upside
反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
[病毒蠕蟲] 被詛咒的油畫 圖片病毒技術的內幕
被詛咒的油畫 圖片病毒技術的內幕
一、被詛咒的油畫
在網路上流傳著一幅詭異的油畫,據說很多人看後會產生幻覺,有人解釋為油畫的構圖色彩導致的視覺刺激,也有人認為是心理作用,眾說紛紜,卻沒有令人信服的答案。在網路公司上班的秘書小王也從一個網友那裡得知了這幅畫,她馬上迫不及待的點擊了網友給的圖片連接。
圖片出來了,小王終於見識到了傳說中詭異的油畫,面對著螢幕上那兩個看似正常的孩子,她卻覺得背後涼颼颼的。那網友也很熱心的和她聊這幅畫的來源,小王入神的聽著,絲毫沒有注意到IE瀏覽器左下角的狀態欄打開網頁面的進度條一直沒停止過。
如果說小王剛才只是背後發冷的話,那麼現在她已經是全身發冷了:電腦光碟自動彈了出來,剛按回去又彈了出來,她著急的請教那個網友,那邊很平靜的說:「哦,也許是光碟壞了吧,我有事先下了,你找人修一下。」然後頭像暗了。
小王已經無法回復他的話了:滑鼠正在不聽使喚的亂跑,鍵盤也沒了反應,過了一會兒,電腦自己重啟了,而且永遠停留在了「NTLDR is missing...」的出錯訊息上。
顯而易見,這又是一個典型的木馬破壞事件,但是小王打開的是圖片,難道圖片也會傳播病毒了?答案很簡單也很出人意料:小王打開的根本不是圖片。
IE瀏覽器的功能很強大,它可以自動識別並打開特定格式的文件而不用在乎它是什麼文件後綴名,因為IE對文件內容的判斷並不是基於後綴名的,而是基於文件頭部和MIME。當用戶打開一個文件時,IE讀取該文件的頭部訊息並在本機註冊表資料庫內查找它對應的MIME格式描述,例如打開一個MIDI文件,IE先讀取文件前面一段資料,根據MIDI文件的標準定義,它必須包含以「RIFF」開頭的描述訊息,根據這段標記,IE在註冊表定位找到了「x-audio/midi」的MIME格式,然後IE確認它自己不具備打開這段資料的能力,所以它根據註冊表裡的文件後綴名訊息找到某個已經註冊為打開後綴名為「.MID」的文件,然後提交給此程式執行,我們就看到了最終結果。
正是因為這個原理,所以IE很容易受傷。入侵者通過偽造一個MIME標記描述訊息而使網頁得以藏蟲,在這裡也是相同的道理,小王打開的實際上是一個後綴名改為圖片格式的HTML網頁面,它包含上述兩個漏洞的病毒文件和一個高度和寬度都設置為100%的圖片IMG標記,所以在小王看來,這只是一個圖片文件,然而,圖片的背後卻是惡毒的木馬。木馬程式體積都比較大,下載需要一定時間,這就是IE進度條一直沒停止的原因。入侵者為了確保受害者打開網頁面的時間可以使整個木馬文件下載完畢,就採用了社會工程學,讓受害者不會在很短的時間內關閉網頁面,當木馬下載執行後,「圖片」的詛咒就應驗了。
二、位圖特性的悲哀
他是一家公司的網路管理員,在服務器維護和安全設置方面有足夠多的經驗,因此他無需懼怕那些利用瀏覽器漏洞實現的病毒。這天他在一個技術論壇裡看到一個網友發的關於AMD某些型號的處理器存在運算瑕庇的帖子,並給出一個測試網頁面連接,根據官方描述,如果你用的CPU存在瑕庇,那麼你會看到網頁面上的測試圖片顯示得破損錯亂。他心裡一驚:自己用的CPU正是這個型號。他馬上點擊了網頁面連接。
看著網頁面上亂七八糟的一幅圖片,他心裡涼了一截:這台機器的CPU居然有問題,而他還要用這台機器處理公司的重要資料的!他馬上去管理部找負責人協商,把顯示著一幅胡裡花哨圖片的機器晾在一邊。
管理部答應盡快給他更換一台機器,讓他把硬碟轉移過去,因為上面有重要的業務資料。他回來時看到那幅圖片還在耀武揚威,他厭惡的關閉了網頁面,照例打開存放資料的資料夾,他的腦袋一下子空白了:資料不見了!誰刪除了?他慌亂的查找硬碟每個角落,可那些文件卻像蒸發了一樣。許久,他終於反應過來了:機器被入侵了!他取下硬碟直奔資料恢復公司而去。
|