Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Вопрос дилетанта

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2007
    Сообщений
    68
    Вес репутации
    36

    Вопрос дилетанта

    Скажите, пожалуйста, может ли быть вирус в файлах с расширениями bmp и jpg? Курит при полной проверке в папке временных файлов нашел и убил какой-то вирус. Файл был с расширением bmp

  2. Реклама
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.01.2009
    Адрес
    Kharkov
    Сообщений
    76
    Вес репутации
    36
    думаю что да

    (щаз вот гуглил по вашему вопросу http://www.google.com.ua/search?hl=r...meta=&aq=f&oq= )

    1 - это когда исользуеться двойное расширение
    2 - когда в теле графического файлы - и картинка троян например
    3 - еще есть вариант, спец построыней файл bmp используемый уъязвимость в IE при просмотре таких файлов
    4 - может я что то пропустил, могу посовеветь просмотреть ссылки что гугл выдал
    5- если указали версию вирусу что был удален,
    можно было описание на него посмотреть.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Кидо, например, хранит свои копии в темпах с расширениями jpg, bmp, png

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    371
    Видал вирус в файлах ipg, gif. Если такое разширение, это не значит, что это картинка.
    Вот, кстати, свеженький. Ссылка вела на этот фаил, как на картинку. http://www.virustotal.com/ru/analisi...ebcc5d0a3546f3

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    это может быть что угодно - или просто нечто зловредное, лежащее с таковым расширением для того, что бы меньше привлекать к себе внимания, или эксплоит, или нормальный PE-файл и в системе внесены при этом изменения, что бы это расширение было расширением exefile. Файл может быть и заражен, а не просто быть самим по себе зловредным - до этого по этому адресу мог быть вполне нормальный файл...
    вариантов уйма...
    // ...

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    По этому поводу у меня такой вопрос: “Антивирусы на самом деле проверяет jpg, bmp, gif, mp3, avi ... файлы на вирусы, или только делает вид что проверяет?”. Ну то есть, проверяет только первые несколько байтов от файла, и если это не исполняемый файл, то файл считается безвредным. Иначе с трудом представляю, как антивирус будет проверять 700MB avi файл на присутствие вируса, и сколько это займет время.

    P.S. Если jpg, bmp, gif, mp3, avi файл на самом деле является EXE файлом, то в таком состоянии он сам по себе безвреден.

  8. #7
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    все зависит от антивируса и от выставленных там настроек. к тому же есть такая штука как "проверка по формату" - нет не важно расширение - оно игнорируется, в принципе...
    // ...

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Вообще то я имел виду то, как антивирус проверяет файлы, которые по формату и по расширению не является исполняемыми файлами. Поиск вирусов по формату, в файлах которые по расширению не является исполняемые наверно интересно, но смысла от этого мало. Даже если файл My_pic.jpg на самом деле есть файл zloj_virus.exe, сам по себе он некого вреда не представляет.

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    Даже если файл My_pic.jpg на самом деле есть файл zloj_virus.exe, сам по себе он некого вреда не представляет.
    еще как представляет

    1). Он таким образом может лежать и прятаться от глаз пользователя и/или от антивируса настроенного на проверку только определенных расширений. Многие современные малваре состоят отнюдь не из одного файла, а из многих, некоторые могут таким вот образом лежать на диске.
    2). Про эксплоиты не забываем.
    3). То, что у него такое расширение вовсе не значит, что его нельзя запустить как обычный экзешник двойным кликом - иными словами при наличии в системе определенных изменений расширение jpg ничем не будет уступать exe.
    4). Можно запустить исполняемый файл и с расширением jpg с определенными извращениями
    5). Из другого приложения можно и без особых извращений запустить исполняемый файл даже если у него расширение jpg даже ничего не меняя в системе - просто взять и запустить несмотря на расширение.
    // ...

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Пункты 1,3,4,5 подразумевают наличие в системе уже работающего вируса. А если работающего вируса нет, то все эти ухищрение ничего не дают.

    2. пункт возможен, но я за свою практику еще не разу не встретил вируса в файлах jpg, bmp, gif, mp3, avi. И даже если мне удастся найти такой вирус, большего вреда он все равно не сможет причинить (правила наработать все время в правами Администратора в наше время это уже норма). И в случаи с уязвимостьями в программах, антивирус все равно не спасет. Сомневаюсь, что антивирусы проверяют все midi, mp3 файлы на уязвимости Winamp пятилетней давности.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    Внедрение вируса в файлы mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave http://z-oleg.com/secur/virlist/vir1310.php
    или шифрование под jpg.vbs например печально известный "AnnaKournikova.jpg.vbs" данный червь использует уловку с "двойным" расширением файла-носителя вируса: "JPG.VBS". Присутствие ложного расширения "JPG" в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространялся по сети Интернет при помощи сообщений электронной почты.

