Win32.Mefir病毒和Jpeg等图片文件染毒的可能

今天Kaspersky发出警告说有文件染上了Worm.Win32.Mefir.c病毒。查看了一下记录，是在程序试图下载一个网页图片的时候，Kaspersky报警，并阻止了文件的下载。

Mefir病毒

Google: Mefir后综合各方信息了解到：

• 这是一个蠕虫病毒，如果自己执行了包含病毒的可执行程序，就会中毒。
• 当用户访问带有该恶意代码的网页时，如果用户计算机没有安装相应的Windows漏洞补丁，就会被感染。
• Mefir俗称“蜜虫”或者“美孚儿”，采用VC++语言编写，并经过加壳处理。
• 病毒在被感染计算机的后台遍历系统所有文件，在后缀.htm的文件中插入类似“<iframe src=***** width=0 height=0></iframe>”的代码，所指向的网址自然是含有传播该病毒恶意代码的网址。

看上去，这是一个对网站服务器杀伤力很大的病毒，网站服务器一旦感染，会对所有用户大面积散播，从而可能感染更多的网站服务器。我猜想包含Mefir恶意代码的网页还有类似点击网页扩大流量的功能。

Jpeg等图片文件染毒的可能

这次Kaspersky报警的是Jpeg文件，这是一个传统问题，图片文件有没有可能染毒？浏览图片会不会中毒？我原来的观念是图片文件不会染毒，看图更不可能中毒。不过研究了一番发现，虽然看图不可能中毒，但是图片染毒还是可能的。

从某人的博客上了解到，一般的JPEG文件,用:0xFF,0xD8这个SOI(Start of Image)标签代表图片的开始，0xFF,0xD9这个EOI(End of Image)标签代表图片的结束。但是感染了Mefir的Jpeg则不是这样，文件尾部加上了iframe字符串。

看来Kaspersky捕捉到了这些异常的iframe字符串，并通过某种分析，判定了Mefir病毒的存在。这种分析是直接把某网址列在黑名单里面呢，还是通过访问iframe指向的网页进行代码分析呢，就不清楚了。我猜想前一种的可能性比较大。后一种方法比较耗时并占用计算机资源。

所以说，Jpeg文件还是可以染毒的，包含了恶意字符串，自然算染毒。可是，这样的Jpeg图片还是可以看的，图片浏览程序会自动忽略后面的iframe，这些iframe加了也白加。

至于病毒干嘛要做这种只会暴露自己而对用户又无害的无聊事情呢，我猜想这是某个Mefir病毒的变种干的，修改这个病毒的某黑客除了把增大自己流量的iframe代码加到病毒里面，还无聊的吧.jpg文件设置成为感染对象。

对于这样的Jpeg文件，慎重起见，还是删除了比较好。万一某天有人把他的后缀改成.htm，说不定就会发作。

作者: 闹博 [nowbor]

波波坡原创文章 链接：http://www.bobopo.com/article/code/win32_mefir.htm

标签: IT

关键词: Win32.Mefir, 病毒, Jpeg, 图片文件染毒, 蜜虫, 美孚儿, 图片病毒, 图片染毒

创建日期: 2008-03-14