upside
 
   
  
 反病毒 反诈骗 反虐犬
|
分享:
▼
x0
|
被诅咒的油画 图片病毒技术的内幕
一、被诅咒的油画
在网路上流传着一幅诡异的油画,据说很多人看后会产生幻觉,有人解释为油画的构图色彩导致的视觉刺激,也有人认为是心理作用,众说纷纭,却没有令人信服的答案。在网路公司上班的秘书小王也从一个网友那里得知了这幅画,她马上迫不及待的点击了网友给的图片连接。
图片出来了,小王终于见识到了传说中诡异的油画,面对着萤幕上那两个看似正常的孩子,她却觉得背后凉飕飕的。那网友也很热心的和她聊这幅画的来源,小王入神的听着,丝毫没有注意到IE浏览器左下角的状态栏打开网页面的进度条一直没停止过。
如果说小王刚才只是背后发冷的话,那么现在她已经是全身发冷了:电脑光碟自动弹了出来,刚按回去又弹了出来,她着急的请教那个网友,那边很平静的说:「哦,也许是光碟坏了吧,我有事先下了,你找人修一下。」然后头像暗了。
小王已经无法回复他的话了:滑鼠正在不听使唤的乱跑,键盘也没了反应,过了一会儿,电脑自己重启了,而且永远停留在了「NTLDR is missing...」的出错讯息上。
显而易见,这又是一个典型的木马破坏事件,但是小王打开的是图片,难道图片也会传播病毒了?答案很简单也很出人意料:小王打开的根本不是图片。
IE浏览器的功能很强大,它可以自动识别并打开特定格式的文件而不用在乎它是什么文件后缀名,因为IE对文件内容的判断并不是基于后缀名的,而是基于文件头部和MIME。当用户打开一个文件时,IE读取该文件的头部讯息并在本机注册表资料库内查找它对应的MIME格式描述,例如打开一个MIDI文件,IE先读取文件前面一段资料,根据MIDI文件的标准定义,它必须包含以「RIFF」开头的描述讯息,根据这段标记,IE在注册表定位找到了「x-audio/midi」的MIME格式,然后IE确认它自己不具备打开这段资料的能力,所以它根据注册表里的文件后缀名讯息找到某个已经注册为打开后缀名为「.MID」的文件,然后提交给此程式执行,我们就看到了最终结果。
正是因为这个原理,所以IE很容易受伤。入侵者通过伪造一个MIME标记描述讯息而使网页得以藏虫,在这里也是相同的道理,小王打开的实际上是一个后缀名改为图片格式的HTML网页面,它包含上述两个漏洞的病毒文件和一个高度和宽度都设置为100%的图片IMG标记,所以在小王看来,这只是一个图片文件,然而,图片的背后却是恶毒的木马。木马程式体积都比较大,下载需要一定时间,这就是IE进度条一直没停止的原因。入侵者为了确保受害者打开网页面的时间可以使整个木马文件下载完毕,就采用了社会工程学,让受害者不会在很短的时间内关闭网页面,当木马下载执行后,「图片」的诅咒就应验了。
二、位图特性的悲哀
他是一家公司的网路管理员,在服务器维护和安全设置方面有足够多的经验,因此他无需惧怕那些利用浏览器漏洞实现的病毒。这天他在一个技术论坛里看到一个网友发的关于AMD某些型号的处理器存在运算瑕庇的帖子,并给出一个测试网页面连接,根据官方描述,如果你用的CPU存在瑕庇,那么你会看到网页面上的测试图片显示得破损错乱。他心里一惊:自己用的CPU正是这个型号。他马上点击了网页面连接。
看着网页面上乱七八糟的一幅图片,他心里凉了一截:这台机器的CPU居然有问题,而他还要用这台机器处理公司的重要资料的!他马上去管理部找负责人协商,把显示着一幅胡里花哨图片的机器晾在一边。
管理部答应尽快给他更换一台机器,让他把硬碟转移过去,因为上面有重要的业务资料。他回来时看到那幅图片还在耀武扬威,他厌恶的关闭了网页面,照例打开存放资料的资料夹,他的脑袋一下子空白了:资料不见了!谁删除了?他慌乱的查找硬碟每个角落,可那些文件却像蒸发了一样。许久,他终于反应过来了:机器被入侵了!他取下硬碟直奔资料恢复公司而去。
|
