传说中的图片病毒--大家可要注意了

下沙论坛

当你拿到一个rar文件，打开后里面显示的内容是XXrcs.jpg或者XXrcs.png的时候，千万不要双击运行或者解压后运行，否则你将很可能着了某些人的道。。。

下面我将提供一个非病毒的样本，里面内容就只有一句MessageBox。该样本是一个rar文件，打开rar后，你可以看到一个JokeSrcs.png。将它解压出来，资源管理器里面也是JokeSrcs.png，这时候你可不能大意，不要以为看见扩展名是png，就是安全的。实际上这个文件的真实文件名是“Joke?gnp.scr”，你没有看错，文件名里面有一个问号，ascii码是3F的问号，但是由于系统的漏洞或者其他什么原因问号后面的部分将被反向显示，gnp.scr反向那就是rcs.png。scr是屏幕保护程序，它拥有和exe相同的执行权限，如果你不小心双击，那么你就中招了。

要制作这样的病毒文件，其实只要有一个样本那就简单了。文件的真实名称可以在cmd控制台里面看到，并且可以在控制台里面用copy命令进行替换，也就是说你的任何一个exe文件都可以用copy命令覆盖这个样本。

现在奇怪的是为什么问号后面的部分会被反向显示呢？不知道除了微软，是否还能有人可以给出一个答案呢？
1 d4 r3 g7 e0 i' N- w" S6 `
) F3 A+ ^1 z2 ]9 u6 `

测试样本，只是一个消息框不是病毒可以放心运行：

JokeSrcs.rar (4.82 KB, 下载次数: 3)

2010-12-10 14:31 上传

点击文件名下载附件
下载积分: 下沙币 -1 元