昨天，小编突然注意到鼠标异样闪烁，耳机里有“哒哒”声。查看各种日志，最后看到一个开源的UI包竟然请求过网络！

通过抓包，顺利找到了木马窝藏地址：一张图片！

图片挺正经的呀！没有异常，打开后是一个画着windows xp 蓝屏时的图片。看看图片二进制头：

科普一下

任何编译过的文件都有特有的二进制头！对安全很严格的网站上传图片文件都会检查二进制头，通常是读取2位头数据，再解包对比MIME是否相符，看下面图片例子：

图片1（下）：

图片2（下）：

图片……10（下）：

通过观察，bluescreen.jpg的二进制头根本不是.jpg，倒是像.png，而然，这张图片有大动作！

bluescreen.jpg改为bluescreen.zip,用7Z或者解压工具打开，你会看到：

吆，挺会伪装的嘛。

竟然隐藏着一个文件夹，创建日期是2010年！

竟然看到了可执行程序，好大胆的黑客！

解压到桌面时候，被安全软件拦截了！

这个木马我一周前发现了，竟然找了一周才发现，他会感染C:Windows里的任意一个系统应用，感染后又在其他盘里感染EXE安装包，等你杀毒后，在你安装本地的EXE时伺机感染C:Windows……你清除了这里，那里的木马运行了，清除了那里的，这里的又发作了……

还记得学校里机房的一个未命名病毒，最后整到图书馆停止开放一周！本来是360都能删除的病毒，360开机发现病毒，清除时候它复制进E盘（E盘不会关机清空）；删除E盘时候复制进C盘……最后360一直“壮观”的杀毒中……当然学生进来时候大多数是把U盘插进了电脑。

回到这个图片木马，也是同样心机婊。我尝试了Norton、Avast、小红伞……都不能识别 木马，Avast能在解压木马后报毒。

360、火绒4.0更不用说了，解压后都不会报毒。

Windows 7自带的防火墙，在双击木马文件时候报毒！

由于这个图片上社区作者从网上“百度”的，并不知情。作者检测证实木马图片后，当晚就删了图片，并更新了源码。

启示

互联网里处处都是病毒、木马，只是我们检测不出来而已。这周周五和周六两天的大清理，从小编的电脑里发现了2个蠕虫病毒和一个木马病毒 ，像小编这种以编程和网络分析为生的人竟然也中招。这个图片木马暂时还无法彻底清除。为了彻底清除所有病毒木马，小编拿到了了卡巴斯基全方位安全软件。