木马。伪寤蕙允踏窝跌饰招娣枸始氛 ??? 3、Flash动画木马唇姗堀喹味甯埘绳斯遇桔憨会 ??? 在网站上观看Flash动画，接收到“好友”发来的一张Flash贺卡，甚至于一个QQ魔法表情，一不留神就中了木马。Flash动画木马可以说无处不在，攻击力和覆盖面极其广泛。??? Flash动画攻击原理，是在网页中显示或本地直接播放Flash动画木马时，让Flash自动打开一个网址，而该网页就是攻击者预先制作好一个木马网页。也就是说，Flash动画木马，其实就是利用Flash跳转特性，进行网页木马攻击的。要让Flash自动跳转打开网页，只要使用Macromedia Flash MX之类的编辑工具，在Flash中添加一段跳转代码，让Flash跳转到木马网页就可以了（图3）经愚毽恧超茇矣舫辎论乒焉偷 桶麝篑硪唪鹭凑遁肇琐胎骸豁 ??? 用浏览器打开Flash动画木马，或者是包含有Flash动画木马的网页时，可以看到随着Flash动画播放时，自动弹出一个浏览器窗口，里面将会显示一个无关的网页，这个网页很可能就是木马网页。讥锊醐媒稽悸杈鲤脊伍营觏圹 ?? 二、揪出伪装型图片木马病毒璎勾较碑看镁鼓耜忧斤殛呶菌 ??? 伪装成“图片”的木马，无论其外表多么具有迷惑性，但木马的本质是改变不了的。木马必然是个可执行的程序文件，其后缀名是“exe”，这是不可更改的。因此，要避免伪装成“图片”的木马程序的迷惑，可以从文件名上入手。??? 在资源管理器窗口中，点击菜单“工具”→“文件夹选项”，打开文件夹选项对话框。切换到“查看”选项卡，在中间的列表中，去掉对“隐藏受保护的操作系统文件夹”项和“隐藏已知文件类型的扩展名”项的选择，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。（图4）懿导礅骺藿哓鲋盟谏菪嫩桓於 振辐兢椴糍娉汲底颇锻杖仄鹞 ??? 当接收到某张图片时，一定要注意观察它的后缀名，是否为.exe，如果是的话，那么说明这种图片是伪装的木马。（图5）市媵刳喂舐羯鞣蚝凵佳阋谙睫 描铴努戴芳睃某厩锱扛罹馄逼 ??? 三、恢复隐藏“文件夹选项”褰邡嗓趣蟥窒黔仍朵啡缝扑郊 ??? 有的木马非常狡猾，木马对