图片病毒技术内幕(谈论)
这个无法修补的漏洞十分可怕,用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据,因为即使他们打好了所有补丁也无济于事,木马是被IE“合法”下载的,不属于代码漏洞,而且单*程序本身也很难判断这个图像是不是木马程序,机器*二进制完成处理工作,而不是视网膜成象交给大脑判断。但是,由于这也是需要下载文件的入侵方式,它能否下载完毕以及用户愿不愿意去看页面就要取决于入侵者的社会工程学了,在任何一个页面里放出一个乱七八糟的图片或者来一个隐藏的图片框都不是最明智的选择,除非利用一些“暇庇声明”或更能引起人的兴趣的伎俩。那家公司的网管之所以会这么不设防,就是因为攻击者偷用了人们的“心理盲区”,因为人们对安全、漏洞、病毒、暇庇等内容会特别敏感,所以入侵者发个专业暇庇案例就欺骗了一大堆人,这次是拿真实的事件:AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵,下一次又该拿什么了呢?用这种漏洞传播的病毒已经闹得沸沸扬扬了,反病毒专家甚至怀疑前不久在南宁发生的偷拍网友裸照事件与使用此手法的“密蜂大盗”病毒有关。(图4.BMP木马示意图)
三、魔鬼的诅咒
对于某娱乐论坛的大部分用户来说,今天是个黑色的日子,因为他们在看过一个《被诅咒的眼睛》油画帖子后,系统遭到了不明原因的破坏。
论坛管理层的技术人员立即对这个帖子进行了多次分析,可是整个页面就只有一个JPEG图片的连接,其他恶意代码和程序根本不存在。入侵者*什么破坏了看帖用户的机器?难道竟是这个JPEG图片?!
答案恐怕让人难以接受,的确就是这幅JPEG图片让用户感染了病毒。尽管病毒研究一直未曾停止,可是发展到这个地步,实在让人不能承受:再下去是不是打开一个文本文件都会被感染病毒?!
图片带毒来袭,实在让所有人都擦了一把汗,然而我们都知道,JPEG、GIF等格式图片不具备可以执行自身并散播病毒的条件,这不符合逻辑。回忆一下2004年9月14日的事,微软发布了MS04-028安全公告:JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。没错,就是这个漏洞,它的术语叫GDI+,对应的动态链接库为GdiPlus.dll,这是一种图形设备接口,能够为应用程序和程序员提供二维媒介图形、映像和版式,大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。但是现在,正是这个“公众人物”成了众矢之的。(图5.Microsoft安全公告)
说到这里,有基础的读者应该明白了吧:并不是图片自己能传播病毒,而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块,而是使用自己的处理模块,那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块,所以大部分程序在“JPEG病毒”面前纷纷落马。
这个溢出是怎么产生的呢?这要从系统如何读取JPEG格式图形的原理说起,系统处理一个JPEG图片时,需要在内存里加载JPEG处理模块,然, 后JPEG处理模块再把图片数据读入它所占据的内存空间里,也就是所说的缓冲区,最后我们就看到了图片的显示,然而就是在图片数据进入缓冲区的这一步出了错——Windows规定了缓冲区的大小,却没有严格检查实际容纳的数据量,这个带缺陷的边界检查模式导致了噩梦:入侵者把一个JPEG图片的数据加工得异常巨大并加入恶意指令,那么这个图片在系统载入内存时候会发生什么情况呢?图片数据会涨满整个JPEG处理模块提供的缓冲区并恰好把恶意指令溢出到程序自身的内存区域,而这部分内存区域是用于执行指令的,即核心区,于是恶意指令被程序误执行了,入侵者破坏系统或入侵机器的行为得以正常实施。有人也许会疑惑,入侵者都是神算子吗,他们为什么能准确的知道会是哪些数据可以溢出执行?答案很简单,因为Windows在分配JPEG处理模块的空间时,给它指定的内存起始地址是固定的,入侵者只要计算好这个空间大小,就能知道会有哪些数据被执行了,所以JPEG病毒迅速传播起来。(图6.JPEG病毒)
所谓JPEG病毒,并不是JPEG图片能放出病毒,而是系统处理JPEG图片的模块自己执行了JPEG图片携带的病毒,所以我们大可不必人心惶惶,只要补上了GDIPLUS.DLL的漏洞,那么即使你机器上的所有JPEG图片都带有病毒数据,它们也无法流窜出来搞破坏,正如美国马萨诸塞州立大学助理教授奥斯汀所言:“病毒不仅仅是可自我复制的代码,他们需要通过可执行代码的方式来进行传播。JPEG文件不能执行代码,他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码,为此不会运行这些病毒代码。”
四、防范
几乎每次新技术病毒的诞生都会引起一定程度的恐慌,回想去年的DCOM漏洞甚至导致了国内一部分用户不敢再用电脑联网,面对这种恐慌和国内一些反病毒厂商恣意夸大病毒危害的现象,我无语……国内电脑用户的安全概念和意识还是太薄弱……
对于虚假图片文件的欺骗手法,只要用户补上了MIME和IFRAME漏洞,那么入侵者让你停留多久也无济于事;至于BMP木马,它的防范是几乎不可避免,但是它有个最大的弱点,大部分情况下只能在Win9x环境正常执行,用Win2000以上的用户不必草木皆兵了;而对于JPEG病毒来说更好办了,微软已经提供JPEG模块的更新了,你倒是去补一下啊!即使真的一点也不会,买个防病毒软件在后台监视也OK了,但是为什么国内用户却偏偏喜欢徒劳的恐慌?
|
