【IT168 专稿】“有网络的地方,就有图片”,当用户在浏览网页有图片。聊天会收到图片,收发邮件、办公……在电脑和网络中图片是无处不在的。正因如此,一些病毒、木马就盯上了图片。打开某张图片,也许就会遭受木马的攻击。
一、图片木马揭秘
一般来说,图片木马有两种形式:一种是木马程序通过修改图标,伪装成图片文件;另一种图片木马是利用系统或者软件的漏洞,对真正的图片动了手脚,使用户打开图片就会受到木马的攻击。此外,“会动的图片”—Flash动画,无需利用系统漏洞,而是利用动画本身的特性,直接对用户进行攻击。
1、伪装型图片木马
现在的木马都有极强的伪装功能,可以将自己伪装成图片、文本文件等,稍不注意,就会误将木马当成图片。这种木马通常是通过修改文件图标和文件后缀名实现的,可以看到木马与真正的图片非常接近。如果在资源管理器中,将文件后缀名隐藏后,迷惑性就更大了。(图1)
2、漏洞型图片木马
伪装型图片木马,无论再怎么伪装,都只是象图片而已,并不是真正的图片。但是利用系统的漏洞,攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片,但当用户打开图片时,就中招了。
微软曾经发布了一个图片漏洞安全公告(MS04-028),这个漏洞是个高危漏洞,利用这个漏洞制作出来的图片木马不用打开,只要Windows的图片预览功能开着,隐藏在图片中的木马就会自动运行,危害十分巨大。利用此漏洞的攻击者,不需要将木马捆绑在图片中,只需把木马的下载地址嵌入图片中,当预览图片时,就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒,可以报告有木马,但是这些图片和无毒的图片放在一起,普通的用户一般很难发现。(图2)
还有一类图片木马,是具有溢出攻击特性的,在利用图片漏洞产生系统错误时,后台悄悄打开系统的某个端口。黑客可以利用打开的端口,远程连接该端口,进而控制用户电脑。这类木马一般都是利用微软的MS-0601号“WMF文件远程溢出漏洞”制作的,远程溢出与图片相结合制作出的新型WMF图片木马,危害极为巨大。当用户访问包含这类图片的网页时,将打开一个空白页面,但是如果机器存在MS0601漏洞,就会自动下载运行木马。
${PageNumber}3、Flash动画木马
在网站上观看Flash动画,接收到“好友”发来的一张Flash贺卡,甚至于一个QQ魔法表情,一不留神就中了木马。Flash动画木马可以说无处不在,攻击力和覆盖面极其广泛。
Flash动画攻击原理,是在网页中显示或本地直接播放Flash动画木马时,让Flash自动打开一个网址,而该网页就是攻击者预先制作好一个木马网页。也就是说,Flash动画木马,其实就是利用Flash跳转特性,进行网页木马攻击的。要让Flash自动跳转打开网页,只要使用Macromedia Flash MX之类的编辑工具,在Flash中添加一段跳转代码,让Flash跳转到木马网页就可以了(图3)
用浏览器打开Flash动画木马,或者是包含有Flash动画木马的网页时,可以看到随着Flash动画播放时,自动弹出一个浏览器窗口,里面将会显示一个无关的网页,这个网页很可能就是木马网页。
${PageNumber}二、揪出伪装型图片木马病毒
伪装成“图片”的木马,无论其外表多么具有迷惑性,但木马的本质是改变不了的。木马必然是个可执行的程序文件,其后缀名是“exe”,这是不可更改的。因此,要避免伪装成“图片”的木马程序的迷惑,可以从文件名上入手。
在资源管理器窗口中,点击菜单“工具”→“文件夹选项”,打开文件夹选项对话框。切换到“查看”选项卡,在中间的列表中,去掉对“隐藏受保护的操作系统文件夹”项和“隐藏已知文件类型的扩展名”项的选择,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。(图4)
