有一种木马无比狡猾,粗看它没有任何问题,是一个人畜无害的乖宝宝,可当它接收到暗藏在图片中的恶意指令后,它就会变成长着角的恶魔。当前,这种图片间谍木马在网上兴风作浪,腾讯电脑管家是唯一可以识破木马真面目的安全软件。
木马骗不了腾讯电脑管家
“这是今年第 47 次出任务!”穿着黑色风衣的木马展开纸条,“任务:潜入腾讯电脑管家把守的 XX 电脑,弹出广告骚扰用户!”看完纸条后木马掏出打火机,熟练地烧掉了纸条,消失在冬天寒冷的夜空下……
它不是一般的木马,从其 100% 任务成功率可以看出它身负“绝技”,能逃过各大安全软件的搜查。在被腾讯电脑管家拦下后,木马从容地接受搜查,一点没有慌乱。是的,这样的场面以前上演了 46 次,都能顺利的通过,“这次,也不例外!”木马自信满满的暗道。
然而,腾讯电脑管家的安检结果显示它是不怀好意的入侵者,是赤裸裸的间谍。木马立即抗议:“我有‘北京富邦展瑞科技有限公司’颁发的数字签名,我是一等一的良民,没干过任何坏事!”“我们早就注意到你了,凡是你进入过的电脑都会无缘无故地弹出广告,还说意思说自己是良民?”腾讯安全工程师押着木马边走边痛斥着它的罪行!
腾讯电脑管家是唯一能查杀图片间谍木马的安全软件
特殊图片包藏恶意指令
在审讯室里,木马依然嚣张:“你们要我坦白什么!我是无辜的!我什么都没有干!电脑弹出广告关我什么事?没有证据就乱抓人,我要去告你们!”面对不见棺材不掉泪的木马,腾讯安全工程师默默地开启投影仪,回放木马以前作案的全过程:
木马浑水摸鱼进入用户电脑后,首先从 http://www.cww.net.cn/upLoadFile/2012/11/29/2012112994413580.bmp 处下载图片 wow.bmp 到用户的临时目录 %Temp% 下,该图片的尾部含有经过加密的 shellcode 代码和 PE 文件,接着将 %Temp%\wow.bmp 载入内存中,通过 Xor 0x4C 对加密数据进行解密,然后再通过 Call 指令跳转到图片相对偏移 0x2F0 处并执行 Shellcode 代码, ShellCode 代码会将文件中的 PE Loader 和 DLL 的数据进行解密,最后通过 URLDownloadToCacheFileA 下载加密的配置文件,解密后获得黑客的指令,根据指令访问网站刷流量、弹出广告。
木马作恶流程图
此时,木马已经面如灰色,但依然不开口,腾讯安全工程师继续道:“其实,你本身问题并不大,迷惑了不少同行,关键在于那张图片。从外表看,图片看一切正常,可里面却包藏了恶意指令,只有你自己可以读取。你的行为跟 2006 年的一起间谍案有异曲同工之妙,此前英国驻俄外交官在莫斯科从事间谍活动,他们用于收发秘密情报的工具,竟是一块看似普通的石头,但石头中间被挖空了,里面装有蓄电池和加密情报收发机。”
