图片病毒

一，什么是图片病毒

所谓图片病毒，是指能够在图片显示的同时自动被激活的病毒，这种以_美人计一的形式行广泛传播的病毒，其危害比单纯的病毒更加严重.要深入了解什么是图片病毒，需要先对_文件加以了解。

在电脑中，我们接触到的音视图文都是以文件的形式存在的。也就是说，在电脑中进行的一切数据处理操作都是以文件为基础的。比方说，用Word编辑了一份文档文件，用“录音机’：录制了一个声音文件，用摄像头拍了一幅图像文件，等等。通常，文件由文件名和扩展名两部分组成，文件名和扩展名之间由半角圆点“.隔开。

文件名+ .+扩展名

1 个别文件也可以没有点号和扩展名，如c盘根自录下的Ntldr就是这样的一个文件o通常，文件名需要我们自己来命名，而扩展名则由创建文件的程序自动设置o如Word创建的文件扩展名为.doc.记■本程序生成的文件扩展名为.txto

文件扩展名是一组字符，这组字符有助于Windows理解文件中的信息类型以及应使用何种程序打开这种文件。将其称之为扩展名是因为它出现在文件名的末尾，位于句点的后面。我们和操作系统判断一个文件是否是图片文件，主要是通通文件的扩展名来识别的。常见的图片文件扩展名有：BMP、GIF、PNG、TIF7TIFF、CDR、WMF、JPG/JPEG、PSD、TGA.

所谓“病毒一，可以简单地理解为一段恶意代码，这段代码既可以附在其他文件中，也可以使用文件(通常扩展名为.exe.即可执行文件)的形式独立存在。病毒出现的目的是为了对读取这段代码的计算机进行既定目标(如感染、破坏、删除一部分或所有文件)的破坏，破坏的结果有系统变慢、删除文件、窃取资料等。

二，图片病毒的传播方式和原理

-图片病毒一视病毒传播的方式不同，它的制作原理也不尽相同，主要有以下几种.

1.修改文件扩展名 ’

常见的是将病毒文件的扩展名(如.exe)修改为图片文件的专属扩展名(如.gif)，病毒通过伪装可以较容易地获得人们的信任。通常外观上来看，看起来是一个GIF文件。但实质上，使用卡巴斯基进行检测时，就会发现它的真面目是“Trojan-Dropper.Win32.VB.mtl-，如囹所示。通俗地说，这是一个木马类型的病毒.因为病毒改头换面-变_成了图片文件，所以Acdsee等看图软件就会自动对其进行关联，当用户双击此图片(病毒)文件时，病毒会在图片文件显示的同时被激活，进而发挥自身的破坏或远程控制功能。

2.寄生在压缩包中

另外一种是病毒以独立文件的形式存在，它和图片、应用程序等文件同处一个压缩包，在解压、浏览图片或安装应用程序时悄悄地被激活。这类病毒比较多，如“灰鸽子竹病毒的变种病毒“图片鸽子竹等。以木马类病毒为例，病毒将会立即连接黑客指定的远程地址，帮助黑客远程控制当前中毒用户的计算机，或者是使系统、应用程序崩溃。

3.利用漏洞传播

还有一种是利用IE的各种漏洞传播。如，在“http://www .microsoft.com/china/technet/security/bulletin/MS04-028.mspx竹 中就对"GDI+竹(一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式)漏洞导致的处理JPEG图像格式时存在缓冲区问题加以了详细说明，并给出了相应的解决方案。通过该漏洞，网民无论是通过浏览器浏览，还是用各种看图软件打开，甚至是在QQ等即时聊天窗口、电子邮件，Office丈档里查看这些图片都会中招!如图所示是此类病毒样本的检测截图，可以看到此病毒针对的漏洞是MS04 - 0280

出现此问题的原因很简单，因为有大量的应用软件都使用GdiPlus.dll这个文件来处理JPEG图片，进而使得该漏洞涉及的范围非常广，如图所示。

’当具有此漏洞的系统读取图片文件时，因为Window规定了相应缓冲区的大小，却没有检查图片数据量的大小，所以，黑客通过将图片文件异常变大使得图片数据塞满缓冲区，进而实现缓冲区溢出攻击。如果在存有此漏洞的计算机中使用管理员账户登录，并被利用此漏洞的图片木马成功入侵，那么，黑客将能够完全控制我们的Windows系统。所谓H完全控制竹，至少包括如下操作，：

。安装程序，

幸查看、更改或删除数据.

·创建拥有管理员等权限的新账户.

·创建服务。

由于受影响的系统包括Windows XP，

Windows Server 2003等热门的操作系统，以及包括使用率极高的Intemet Explorer等浏览器， 其通过脚本还原成.exe文件，最后在注册表启动

所以利用这个漏洞的黑客程序在网上非常的多， 项中添加此文件的调用键值，由此在下一次开机如图所示显示了搜索结果高达数万条之多。 时就能自动实现病毒的激活。

4.伪装成BMP图片

此外，还有一类是将病毒文件伪装成BMP图片文件，进而欺骗IE在用户发出浏览请求时，将其当成图片文件自动下载并显示。在这个过程中，网页中的恶意脚本将会查找客户端的Internet临时文件夹是否已经自动下载了这个图片文件——在如图所示中，可以看出IE会自动将网页中的一些内容下载到本机，其目的是为了下次浏览同一网页时能够起到加速浏览的效果。

接着，病毒会自动将下载到此目录的BMP文件拷贝到"C:\WINDOWS\Temp一目录，并将tlll - 118

5.病毒程序使用图片文件图标

病毒程序使用图片文件常用的图标，并将扩展名由“.exe竹修改为_.gif.exe竹，如“Virus.gif.exe竹o这样做可以起到很强的欺骗效果，原因有二：一是我们看文字内容已经习惯了从左到右，有相当一部分的人在看到HVirus.gif这个部分时就会停止下来，认为是一个图片文件.二是Windows默认设置中已经禁止显示扩展名，因此只能显示"Virus:.gif这个部分，而不会显示真正的扩展名+“.exe。

所以说，为了安全起见建议所有用户都禁用“隐藏已知文件类型的扩展名竹，以及禁用“隐藏受保护的操作系统文件(推荐)霄项，并选中誓显示所有文件和文件夹竹项。通过显示所有文件(包括病毒)，可以对系统中的文件经常进行观察，对这些文件产生印象，这样当突然出现一些病毒(垃圾)文件时，就有助于对这些文件进行判断和清除。