当接收到某张图片时,一定要注意观察它的后缀名,是否为.exe,如果是的话,那么说明这种图片是伪装的木马。(图5)
三、恢复隐藏“文件夹选项”
有的木马非常狡猾,木马对注册表进行了修改使得资源管理器的“文件夹选项”被隐藏,让用户无法查看显示文件后缀名。此时要识别木马,必须恢复“文件夹选项”。
1.组策略法
点击“开始”→“运行”,在出现的运行对话框中输入gpedit.msc,打开组策略编辑器,依次展开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”,再在窗口右侧找到“从‘工具’菜单删除‘文件夹选项’菜单”选项。
双击此项,在弹出的“从‘工具’菜单删除‘文件夹选项’菜单属性”标签页,选中“未配置”或者“已禁用”,按“应用”、“确定”按钮,再关闭“组策略”窗口,即可恢复“文件选项”(图6)
2.注册表法
点击“开始→运行”,输入regedit,进入注册表编辑器。 依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”分支,在右侧窗口中找到“NoFileMenu”键,将键值修改为“0”,或者删除该键。最后重新启动Windows XP即可。
3.恢复工具栏按钮法
右击工具栏空白处,在菜单中选择“自定义”命令,打开工具栏按钮添加对话框。在“可用工具栏按钮”中找到“文件夹选项”,选中“添加”,再按“确定”即可。(图7)
重新添加文件夹选项后,关闭对话框,打开资源管理器,可看见上面多出了一个“文件夹选项”按钮,点击该按钮,即可进行文件后缀名设置了。
${PageNumber}4.专用工具,一键修复
不会手工修复的用户,可以使用专用的修复工具,只需要点击一键恢复按钮,即可重现文件夹选项。运行Fix_Hidden,在弹出的对话框中,点击“解除恶意锁定”按钮,即可开始进行修复。修复完毕后,要求重启系统,点击“立即重启”,即可对文件夹选项进行设置了。(图8)
四、图片木马病毒漏洞补丁
图片木马的攻击可以说是无处不在,不过从上面的介绍,可以看出图片木马除了伪装外,基本上是靠系统漏洞进行攻击的。因此,防范图片木马攻击,可以从为系统打补丁两方面入手。各种溢出类型图片木马,实际上是利用了系统漏洞进行攻击的,因此用户要想防范图片木马,以及以后出现的各种新木马,最好的办法就是及时进行系统更新。
为了节约系统资源,许多用户往往会将自动更新关掉,但是长期下来许多系统漏洞都没有打补丁。要补上这些漏洞,需要装的补丁太多了,哪些是重要的,哪些是不必要安装的,哪些会造成系统冲突的,很难分辨。我们可以利用一些特殊的安全工具,比如360安全卫生之类的,给系统打补丁就不是什么难事了。
运行360安全卫生,在界面中间会显示系统中是否有未打的重要安全补丁程序。切换到“修复系统漏洞”,点击“查看并修复系统漏洞”按钮,软件会自动扫描系统中的漏洞,然后就可以点击更新系统补丁。选择系统中未安装的重要安全漏洞,或简介“全选”,再点击“下载并修复”按钮,就会自动下载并安装所有的补丁程序了。(图9)
五、Flash木马病毒的防范
其实不管Flash木马有多么的巧妙,最终都要跳转到木马网页中去的,也就是说用户最终要防范的还是网页木马。了解了思路,对于Flash动画木马就简单了。
首先,要开启Windows XP SP2的窗口拦截功能,或安装其他防弹出窗口的插件。如果那种漏网之鱼,莫名其妙弹出的窗口要及时关闭,另外,一定要在上网浏览时开启杀毒软的网页监控功能,只要网页木马中的木马下载到本地硬盘,就会被杀毒软件查杀。
打开IE浏览器,点击菜单“工具”→“Internet选项”,打开IE选项设置对话框。切换到“隐私”选项页,在页面中勾选“阻止弹出窗口项”(图片),点击“设置”按钮,打开设置对话框,在对话框中可以设置筛选级别,将其设置为是“高:阻止所有弹出窗口”。(图10)
