【IT168 专稿】最近很多高级帐号都被QQ传过来的图片盗号，很多人对此产生疑问，为了避免这种悲剧再次发生，在这里介绍一下此种木马以及防治方法。

    首先在谈图片木马之前，我们先来看看什么是木马?　

    木马全称为特洛伊木马，英文叫做“Trojanhorse”，其名称取自希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，木马的危害显而易见，一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等等。对个人来说，你存于机器中的各种帐号和密码将被偷取：对公司来说，绝密的文件也可能被竞争对手窃去!但是木马的伪装方式也是千变万化的。在以前，一般来说，木马的传播方式有两种：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上。也就是说，只要你不打开来历不明的邮件而且从正规的大站点去下载软件,木马是不会降临到你的头上的。然而，图片木马的出现，使得安全问题变得严峻起来!只要你用浏览器打开一个含有图片的网页，你就有可能中了木马!

    下面我们来剖析一下图片木马的实现过程。

    木马程序首先被伪装成一个BMP图片文件，它和过去早就用臭了的MIME头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件,欺骗IE自动下载(没人会把IE的显示图片功能取消吧?)，然后，再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行.但是这种技术只能在9X下发挥作用,对于2K,XP来说是无能为力了.这样，当重启后，木马就不知不觉地上了你的身。

    那么，如何将EXE文件转换成图片文件呢?我们知道，BMP文件的文件头里面包含了BMP文件的长宽，位数，文件大小，数据区长度这些参数，所以只要在EXE文件的文件头前面添加相应的BMP文件头，IE就会将这个文件误认为是图片并下载它。当然，如果是自己来修改EXE文件是有点难度的，不过现在黑客软件很多。改写就变的很方便了。假图片做好后，把它插入网页中。当然，它是显示不出来的，为了避免被人发现,可以把图片的长度和宽度都调成0.接下来的工作就是编写脚本代码，限于篇幅，略去。到此，将网页上传到因特网上，只要有人浏览了这个页面，他就会在无意中染上了木马。这就是经常有人宣传免费加点的一些网站常用的盗号手段。同样，QQ上传过来的东西也是一样的原理。

    木马这么厉害，怎么防范它呢?这还得从原理入手。如上所说，木马的运行需要分析脚本代码和调用DEBUG程序，所以你可以将wscrpit.exe文件和DEBUG文件删除。这样，即使假图片已经下载，它也无法运行。或者安装有效的杀毒软件,因为这些脚本有好多杀毒软件已经可以查出来了。

    不过最保险的方法就是不要去那些不安全的站点或接收QQ上发过来的任何东西，这样的话，就算木马隐藏在别的更隐蔽的地方,或者变成什么声音木马、动画木马它也不能拿你怎么样了。