基于圖片隱寫(xiě)的病毒攻擊

1引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)病毒技術(shù)也在不斷發(fā)展，病毒數(shù)量和類型都在不斷增多，危害也在逐漸增強(qiáng)。一般病毒會(huì)破壞計(jì)算機(jī)的數(shù)據(jù)信息，占用磁盤(pán)空間或搶占系統(tǒng)資源等。因此本文就病毒的多樣性來(lái)入手，用圖片和文檔來(lái)作為病毒傳播途徑，通過(guò)豌豆莢來(lái)攻擊安卓手機(jī)，在實(shí)現(xiàn)過(guò)程中體現(xiàn)了很大創(chuàng)新性和借鑒作用。

2本作品總體設(shè)計(jì)

本作品首先將惡意代碼隱藏到圖片中，將圖片通過(guò)QQ表情傳播到目標(biāo)電腦，然后通過(guò)word文檔將宏病毒傳播至目標(biāo)主機(jī)，宏病毒將QQ表情惡意代碼提取并運(yùn)行，再操控豌豆莢對(duì)目標(biāo)手機(jī)添加自己的惡意手機(jī)惡意程序，最后清理手機(jī)的相關(guān)記錄，清理PC端日志等相關(guān)記錄文件，整個(gè)攻擊過(guò)程完成。

3實(shí)現(xiàn)方案

3.1圖片隱寫(xiě)與提取處理

在Matlab中實(shí)現(xiàn)了對(duì)惡意代碼的隱寫(xiě)，本文用的是順序的隱寫(xiě)方式，由于Matlab可以直接處理圖像矩陣，故圖像隱寫(xiě)和提取較簡(jiǎn)單。本文用LSB（最不重要位替換算法），即用加密信息替換掉所使用載體中的不重要部分，以達(dá)到對(duì)信息進(jìn)行編碼的目的。使用最不重要位利用了視覺(jué)的掩蔽效應(yīng)，防止在視覺(jué)上引起攻擊者的懷疑。本作品用C語(yǔ)言實(shí)現(xiàn)了對(duì)圖像LSB的隱寫(xiě)和提取。

（1）本文所使用的算法：

a.請(qǐng)用戶輸入原始位圖文件名，隱寫(xiě)程序產(chǎn)生的新位圖文件名和要保密的文字；b.將輸入的文字信息按位離散到一個(gè)動(dòng)態(tài)數(shù)組中；c.打開(kāi)原始位圖文件和隱寫(xiě)位圖文件，若無(wú)法打開(kāi)則退出程序；d.圖像文件的前54字節(jié)直接復(fù)制，對(duì)于后面的數(shù)據(jù)，將密文數(shù)據(jù)逐個(gè)附加到該位圖文件實(shí)際位圖數(shù)據(jù)部分的每一個(gè)字節(jié)的LSB；e.關(guān)閉流文件，退出程序。

（2）提取部分

提取部分和嵌入部分作用相反，將提取出來(lái)的文件直接寫(xiě)成bat文件，并用system（“***.bat”）可以使批處理文件直接運(yùn)行。該算法為上面算法的逆過(guò)程，所以不做詳細(xì)介紹。

3.2計(jì)算機(jī)病毒

本文采用宏病毒傳播的方式，在宏中提供了一個(gè)AutoOpen，可以在打開(kāi)文檔時(shí)候直接運(yùn)行宏病毒，本文為了誘騙用戶打開(kāi)文檔時(shí)啟用宏，將文檔開(kāi)始顯示為亂碼，然后需要啟用宏來(lái)查看正確內(nèi)容，來(lái)誘導(dǎo)用戶啟用宏。

當(dāng)惡意程序運(yùn)行后，利用豌豆莢漏洞攻擊安卓手機(jī)。由于谷歌在安卓開(kāi)發(fā)上，提供了一套可調(diào)試的程序和API，也就是ADB（Android Debug Bridge），豌豆莢在實(shí)現(xiàn)控制和調(diào)試安卓手機(jī)的時(shí)候需要用到ADB功能，但是豌豆莢沒(méi)有很好地封裝谷歌提供的ADB因此可以利用命令行方式訪問(wèn)豌豆莢程序從而實(shí)現(xiàn)控制安卓手機(jī)。其中wandoujia_daemon.exe就是一個(gè)沒(méi)有封裝過(guò)的ADB，因此可以利用豌豆莢進(jìn)行漏洞攻擊。

本文在后續(xù)清理惡意軟件所生成的軟件，包括惡意軟件自身，還有其他電腦端的時(shí)候使用的主要語(yǔ)言有：命令行、vbs。其中選擇命令行，是因?yàn)樾枰{(diào)用豌豆莢的軟件從而實(shí)現(xiàn)繞過(guò)豌豆莢來(lái)控制手機(jī)終端，而使用VBS（VBScript的進(jìn)一步簡(jiǎn)寫(xiě)），是由于VBS是基于Visual Basic的腳本語(yǔ)言，不需要對(duì)其進(jìn)行編譯，宿主（host）直接解釋源代碼并執(zhí)行。其中結(jié)束進(jìn)程實(shí)現(xiàn)代碼如下：

Dim colProcessList

’以金山衛(wèi)士進(jìn)程ksafetray.exe為例

Set colProcessList = objWMIService.ExecQuery（\"Select * from Win32_Process Where Name = ’Ksafetray.exe’\"）

For Each objProcess in colProcessList

objProcess.Terminate（ ）

Next

set colProcessList = Nothing

Set WshNetwork = WScript.Createobject（\"WScript.Network\"）

computername=WshNetwork.ComputerName

set fso=createobject（\"scripting.filesystemobject\"）

’獲取進(jìn)程并寫(xiě)入生成的進(jìn)程列表

Set colProcesses = objWMIService.ExecQuery （\"Select * from Win32_Process\"）

dim ProcessesStr

For Each objProcess in colProcesses ’枚舉進(jìn)程

ProcessesStr=ProcessesStr objProcess.Name objProcess.ProcessID vbcrlf

proc.writeline （\"進(jìn)程名：\"objProcess.Name Chr（32） Chr（32） \"PID：\" objProcess.ProcessID vbclf）

Next

proc.Close

3.3手機(jī)病毒

Android是一種以Linux為基礎(chǔ)的開(kāi)放源代碼操作系統(tǒng)，主要使用于便攜設(shè)備。本文實(shí)現(xiàn)的病毒繞過(guò)了手機(jī)殺毒軟件360安全衛(wèi)士，本文實(shí)現(xiàn)一種簡(jiǎn)單的病毒作為范例，即在目標(biāo)手機(jī)上實(shí)現(xiàn)了發(fā)送短信，并刪除發(fā)送短信的功能，消耗用戶資費(fèi)。

本文實(shí)現(xiàn)了對(duì)Android手機(jī)病毒部分的設(shè)計(jì)，其設(shè)計(jì)方案如圖。