[注意]终于遇到传说中的图片病毒了-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[注意]终于遇到传说中的图片病毒了

2010-10-22 12:55 67153

[注意]终于遇到传说中的图片病毒了

wzanthony

2010-10-22 12:55

67153

当你拿到一个rar文件，打开后里面显示的内容是XXrcs.jpg或者XXrcs.png的时候，千万不要双击运行或者解压后运行，否则你将很可能着了某些人的道。。。

下面我将提供一个非病毒的样本，里面内容就只有一句MessageBox。该样本是一个rar文件，打开rar后，你可以看到一个JokeSrcs.png。将它解压出来，资源管理器里面也是JokeSrcs.png，这时候你可不能大意，不要以为看见扩展名是png，就是安全的。实际上这个文件的真实文件名是“Joke?gnp.scr”，你没有看错，文件名里面有一个问号，ascii码是3F的问号，但是由于系统的漏洞或者其他什么原因问号后面的部分将被反向显示，gnp.scr反向那就是rcs.png。scr是屏幕保护程序，它拥有和exe相同的执行权限，如果你不小心双击，那么你就中招了。

要制作这样的病毒文件，其实只要有一个样本那就简单了。文件的真实名称可以在cmd控制台里面看到，并且可以在控制台里面用copy命令进行替换，也就是说你的任何一个exe文件都可以用copy命令覆盖这个样本。

现在奇怪的是为什么问号后面的部分会被反向显示呢？不知道除了微软，是否还能有人可以给出一个答案呢？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

JokeSrcs.rar （4.82kb，1336次下载）

收藏・102

免费・7

打赏

最新回复 (141) 1 2 3 4 5 6 ▶
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2010-10-22 13:08 2 楼 0 虚拟机使用win rar 打开效果可以识别时 src文件上传的附件：测试.jpg （79.72kb，6169次下载） {BK]HOURJ]218Z%$@S}ZL8R.jpg （17.20kb，6116次下载）
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2010-10-22 13:08 3 楼 0 这么强？？？？以前有人拿我做过测试..一个png图片里面，用C32打开后可以看到类似于C:\windows\system32这些字样。
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 2010-10-22 13:10 4 楼 0 不错好东西 ~ 可惜不玩这个了~ 。SRC会被识别出来直接。EXE好像更好
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2010-10-22 13:11 5 楼 0 哎呀，，好神奇呀！！！大家测试一下:用F2(重命名文件),然后用方向键来控制插入符的位置。看看会有什么效果！！！！
木羊雪币： 1542 活跃值： (300) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2010-10-22 13:16 6 楼 0 LZ什么环境文件名能打问号？
yelusiku 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	yelusiku 2010-10-22 13:18 7 楼 0 神奇。。。lz怎么发现的？
guxiang1 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	guxiang1 2010-10-22 13:25 8 楼 0 杀软会不会报呢？
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2010-10-22 13:26 9 楼 0 再放一张神奇的 JokeS*gnp.scr 这几个字符的顺序确实有问题不管在哪你打出来都是存在这个问题而不仅仅是文件名 qq空间说说上传的附件： ZF_K]AW(@XA3VMN~UIPIBSX.jpg （49.60kb，6119次下载）
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-10-22 13:29 10 楼 0 是啊，总是会有蛛丝马迹的，不然我也要中招了。只是如果不注意的话就容易中招。。。别人发给我朋友的病毒，我也不知道第一份病毒是怎么出来，可能是驱动里面搞的吧？我只是拿来copy覆盖了下，就有这个非病毒的样本了。
pandyer 雪币： 129 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	pandyer 2010-10-22 13:29 11 楼 0 如果程序隐藏已知后缀名就显示出来了
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 2010-10-22 13:44 12 楼 0 没法活了图片格式也要加小心了
