首页
社区
课程
招聘
[注意]终于遇到传说中的图片病毒了
发表于: 2010-10-22 12:55 67682

[注意]终于遇到传说中的图片病毒了

2010-10-22 12:55
67682

当你拿到一个rar文件,打开后里面显示的内容是XXrcs.jpg或者XXrcs.png的时候,千万不要双击运行或者解压后运行,否则你将很可能着了某些人的道。。。

下面我将提供一个非病毒的样本,里面内容就只有一句MessageBox。该样本是一个rar文件,打开rar后,你可以看到一个JokeSrcs.png。将它解压出来,资源管理器里面也是JokeSrcs.png,这时候你可不能大意,不要以为看见扩展名是png,就是安全的。实际上这个文件的真实文件名是“Joke?gnp.scr”,你没有看错,文件名里面有一个问号,ascii码是3F的问号,但是由于系统的漏洞或者其他什么原因问号后面的部分将被反向显示,gnp.scr反向那就是rcs.png。scr是屏幕保护程序,它拥有和exe相同的执行权限,如果你不小心双击,那么你就中招了。

要制作这样的病毒文件,其实只要有一个样本那就简单了。文件的真实名称可以在cmd控制台里面看到,并且可以在控制台里面用copy命令进行替换,也就是说你的任何一个exe文件都可以用copy命令覆盖这个样本。

现在奇怪的是为什么问号后面的部分会被反向显示呢?不知道除了微软,是否还能有人可以给出一个答案呢?


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (141)
雪    币: 275
活跃值: (51)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
虚拟机使用win rar 打开效果 可以识别时 src文件
上传的附件:
2010-10-22 13:08
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这么强????以前有人拿我做过测试..一个png图片里面,用C32打开后可以看到类似于C:\windows\system32这些字样。
2010-10-22 13:08
0
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
4
不错 好东西 ~ 可惜不玩这个了~
。SRC会被识别出来 直接。EXE好像更好
2010-10-22 13:10
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
哎呀,,好神奇呀!!!

大家测试一下:用F2(重命名文件),然后用方向键来控制插入符的位置。看看会有什么效果!!!!
2010-10-22 13:11
0
雪    币: 1556
活跃值: (310)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
6
LZ什么环境 文件名能打问号?
2010-10-22 13:16
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
神奇。。。lz怎么发现的?
2010-10-22 13:18
0
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
杀软会不会报呢?
2010-10-22 13:25
0
雪    币: 275
活跃值: (51)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
再放一张神奇的
JokeS*gnp.scr

这几个字符的顺序确实有问题
不管在哪你打出来都是存在这个问题 而不仅仅是文件名
qq空间说说
上传的附件:
2010-10-22 13:26
0
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
是啊,总是会有蛛丝马迹的,不然我也要中招了。
只是如果不注意的话就容易中招。。。



别人发给我朋友的病毒,我也不知道第一份病毒是怎么出来,可能是驱动里面搞的吧?
我只是拿来copy覆盖了下,就有这个非病毒的样本了。
2010-10-22 13:29
0
雪    币: 129
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
如果程序隐藏已知后缀名就显示出来了
2010-10-22 13:29
0
雪    币: 266
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
没法活了  图片格式也要加小心了
2010-10-22 13:44
0
雪    币: 232
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
0C00D2560 4A 00 6F 00 6B 00 J.o.k.
0C00D2570 65 00 53 00 2E 20 67 00 6E 00 70 00 2E 00 73 00 e.S.. g.n.p...s.
0C00D2580 63 00 72 00 00 00 00 00 c.r.....


用WinHex看文件的名字发现,文件名中隐藏了一个 2E(.) 字符,看红色部分
应该就是这个插入的 2E 20 导致的,使得系统无法正确识别到后面的真实后缀.scr。具体为什么会反过来显示并且这个2E 20中的20是什么,目前还不知道

这个应该是属于利用Unicode控制符反转伪装后缀名的漏洞。0x202E是RLO

具体找到个资料:巧用Unicode控制字符破解Dz!论坛20字限制
2010-10-22 14:12
0
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
我刚刚想了下,rar可以在ring3生成这个文件,那应该不是驱动搞出来的。跟踪了一下发现结果确实如LS所说,这个问号实际上2E 20两个字符。
	HANDLE hl = CreateFileW(L"JokeS\x202Egnp.scr", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL);
	if (hl != INVALID_HANDLE_VALUE)
		CloseHandle(hl);

这种写法就可以任意生成这样的文件了,以后别说是图片,什么格式都有可能被反转,什么格式都不安全。
2010-10-22 14:29
0
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
这个2E 20是一个整体,后面的全部反向显示,并不是2E当作“.”来用,那个“.”就是后面的“.”。
2010-10-22 14:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
真的很厉害啊   什么样的都有啊 无毒不在
2010-10-22 15:14
0
雪    币: 3171
活跃值: (76)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
17
额。。。。我以为大家都知道这个了呢。。。。
这个是windows资源管理器的一个UNICODE倒叙显示问题,我第一次见这个都是一年多以前了 ,花样很多的
2010-10-22 15:30
0
雪    币: 1163
活跃值: (137)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
18
还有什么收藏的赶快交出来
2010-10-22 15:33
0
雪    币: 3171
活跃值: (76)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
19
网上传说中的TXT捆绑器之类的,也是应运这个漏洞的
2010-10-22 15:36
0
雪    币: 275
活跃值: (51)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
20
详细说说呗
来点详细的资料呗~~
是windows 资源管理器的问题那怎么qq空间也会有点不同呢?浏览器又不是资源管理器
2010-10-22 15:54
0
雪    币: 363
活跃值: (338)
能力值: ( LV15,RANK:310 )
在线值:
发帖
回帖
粉丝
21
pencil兄好流氓!不错!很有意思!
2010-10-22 15:57
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
好神奇啊....
2010-10-22 16:49
0
雪    币: 176
活跃值: (267)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
很好很强大,大家在扩展玩玩呗  挺好玩的!!!
2010-10-22 16:52
0
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
留着看......
2010-10-22 18:59
0
雪    币: 118
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
就是字符串反转,将exe文件命名为SOStxt.exe  之后重命名时在SOS后点右键,选择插入Unicode控制字符RLO之后就变成SOSexe.txt的可执行文件。还有这个貌似36O会报警。还有一点,如果你删除这个文件你会发现………………
2010-10-22 19:24
0
游客
登录 | 注册 方可回帖
返回
//