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    И даже если мне удастся найти такой вирус, большего вреда он все равно не сможет причинить (правила наработать все время в правами Администратора в наше время это уже норма).
    в таком случае можно было и про остальные не спрашивать, раз Вам это не страшно - Вы спросили какой может быть вред - я ответил, а классифицировать по тому насколько опасно - это уж не мое...

    Пункты 1,3,4,5 подразумевают наличие в системе уже работающего вируса. А если работающего вируса нет, то все эти ухищрение ничего не дают.
    и что это значит в контексте нашего обсуждения?..
    да ничего - все равно нужно проверку делать по формату независимо от расширения - откуда антивирус знает есть другие компоненты малваре в системе или нет?..
    способов обхода расширения - воз и еще маленькая тележка, я перечислил лишь примеры использования, в принципе...

    пункт возможен, но я за свою практику еще не разу не встретил вируса в файлах jpg, bmp, gif, mp3, avi
    встречаются. не часто, но бывает. антивирус должен уметь и это детектить.


    как небольшой вывод: ни антивирус, ни пользователя не должно вводить в заблуждение наличие у файла "безопасного" расширения (например jpg), т.к это ни о чем ровным счетом не говорит - это может быть как зараженный файл или эксплоит, так и обычный ЕХЕ-файл, который может без проблем запускаться (быть запускаемым) и работать...
    // ...

  14. #13
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от SDA Посмотреть сообщение
    Внедрение вируса в файлы mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave http://z-oleg.com/secur/virlist/vir1310.php
    В данной статье нет информации об внедрении вирусов в mp3,avi,ogg,mpg …, там есть только информация об вирусе который уничтожает файлы с названными расширениями. Названный вирус не распространяется по средством mp3,avi,ogg,mpg ...., это типичный исполняемый файл с расширением EXE, SCR, VBS. А я все таки хочу увидеть настоящего JPG, MP3, AVI, без всяких там двойных расширений, или хотя бы информацию, как антивирус ищет вирусы в JPG, MP3, AVI файлах (если конечно ищет что то больше чем наличие MZ заголовка).

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    был не так давно вирус в wmv..

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    116
    вот мое мнение
    1) аксиома - без всяких изменений в системе можно запустить файл с любым расширением.
    2) аксиома - без всяких изменений в системе можно импортировать функции из файла с любым расширением (dll).
    3) файл должен быть РЕ

    пс
    кстати удобно грузить малварь через браузер в виде картинок )
    ппс
    BMP формат идеально подходит, там в заголовке указываеться смешение на данные, тоесть между заголовком и датой можно хоть черта лысого засунуть, при все при этом ВМР будет отображаться корректно в браузере и чудесно появляться в кеше откуда уже его можно выкрасть ))))
    пппс
    это не теория, есть код и он работает, думайте господа аналитики

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.10.2007
    Адрес
    Владивосток
    Сообщений
    298
    Вес репутации
    71
    А 500'й как всегда прав.

    проверка:
    1 берем ехе файл и меняем расширение на JPG (назовем еге 1.jpg)
    2 кладем в c:\
    3 открываем консоль
    4 даем команды
    с:
    cd \
    1.jpg
    Файл запускается

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    XiTri, уважаемый [500mhz] имел в виду несколько другое использование
    Но в целом вы оба правы

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Последний провре файл отсюда с форума имел расширение jpg_____
    Неплохая маскировка
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    195
    Цитата Сообщение от XiTri Посмотреть сообщение
    проверка:
    1 берем ехе файл и меняем расширение на JPG (назовем еге 1.jpg)
    2 кладем в c:\
    3 открываем консоль
    4 даем команды
    с:
    cd \
    1.jpg
    Файл запускается
    Я и не спорю о том что можно переименовывать EXE файл в JPG файл и как-то его запустить, но этот “KAK-TO” будет другая, посторонняя программа или сам пользователь (то есть в добавок с фальшивым JPG файлом должна прилагаться инструкция по его ручному запуску через CMD ).

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    990
    Вес репутации
    277
    А если еще и подойти с тем подходом который описал [500mhz] тут
    http://virusinfo.info/showthread.php?t=37493 то будет вообще весело фальшивка еще и запускатся будет автоматически причем без всяких хелповников .
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

Страница 1 из 2 12 Последняя

Похожие темы

  1. вопрос
    От Neo-473 в разделе Вредоносные программы
    Ответов: 5
    Последнее сообщение: 20.03.2010, 18:35
  2. Вопрос
    От Павлик Rofl в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 08.02.2010, 16:52
  3. Вопрос
    От Rimato в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 06.12.2009, 19:51
  4. Вопрос по КИС
    От Stec в разделе Антивирусы
    Ответов: 10
    Последнее сообщение: 26.07.2008, 23:15

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01260 seconds with 29 queries