正在阅读:被诅咒的油画 揭秘图片病毒技术的内幕被诅咒的油画 揭秘图片病毒技术的内幕

2007-09-21 09:57 出处: 作者:佚名 责任编辑:zhangxinxin

  一、被诅咒的油画

  在网络上流传着一幅诡异的油画,据说很多人看后会产生幻觉,有人解释为油画的构图色彩导致的视觉刺激,也有人认为是心理作用,众说纷纭,却没有令人信服的答案。在网络公司上班的秘书小王也从一个网友那里得知了这幅画,她马上迫不及待的点击了网友给的图片连接。图片出来了,小王终于见识到了传说中诡异的油画,面对着屏幕上那两个看似正常的孩子,她却觉得背后凉飕飕的。那网友也很热心的和她聊这幅画的来源,小王入神的听着,丝毫没有注意到IE浏览器左下角的状态栏打开页面的进度条一直没停止过。

1

图1 图片仅供参考,绝不代表本文之意

  如果说小王刚才只是背后发冷的话,那么现在她已经是全身发冷了:电脑光驱自动弹了出来,刚按回去又弹了出来,她着急的请教那个网友,那边很平静的说:“哦,也许是光驱坏了吧,我有事先下了,你找人修一下。”然后头像暗了。

  小王已经无法回复他的话了:鼠标正在不听使唤的乱跑,键盘也没了反应,过了一会儿,电脑自己重启了,而且永远停留在了“NTLDRismissing...”的出错信息上。

  显而易见,这又是一个典型的木马破坏事件,但是小王打开的是图片,难道图片也会传播病毒了?答案很简单也很出人意料:小王打开的根本不是图片。

  IE浏览器的功能很强大,它可以自动识别并打开特定格式的文件而不用在乎它是什么文件后缀名,因为IE对文件内容的判断并不是基于后缀名的,而是基于文件头部和MIME。当用户打开一个文件时,IE读取该文件的头部信息并在本机注册表数据库内查找它对应的MIME格式描述,例如打开一个MIDI文件,IE先读取文件前面一段数据,根据MIDI文件的标准定义,它必须包含以“RIFF”开头的描述信息,根据这段标记,IE在注册表定位找到了“x-audio/midi”的MIME格式,然后IE确认它自己不具备打开这段数据的能力,所以它根据注册表里的文件后缀名信息找到某个已经注册为打开后缀名为“.MID”的文件,然后提交给此程序执行,我们就看到了最终结果。

  正是因为这个原理,所以IE很容易受伤。入侵者通过伪造一个MIME标记描述信息而使网页得以藏虫,在这里也是相同的道理,小王打开的实际上是一个后缀名改为图片格式的HTML页面,它包含上述两个漏洞的病毒文件和一个高度和宽度都设置为100%的图片IMG标记,所以在小王看来,这只是一个图片文件,然而,图片的背后却是恶毒的木马。木马程序体积都比较大,下载需要一定时间,这就是IE进度条一直没停止的原因。入侵者为了确保受害者打开页面的时间可以使整个木马文件下载完毕,就采用了社会工程学,让受害者不会在很短的时间内关闭页面,当木马下载执行后,“图片”的诅咒就应验了。

键盘也能翻页,试试“← →”键
302 Found

302 Found


Powered by Tengine
tengine