Atitit.图片木马的原理与防范 attilax 总结

1.1. 像图片的木马桌面程序1

1.2. Web 服务端图片木马1

1.3. 利用了Windows的漏洞1

1.4. 这些漏洞不止Windows有，是很多软件都有，甚至sns wechat工具2

1.5. 利于图片meta数据区2

1.6. “会动的图片”—Flash动画，无需利用系统漏洞，而是利用动画本身的特性，直接对用户进行攻击。2

1.7. “WMF文件远程溢出漏洞”制作的，3

1.8. MIME头漏洞的3

1.9. BMP木马就不同,3

1.10. 文件类型伪装4

很多高级帐号都被QQ传过来的图片盗号，

1.1. 像图片的木马桌面程序

图片木马各类繁多（jpeg、bmp等）

伪装成“图片”的木马，无论其外表多么具有迷惑性，但木马的本质是改变不了的。木马必然是个可执行的程序文件，其后缀名是“exe”，这是不可更改的

1.2. Web 服务端图片木马

使用copy连接 jpg与服务器程序。。

1.3. 利用了Windows的漏洞

无声无息就能入侵你电脑的图片病毒，不需要点击。这种病毒主要是利用了Windows的漏洞，把木马加载在图片中，只要没有打上相应补丁的电脑游览到这些图片的时候就会自动下载该图片信息中所包含的木马信息，进而达到木马种植功能

作者:: 绰号:老哇的爪子（全名：：Attilax Akbar Al Rapanui 阿提拉克斯阿克巴阿尔拉帕努伊）汉字名：艾龙， EMAIL:1466519819@qq.com

转载请注明来源： http://blog.csdn.net/attilax

1.4. 这些漏洞不止Windows有，是很多软件都有，甚至sns wechat工具

，所以你需要把那些常会看到图片的软件的相关漏洞都打上补丁。例如QQ, MSN之类的软件也早在该jpg图片病毒公布之时发布了补丁。大家可以去下载后打上

1.5. 利于图片meta数据区

Ps插入

第二种方法：
1.用PS（photoshop）打开图片

2.文件→文件简介
插入你需要的木马代码

3.文件→保存（保存：覆盖源文件你也可以另存为你想要的其它格式）
然后使用解析器执行

1.6. “会动的图片”—Flash动画，无需利用系统漏洞，而是利用动画本身的特性，直接对用户进行攻击。

Flash动画攻击原理，是在网页中显示或本地直接播放Flash动画木马时，让Flash自动打开一个网址，而该网页就是攻击者预先制作好一个木马网页。也就是说，Flash动画木马，其实就是利用Flash跳转特性，进行网页木马攻击的。要让Fl

1.7. “WMF文件远程溢出漏洞”制作的，

远程溢出与图片相结合制作出的新型WMF图片木马，危害极为巨大。当用户访问包含这类图片的网页时，将打开一个空白页面，但是如果机器存在MS0601漏洞，就会自动下载运行木马。

1.8. MIME头漏洞的

MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行.

1.9. BMP木马就不同,

它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的****脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行.

个脚本会找出在临时文件夹中的bmp文件,并生成一个DEBUG的脚本,运行时会自动从BMP文件54字节处读去你指定大小的数据,并把它保存到tmp.dat中.后面的脚本再把它复制到SYSTEM的目录下.这个被还原的EXE文件会在下次重起的时候运行.这就是BMP木马的基本实现过程.

图片木马是将自己伪装成为图片的格式一旦被浏览就会下载到机器当中，这个时候它还是安全的（机器不会自己“运行”一个图片），但同一个网页上还有一小段程序欺骗IE将木马还原，同时恶毒地将木马程序添加到启动项，直到这一刻都没有任何程序被“运行”，但你下一次启动机器的时候木马便会完成种植过程

1.10. 文件类型伪装

家自己去查查BMP文件资料就会知道,BMP文件的文件头有54个字节,简单来说里面包含了BMP文件的长宽,位数,文件大小,数据区长度,我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦),这