扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
相信QQ是广大网友都非常熟悉的聊天工具了。有相当一部分朋友对于QQ的自定义表情非常喜爱,甚至自己制作个性化的自定义表情共享给大家。但是在我们享受各种个性化表情的时候,黑客也通过这些表情图片悄悄地潜入我们的系统种植木马,让我们防不胜防。
我们该如何应对,下面我们就一起来揭穿隐藏在QQ自定义表情背后的阴谋。
自定义表情的利用
知道了这个原理后,下面我们就一步一步地来重复通过图片种植木马的操作。
第1步:配置木马程序
首先要配置一个木马的服务端程序,通过这个程序就可以进行远程计算机的控制。我这里是利用国产木马PcShare。
运行PcShare.exe后,点击工具栏的“生成客户”按钮,在弹出的“生成被控制端执行程序”的窗口中进行设置(图1)。最后点击“生成”按钮,就能生成一个配置好的木马服务端程序了,接着将服务端程序上传到我申请好的网络空间中。
第2步:生成图片木马
要想通过自定义表情来进行木马的种植,有两种方法,它们分别是通过漏洞、HTML代码进行制作,下面就分别对这两种方法进行分析说明。
1.利用漏洞种植木马
这种方法是通过Windows系统以及应用程序的漏洞而产生的,比如2004年的“Windows GDI+ JPG解析组件缓冲区溢出漏洞”、“Windows图形渲染引擎安全漏洞”,2005年的“MSNMessenger PNG图片解析远程代码执行漏洞”,以及今年的“Windows图形渲染引擎WMF格式代码执行漏洞”都是和图形图像有关的漏洞。
下面就以“Windows GDI+ JPG解析组件缓冲区溢出漏洞”为例,为大家讲解图片木马的生成过程。
在命令提示符下激活漏洞利用工具jpglowder,查看工具的使用方法(如图2)。漏洞利用工具包含了多个命令参数。
要利用这个漏洞生成图片木马,只要使用工具内置参数“d”即可,通过输入一段含有木马的网页链接,就可以生成需要的图片木马。
2.利用HTML代码种植木马
这种利用HTML代码制作的图片木马,其实就是传统的网页木马的一种变种而已。打开记事本程序输入如下代码,并将代码另存为plmm.jpg。
这里通过一个跳转命令连链到一个网页木马的地址。定点防范,找准关键
其实,通过图片进行木马传播已经是个老技术了。但是现在黑客通过QQ的自定义表情来主动种植木马还是要引起我们的高度重视。
我们可以看到,图片木马和网页木马一样,要利用系统的漏洞才能被种植进系统,所以我们可以发现,方俊朋友在安装了各种杀毒软件和防火墙后,没有及时打上系统漏洞补丁,才让黑客有可乘之机。
所以我们防范通过QQ自定义表情来种植木马的关键就是及时为系统打上漏洞补丁(大家可以根据自己系统情况到http://www.microsoft.com下载相应补丁包),即使是不能在第一时间安装系统的安全补丁,也可以通过使用第三方提供的补丁进行防范。
案例回放
姓名:方俊
年龄:20岁
案发时间:2006年2月20日
2月20日,方俊的一个网友通过QQ的临时聊天功能同他聊天。后来网友向方俊发送了很多QQ表情,当时方俊并没有在意,只是觉得这些图片很好玩。
第二天打开电脑没多久,方俊就觉得计算机运行越来越慢。通过杀毒软件杀毒也没有发现可疑的程序。后来系统越来越慢,而且常常出现“假死”现象,经过他的详细分析和一系列操作后,顺利清除了系统中的木马。
后来在安全专家指导下,在QQ的自定义表情中,找到的别人传给他的自定义表情图片中携带的木马。原来,QQ的自定义表情成了黑客入侵的通道。
案情分析:一个小小的QQ是如何被黑客利用成为入侵电脑的通道的呢?其实QQ的自定义表情传送的就是图片,那么也就容易理解这其实就是一个运用图片种植木马的伎俩。
QQ的自定义表情传送的实质上是图片。这些经过特殊加工的图片,再发给远程用户以后,图片首先会判断系统是否存在相应的漏洞。如果存在漏洞分块,图片就会激活这个漏洞,然后执行图片所携带的恶意代码,从而最终成功控制远程计算机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台