昨天,小編突然注意到鼠標異樣閃爍,耳機裡有“噠噠”聲。查看各種日誌,最後看到一個開源的UI包竟然請求過網絡!
通過抓包,順利找到了木馬窩藏地址:一張圖片!
圖片挺正經的呀!沒有異常,打開後是一個畫著windows xp 藍屏時的圖片。看看圖片二進制頭:
科普一下
任何編譯過的文件都有特有的二進制頭!對安全很嚴格的網站上傳圖片文件都會檢查二進制頭,通常是讀取2位頭數據,再解包對比MIME是否相符,看下面圖片例子:
圖片1(下):
圖片2(下):
圖片……10(下):
通過觀察,bluescreen.jpg的二進制頭根本不是.jpg,倒是像.png,而然,這張圖片有大動作!
bluescreen.jpg改為bluescreen.zip,用7Z或者解壓工具打開,你會看到:
吆,挺會偽裝的嘛。
竟然隱藏著一個文件夾,創建日期是2010年!
竟然看到了可執行程序,好大膽的黑客!
解壓到桌面時候,被安全軟件攔截了!
這個木馬我一週前發現了,竟然找了一週才發現,他會感染C:\Windows裡的任意一個系統應用,感染後又在其他盤裡感染EXE安裝包,等你殺毒後,在你安裝本地的EXE時伺機感染C:\Windows……你清除了這裡,那裡的木馬運行了,清除了那裡的,這裡的又發作了……
還記得學校裡機房的一個未命名病毒,最後整到圖書館停止開放一週!本來是360都能刪除的病毒,360開機發現病毒,清除時候它複製進E盤(E盤不會關機清空);刪除E盤時候複製進C盤……最後360一直“壯觀”的殺毒中……當然學生進來時候大多數是把U盤插進了電腦。
回到這個圖片木馬,也是同樣心機婊。我嘗試了Norton、Avast、小紅傘……都不能識別 木馬,Avast能在解壓木馬後報毒。
360、火絨4.0更不用說了,解壓後都不會報毒。
Windows 7自帶的防火牆,在雙擊木馬文件時候報毒!
由於這個圖片上社區作者從網上“百度”的,並不知情。作者檢測證實木馬圖片後,當晚就刪了圖片,並更新了源碼。
啟示
互聯網裡處處都是病毒、木馬,只是我們檢測不出來而已。這週週五和週六兩天的大清理,從小編的電腦裡發現了2個蠕蟲病毒和一個木馬病毒 ,像小編這種以編程和網絡分析為生的人竟然也中招。這個圖片木馬暫時還無法徹底清除。為了徹底清除所有病毒木馬,小編拿到了了卡巴斯基全方位安全軟件。
閱讀更多 冰雪緣 的文章
