如何清除此類病毒 - HTML:Iframe-gen

**b90220208** · 2009-02-25, 11:00 AM

請教各位:
可能很久沒scan,我的AntiVir突然警告我某些圖片有毒而該全為公司簡報欲用的!無法清又不能殺..

請問這是個甚麼樣的病毒呢?(如何發作/影響又是如何中的)

**RogerC** · 2009-03-01, 12:01 AM

此偵測名稱應該是說網頁中含有惡意連結。

此情形，有可能是誤判，如果可以的話，請將樣本寄給我（記得加密碼保護），我可以分析一下。

[email protected]

**b90220208** · 2009-03-01, 11:47 AM

感謝

但我被偵測到的是圖非網頁文件...我是不懂啦,難道圖片也會藏毒??

**FYI** · 2009-03-01, 04:31 PM

【問題】逛網站時AVAST看到圖片連結會亂叫？

**RogerC** · 2009-03-02, 08:51 PM

作者：b90220208

感謝

但我被偵測到的是圖非網頁文件...我是不懂啦,難道圖片也會藏毒??

會。利用MS07-017漏洞所產生的惡意檔案就是一個例子，請參考http://rogerspeaking.com/2007/04/343。

**b90220208** · 2009-03-05, 11:06 PM

當JPEG圖檔內含有特定的內容時，就會導致「GDIPlus.dll」在處理時發生緩衝區溢位的現象，因而導致系統出現安全性漏洞，這時駭客就可以趁機命令電腦下載病毒並且執行。

不好意思,再請教所謂jpeg圖片中的特殊內容又是啥東東? (...原諒我沒概念又要問)

**unknow8877** · 2009-03-06, 10:06 AM

作者：b90220208

當JPEG圖檔內含有特定的內容時，就會導致「GDIPlus.dll」在處理時發生緩衝區溢位的現象，因而導致系統出現安全性漏洞，這時駭客就可以趁機命令電腦下載病毒並且執行。

不好意思,再請教所謂jpeg圖片中的特殊內容又是啥東東? (...原諒我沒概念又要問)

特殊的內容指的是會讓處理資料的程式在處理時發生錯誤而造成異常

JPG圖檔有標準的檔案格式,圖檔中有很多資料欄位,每個欄位都有其應該要正確存放的數值資料

如果某個欄位中可以存放的數值資料有一定的限制範圍 ( 例如: 0 - 32768 ) , 當駭客將這個欄位的數值修改成處理程式可以處理的範圍以外 ( 例如: 65535 或大於32768 的數值甚致負數,字串... ) 處理程式可能就會產生執行上的錯誤,這時駭客若將可執行的機械碼放置於圖檔的資料段中,經過精確巧妙的調配後有機會可以讓程式執行到由駭客所存放在圖檔資料段中的程式碼

駭客的程式碼可以做甚麼? 建立新的管理者帳號,開啟電腦的後門,自動下載木馬安裝...幫你修補漏洞...都有可能....

嚴格來說這是程式 GDIPlus.dll 撰寫時不夠嚴謹而產生的弱點 , 這不僅只有微軟會有這樣的問題,很多軟體普遍都存在這樣的弱點,等待著駭客來開發利用.... ( 前幾天 ADobe 的 PDF 弱點攻擊也是一樣的原理 )