当心！你收到的图片藏有木马！！

salangman

　　“这是今年第47次出任务！”穿着黑色风衣的木马展开纸条，“任务：潜入电脑管家把守的XX电脑，弹出广告骚扰用户！”看完纸条后木马掏出打火机，熟练地烧掉了纸条，消失在冬天寒冷的夜空下……
　　它不是一般的木马，从其100%任务成功率可以看出它身负“绝技”，能逃过各大安全软件的搜查。在被腾讯电脑管家拦下后，木马从容地接受搜查，一点没有慌乱。是的，这样的场面以前上演了46次，都能顺利的通过，“这次，也不例外！”木马自信满满的暗道。
　　然而，腾讯电脑管家的安检结果显示它是不怀好意的入侵者，是赤裸裸的间谍。木马立即抗议：“我有‘北京富邦展瑞科技有限公司’颁发的数字签名，我是一等一的良民，没干过任何坏事！”“我们早就注意到你了，凡是你进入过的电脑都会无缘无故地弹出广告，还说意思说自己是良民？”腾讯安全工程师押着木马边走边痛斥着它的罪行！

　　腾讯电脑管家是唯一能查杀图片间谍木马的安全软件
　　在审讯室里，木马依然嚣张：“你们要我坦白什么！我是无辜的！我什么都没有干！电脑弹出广告关我什么事？没有证据就乱抓人，我要去告你们！”面对不见棺材不掉泪的木马，腾讯安全工程师默默地开启投影仪，回放木马以前作案的全过程：
　　木马浑水摸鱼进入用户电脑后，首先从 http://update.51topsoft.com/wow-zk.bmp处下载图片wow.bmp到用户的临时目录%Temp%下，该图片的尾部含有经过加密的shellcode代码和PE文件，接着将%Temp%\wow.bmp载入内存中，通过Xor 0x4C对加密数据进行解密，然后再通过Call指令跳转到图片相对偏移0x2F0处并执行Shellcode代码，ShellCode代码会将文件中的PE Loader和DLL的数据进行解密，最后通过URLDownloadToCacheFileA下载加密的配置文件，解密后获得黑客的指令，根据指令访问网站刷流量、弹出广告。
　　木马作恶流程图

　　此时，木马已经面如灰色，但依然不开口，腾讯安全工程师继续道：“其实，你本身问题并不大，迷惑了不少同行，关键在于那张图片。从外表看，图片看一切正常，可里面却包藏了恶意指令，只有你自己可以读取。你的行为跟2006年的一起间谍案有异曲同工之妙，此前英国驻俄外交官在莫斯科从事间谍活动，他们用于收发秘密情报的工具，竟是一块看似普通的石头，但石头中间被挖空了，里面装有蓄电池和加密情报收发机。”
　　“别说了，我招，我全招！”

　　读取指令后木马会删除图片抹去痕迹
　　目前，仅有腾讯电脑管家关注到有木马利用图片接受恶意指令作恶，因此腾讯电脑管家是唯一可以查收此类木马的安全软件，只要大家保证腾讯电脑管家正常运行就可以高枕勿忧。

Shapor

管家啥时候这么牛皮了？？？？？？小A加OP，无视一切病毒。

故人已时过境迁

谢谢这个故事，不错哦，蛮好的

daxuefugai

装了管家，没有发现有这种功能，看来偶是文明上网的好孩子

virusdefender

利用图片接受恶意指令

那么我把代码放在mp3的尾部，那么是不是就说唯一可以查收此类音乐木马的安全软件呢？

E剑忠晴

Q管的广告？

蛾不过如此

好水i