deryope 雪币： 232 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 141 粉丝 0 关注私信	deryope 1 2010-10-22 14:12 13 楼 0 Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 0C00D2560 4A 00 6F 00 6B 00 J.o.k. 0C00D2570 65 00 53 00 2E 20 67 00 6E 00 70 00 2E 00 73 00 e.S.. g.n.p...s. 0C00D2580 63 00 72 00 00 00 00 00 c.r..... 用WinHex看文件的名字发现，文件名中隐藏了一个 2E(.) 字符，看红色部分应该就是这个插入的 2E 20 导致的，使得系统无法正确识别到后面的真实后缀.scr。具体为什么会反过来显示并且这个2E 20中的20是什么，目前还不知道这个应该是属于利用Unicode控制符反转伪装后缀名的漏洞。0x202E是RLO 具体找到个资料：巧用Unicode控制字符破解Dz!论坛20字限制
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-10-22 14:29 14 楼 0 我刚刚想了下，rar可以在ring3生成这个文件，那应该不是驱动搞出来的。跟踪了一下发现结果确实如LS所说，这个问号实际上2E 20两个字符。 HANDLE hl = CreateFileW(L"JokeS\x202Egnp.scr", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL); if (hl != INVALID_HANDLE_VALUE) CloseHandle(hl); 这种写法就可以任意生成这样的文件了，以后别说是图片，什么格式都有可能被反转，什么格式都不安全。
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-10-22 14:34 15 楼 0 这个2E 20是一个整体，后面的全部反向显示，并不是2E当作“.”来用，那个“.”就是后面的“.”。
蓝色风影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	蓝色风影 2010-10-22 15:14 16 楼 0 真的很厉害啊什么样的都有啊无毒不在
snowdbg 雪币： 3171 活跃值： (71) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 2010-10-22 15:30 17 楼 0 额。。。。我以为大家都知道这个了呢。。。。这个是windows资源管理器的一个UNICODE倒叙显示问题，我第一次见这个都是一年多以前了，花样很多的
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 2010-10-22 15:33 18 楼 0 还有什么收藏的赶快交出来
snowdbg 雪币： 3171 活跃值： (71) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 2010-10-22 15:36 19 楼 0 网上传说中的TXT捆绑器之类的，也是应运这个漏洞的
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2010-10-22 15:54 20 楼 0 详细说说呗来点详细的资料呗~~ 是windows 资源管理器的问题那怎么qq空间也会有点不同呢？浏览器又不是资源管理器
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 10 关注私信	dragonltx 6 2010-10-22 15:57 21 楼 0 pencil兄好流氓！不错！很有意思！
NIKE凋零雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	NIKE凋零 2010-10-22 16:49 22 楼 0 好神奇啊....
shijiheima 雪币： 166 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 58 粉丝 0 关注私信	shijiheima 2010-10-22 16:52 23 楼 0 很好很强大，大家在扩展玩玩呗挺好玩的！！！
dljzt 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	dljzt 2010-10-22 18:59 24 楼 0 留着看......
团长大神雪币： 118 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	团长大神 2010-10-22 19:24 25 楼 0 就是字符串反转，将exe文件命名为SOStxt.exe 之后重命名时在SOS后点右键，选择插入Unicode控制字符RLO之后就变成SOSexe.txt的可执行文件。还有这个貌似36O会报警。还有一点，如果你删除这个文件你会发现………………
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wzanthony

