图片文件可能随JPEG漏洞染毒，浏览网页与阅读HTML格式的Emaill，上网聊天都请当心信息安全专家表示新的Windows漏洞，可能让含有JPEG图片的HTML格式邮件毒你千遍也不厌倦。专家表示，以色情当主旨的Mail一直是病毒得以得逞的主因，比如病毒(MIMAIL)利用电子邮件内容："我们的私人照片 My Private Photo"为主旨发出，并且附件文件伪装成压缩照片格式：photos.zip，果然引起高感染率。而现在不需要伪装，一个微软公布被归类为"严重"级别的新漏洞，即有可能利用应用程序处理JPEG图像时的缓冲区溢出漏洞，完全控制受感染的系统。

　　微软近日公布的JPEG处理(GDI+)缓冲溢出(MS04-028)漏洞会导致受影响的部件在处理JPEG图片时出现一个未被检查的缓冲区。恶意程序可利用这个漏洞完全控制受感染的系统，并可以在受感染的系统中执行恶意代码。专家解释：简单地说，黑客可能在你的婚纱照、你的新生儿出生照、你和女友的网络照片植入可执行的恶意文件，当你的朋友透过email或网站分享你的照片时，那怕只是预览都有可能中毒毒。由于这个漏洞，可使得恶意程序取得系统控制权，也就说它可能把系统内所有的 JPEG文件全都染毒，那么只要电脑没有安装最新的补丁程序，都有可能因为分享你的图片而遭受攻击。

　　当心图文并茂色情垃圾信，"毒"文并茂

　　由于JPEG 是最普遍的影像文件格式，这个漏洞的可能造成的影响让人不敢想像。每天开启网页浏览时需要它、用数码照相机拍摄照片时也需要它，可说几乎不可一日无它。我们认为："潜藏的病毒黑客有可能利用这个漏洞，将含有恶意代码的图片放在网站，或是透过色情电子邮件广为散播。"

　　病毒可能发动的攻击方式

　　1. 利用电子邮件发送经过修改的JPEG图片文件邮件，用户一旦打开附件，或者只是用HTML方式阅读,即会进行漏洞攻击。

　　2. 漏洞攻击的另一种方式是在本地目录或网络共享中放置一个经过处理的JPEG文件。用户预览这个共用的内容，或者只是简单地将鼠标放在文件上都将会被攻击。

　　3. 恶意网页中放置一个经过处理的JPEG文件，当用户访问包含此JPEG图片文件的网页时也会被感染。

　　4. 未打相关的补丁的Windows XP (含SP1)，Windows 2003，Office XP，Office 2003, Visio2002, Project 2002,IE6 (SP1)，Visual Studio .NET在处理受感染的JPEG文件时可能也会感染。

　　5. 老版本的Visio Viewer和PowerPoint Viewer处理的文件中包含有经过处理的JPEG文件。

　　6. 即时聊天工具如AIM，MSN Hotmail，QQ等。其它第三方软件，只要安装受此漏洞影响的组件，任何应用程序使用Gdiplus.dll处理JPEG图象，就会受到此漏洞攻击。

　　杀毒软件查杀病毒难度较大，一般杀毒软件的默认设置中，不会对JPEG图片文件进行安全扫描。虽然你可以对此进行调节，但问题是，JPEG文件有很多种后缀名可供选择。JPEG图像文件大概有11种后缀名可以选择，比如".icon"和".jpg2"等等。这会增加杀毒软件区别恶意JPEG图像文件的难度，因为，它可能造成巨大的系统资源消耗。

　　蠕虫已经出现

　　有信息安全专家曾表示："要利用这个公开的漏洞制造JPEG的病毒不是一件容易的事，除非该名黑客是个具有组合编程语言的高深技巧。"但是数个相关的溢出程序早已释出，蠕虫病毒也已经被制造出来了，所幸该蠕虫的通用性不强，尚未造成严重影响。

　　该蠕虫的原理是：

　　溢出成功后溢出程序代码去连接一远程的FTP服务器，从上面下载大约2M大小的木马程序，进行安装木马服务，同时也安装一份radmin的拷贝,使远程黑客可以像在本地一样操作计算机。另外，这个木马也下载了一些其它的小型工具软件比如fport,netcat, peek, rcrypt等等。

　　JPEG 溢出程序最先现在一些贴有色情的图片新闻组里。被感染的系统会多出一个类似　c:\windows\system32\system\的目录，此目录中可能包含nvsvc.exe和winrun.exe两个可执行文件，木马开放的监听端口是10002。

　　漏洞扫描可防漏网之鱼

　　尽管目前的蠕虫病毒影响还不是特别严重，但是话说回来，一向把微软当作主要目标的黑客，可能正虎视眈眈地想借此一夜成名，新的利用这个漏洞的蠕虫病毒也在被不断地被制造，更狠毒的可能在未来一些日子出现，所以我们呼吁用户最好赶紧修补漏洞。企业若担心终端用户或访客电脑未安装最新补丁程序，可采用下列工具扫描：

　　1.Microsoft GDI+ 检测工具有助于检测是否存在包含 GDI+ 组件的 Microsoft 产品(而非Windows 产品)。
　　http://www.microsoft.com/downloads/details.aspx?FamilyID=71cd9e74-7142-4780-83e5-ce54401da1d1&displaylang=zh-cn

　　http://www.microsoft.com/security/bulletins/200409_jpeg_tool.mspx

　　2. 为了更好的确认系统中的DLL文件(包含gdiplus.dll, mso.dll, sxs.dll, andwsxs.dll)是否存在问题,Tim Liston写了一个扫描工具, gdiscan.exe

　　3. Brunsen的工具包, 运行环境需 Microsoft .NET Framework 1.1，扫描程序GDI+Report可以扫描系统、本地和远程共享目录，并可成功扫描结果报告，报告会显示DLL文件的版本号以及是否是可受到感染的文件。

　　修补漏洞是当务之急

　　在扫描完成后便可得知系统中是否存在未及时更新的漏洞，微软公司早已释出了除上述的扫描检测工具外的补丁修补工具，详情请见微软安全公告 MS04-028

　　http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx

　　http://www.microsoft.com/china/technet/security/bulletin/MS04-028.mspx

　　我们建议您经常访问 Microsoft Windows Update Web 站点和 Microsoft Office Update Web站点以便在您的计算机上安装安全更新。

　　防毒防虫，多层防御

　　专家们还建议用户除安装相关的补丁文件外，安装防病毒软件并确保病毒库为最新的，以便防止一些溢出的攻击，但并非设置好防病毒软件后便可高枕无忧，网络安全需要多重和深层的防御措施。

　　有使用第三方软件如AIM，QQ的用户，请确认所使用的软件为当前最新版本，或联系厂商确认是否存在被攻击的可能。

　　对于未能及时打补丁的用户，有一些手工的加固措施：

　　1、使用网络浏览器比如IE的用户，关闭"多媒体"中"显示图片"的功能，不过这样就无法含有图片的网页中的图片了。

　　2、使用纯文本格式阅读电子邮件，以保护本身不受可能导致出现该漏洞的HTML电子邮件的攻击。不过如果电子邮件以纯文本格式阅读，邮件将不会显示图片，特别是文字、动画或其他丰富的内容。

　　对任何未安装补丁程序、未做相关安全加固设置的电脑，原则上都要被隔离，以确保网络安全。

　　（注：本文作者为启明星辰深圳分公司员工）