发帖

430

回帖

RANK

关注

私信

他的文章

[求助]C#的可执行文件的加载过程貌似很特别啊？

[求助]为什么这个无壳的DLL看起来这么像有壳的？

[讨论]用默认浏览器在新窗口或新标签中打开URL链接的方法

[求助]如何获取父窗口而不是拥有者窗口？

[求助]关于硬盘分区表的磁头数的问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (141) 1 2 3 4 5 6 ▶
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2010-10-22 13:08 2 楼 0 虚拟机使用win rar 打开效果可以识别时 src文件上传的附件：测试.jpg （79.72kb，6169次下载） {BK]HOURJ]218Z%$@S}ZL8R.jpg （17.20kb，6116次下载）
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2010-10-22 13:08 3 楼 0 这么强？？？？以前有人拿我做过测试..一个png图片里面，用C32打开后可以看到类似于C:\windows\system32这些字样。
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 2010-10-22 13:10 4 楼 0 不错好东西 ~ 可惜不玩这个了~ 。SRC会被识别出来直接。EXE好像更好
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2010-10-22 13:11 5 楼 0 哎呀，，好神奇呀！！！大家测试一下:用F2(重命名文件),然后用方向键来控制插入符的位置。看看会有什么效果！！！！
木羊雪币： 1542 活跃值： (300) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2010-10-22 13:16 6 楼 0 LZ什么环境文件名能打问号？
yelusiku 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	yelusiku 2010-10-22 13:18 7 楼 0 神奇。。。lz怎么发现的？
guxiang1 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	guxiang1 2010-10-22 13:25 8 楼 0 杀软会不会报呢？
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2010-10-22 13:26 9 楼 0 再放一张神奇的 JokeS*gnp.scr 这几个字符的顺序确实有问题不管在哪你打出来都是存在这个问题而不仅仅是文件名 qq空间说说上传的附件： ZF_K]AW(@XA3VMN~UIPIBSX.jpg （49.60kb，6119次下载）
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-10-22 13:29 10 楼 0 是啊，总是会有蛛丝马迹的，不然我也要中招了。只是如果不注意的话就容易中招。。。别人发给我朋友的病毒，我也不知道第一份病毒是怎么出来，可能是驱动里面搞的吧？我只是拿来copy覆盖了下，就有这个非病毒的样本了。
pandyer 雪币： 129 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	pandyer 2010-10-22 13:29 11 楼 0 如果程序隐藏已知后缀名就显示出来了
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 2010-10-22 13:44 12 楼 0 没法活了图片格式也要加小心了
deryope 雪币： 232 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 141 粉丝 0 关注私信	deryope 1 2010-10-22 14:12 13 楼 0 Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 0C00D2560 4A 00 6F 00 6B 00 J.o.k. 0C00D2570 65 00 53 00 2E 20 67 00 6E 00 70 00 2E 00 73 00 e.S.. g.n.p...s. 0C00D2580 63 00 72 00 00 00 00 00 c.r..... 用WinHex看文件的名字发现，文件名中隐藏了一个 2E(.) 字符，看红色部分应该就是这个插入的 2E 20 导致的，使得系统无法正确识别到后面的真实后缀.scr。具体为什么会反过来显示并且这个2E 20中的20是什么，目前还不知道这个应该是属于利用Unicode控制符反转伪装后缀名的漏洞。0x202E是RLO 具体找到个资料：巧用Unicode控制字符破解Dz!论坛20字限制
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-10-22 14:29 14 楼 0 我刚刚想了下，rar可以在ring3生成这个文件，那应该不是驱动搞出来的。跟踪了一下发现结果确实如LS所说，这个问号实际上2E 20两个字符。 HANDLE hl = CreateFileW(L"JokeS\x202Egnp.scr", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL); if (hl != INVALID_HANDLE_VALUE) CloseHandle(hl); 这种写法就可以任意生成这样的文件了，以后别说是图片，什么格式都有可能被反转，什么格式都不安全。
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-10-22 14:34 15 楼 0 这个2E 20是一个整体，后面的全部反向显示，并不是2E当作“.”来用，那个“.”就是后面的“.”。
蓝色风影雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	蓝色风影 2010-10-22 15:14 16 楼 0 真的很厉害啊什么样的都有啊无毒不在
snowdbg 雪币： 3171 活跃值： (71) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 2010-10-22 15:30 17 楼 0 额。。。。我以为大家都知道这个了呢。。。。这个是windows资源管理器的一个UNICODE倒叙显示问题，我第一次见这个都是一年多以前了，花样很多的
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 2010-10-22 15:33 18 楼 0 还有什么收藏的赶快交出来
snowdbg 雪币： 3171 活跃值： (71) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 2010-10-22 15:36 19 楼 0 网上传说中的TXT捆绑器之类的，也是应运这个漏洞的
LuckyG 雪币： 275 活跃值： (51) 能力值： ( LV3，RANK：30 ) 在线值：发帖 36 回帖 489 粉丝 1 关注私信	LuckyG 2010-10-22 15:54 20 楼 0 详细说说呗来点详细的资料呗~~ 是windows 资源管理器的问题那怎么qq空间也会有点不同呢？浏览器又不是资源管理器
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 10 关注私信	dragonltx 6 2010-10-22 15:57 21 楼 0 pencil兄好流氓！不错！很有意思！
NIKE凋零雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	NIKE凋零 2010-10-22 16:49 22 楼 0 好神奇啊....
shijiheima 雪币： 166 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 58 粉丝 0 关注私信	shijiheima 2010-10-22 16:52 23 楼 0 很好很强大，大家在扩展玩玩呗挺好玩的！！！
dljzt 雪币： 136 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	dljzt 2010-10-22 18:59 24 楼 0 留着看......
团长大神雪币： 118 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	团长大神 2010-10-22 19:24 25 楼 0 就是字符串反转，将exe文件命名为SOStxt.exe 之后重命名时在SOS后点右键，选择插入Unicode控制字符RLO之后就变成SOSexe.txt的可执行文件。还有这个貌似36O会报警。还有一点，如果你删除这个文件你会发现………………
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复