Скажите, пожалуйста, может ли быть вирус в файлах с расширениями bmp и jpg? Курит при полной проверке в папке временных файлов нашел и убил какой-то вирус. Файл был с расширением bmp
Printable View
Скажите, пожалуйста, может ли быть вирус в файлах с расширениями bmp и jpg? Курит при полной проверке в папке временных файлов нашел и убил какой-то вирус. Файл был с расширением bmp
думаю что да
(щаз вот гуглил по вашему вопросу [url]http://www.google.com.ua/search?hl=ru&q=%D0%B2%D0%B8%D1%80%D1%83%D1%81+%D1%84%D0%B0%D0%B9%D0%BB+%D1%81+%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC+bmp&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&meta=&aq=f&oq=[/url] )
1 - это когда исользуеться двойное расширение
2 - когда в теле графического файлы - и картинка троян например
3 - еще есть вариант, спец построыней файл bmp используемый уъязвимость в IE при просмотре таких файлов
4 - может я что то пропустил, могу посовеветь просмотреть ссылки что гугл выдал
5- если указали версию вирусу что был удален,
можно было описание на него посмотреть.
Кидо, например, хранит свои копии в темпах с расширениями jpg, bmp, png
Видал вирус в файлах ipg, gif. Если такое разширение, это не значит, что это картинка.
Вот, кстати, свеженький. Ссылка вела на этот фаил, как на картинку. [url]http://www.virustotal.com/ru/analisis/cdcd7c130622f12c1febcc5d0a3546f3[/url]
это может быть что угодно - или просто нечто зловредное, лежащее с таковым расширением для того, что бы меньше привлекать к себе внимания, или эксплоит, или нормальный PE-файл и в системе внесены при этом изменения, что бы это расширение было расширением exefile. Файл может быть и заражен, а не просто быть самим по себе зловредным - до этого по этому адресу мог быть вполне нормальный файл...
вариантов уйма...
По этому поводу у меня такой вопрос: “Антивирусы на самом деле проверяет jpg, bmp, gif, mp3, avi ... файлы на вирусы, или только делает вид что проверяет?”. Ну то есть, проверяет только первые несколько байтов от файла, и если это не исполняемый файл, то файл считается безвредным. Иначе с трудом представляю, как антивирус будет проверять 700MB avi файл на присутствие вируса, и сколько это займет время.
P.S. Если jpg, bmp, gif, mp3, avi файл на самом деле является EXE файлом, то в таком состоянии он сам по себе безвреден.
все зависит от антивируса и от выставленных там настроек. к тому же есть такая штука как "проверка по формату" - нет не важно расширение - оно игнорируется, в принципе...
[SIZE=2]Вообще то я имел виду то, как антивирус проверяет файлы, которые по формату и по расширению не является исполняемыми файлами. Поиск вирусов по формату, в файлах которые по расширению не является исполняемые наверно интересно, но смысла от этого мало. Даже если файл My_pic.jpg на самом деле есть файл zloj_virus.exe, сам по себе он некого вреда не представляет. [/SIZE]
[QUOTE]Даже если файл My_pic.jpg на самом деле есть файл zloj_virus.exe, сам по себе он некого вреда не представляет.[/QUOTE]
еще как представляет:)
1). Он таким образом может лежать и прятаться от глаз пользователя и/или от антивируса настроенного на проверку только определенных расширений. Многие современные малваре состоят отнюдь не из одного файла, а из многих, некоторые могут таким вот образом лежать на диске.
2). Про эксплоиты не забываем.
3). То, что у него такое расширение вовсе не значит, что его нельзя запустить как обычный экзешник двойным кликом - иными словами при наличии в системе определенных изменений расширение jpg ничем не будет уступать exe.
4). Можно запустить исполняемый файл и с расширением jpg с определенными извращениями
5). Из другого приложения можно и без особых извращений запустить исполняемый файл даже если у него расширение jpg даже ничего не меняя в системе - просто взять и запустить несмотря на расширение.
Пункты 1,3,4,5 подразумевают наличие в системе [u]уже[/u] работающего вируса. А если работающего вируса нет, то все эти ухищрение ничего не дают.
2. пункт возможен, но я за свою практику еще не разу не встретил вируса в файлах jpg, bmp, gif, mp3, avi. И даже если мне удастся найти такой вирус, большего вреда он все равно не сможет причинить (правила наработать все время в правами Администратора в наше время это уже норма). И в случаи с уязвимостьями в программах, антивирус все равно не спасет. Сомневаюсь, что антивирусы проверяют все midi, mp3 файлы на уязвимости Winamp пятилетней давности.
Внедрение вируса в файлы mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave [url]http://z-oleg.com/secur/virlist/vir1310.php[/url]
или шифрование под jpg.vbs например печально известный "AnnaKournikova.jpg.vbs" данный червь использует уловку с "двойным" расширением файла-носителя вируса: "JPG.VBS". Присутствие ложного расширения "JPG" в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространялся по сети Интернет при помощи сообщений электронной почты.
[QUOTE]И даже если мне удастся найти такой вирус, большего вреда он все равно не сможет причинить (правила наработать все время в правами Администратора в наше время это уже норма).[/QUOTE]
в таком случае можно было и про остальные не спрашивать, раз Вам это не страшно - Вы спросили какой может быть вред - я ответил, а классифицировать по тому насколько опасно - это уж не мое...
[QUOTE]Пункты 1,3,4,5 подразумевают наличие в системе уже работающего вируса. А если работающего вируса нет, то все эти ухищрение ничего не дают.[/QUOTE]
и что это значит в контексте нашего обсуждения?..
да ничего - все равно нужно проверку делать по формату независимо от расширения - откуда антивирус знает есть другие компоненты малваре в системе или нет?..
способов обхода расширения - воз и еще маленькая тележка, я перечислил лишь примеры использования, в принципе...
[QUOTE]пункт возможен, но я за свою практику еще не разу не встретил вируса в файлах jpg, bmp, gif, mp3, avi[/QUOTE]
встречаются. не часто, но бывает. антивирус должен уметь и это детектить.
[I]как небольшой вывод:[/I] [B]ни антивирус, ни пользователя не должно вводить в заблуждение наличие у файла "безопасного" расширения (например jpg), т.к это ни о чем ровным счетом не говорит - это может быть как зараженный файл или эксплоит, так и обычный ЕХЕ-файл, который может без проблем запускаться (быть запускаемым) и работать... [/B]
[quote=SDA;338973]Внедрение вируса в файлы mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave [url]http://z-oleg.com/secur/virlist/vir1310.php[/url][/quote] В данной статье нет информации об внедрении вирусов в mp3,avi,ogg,mpg …, там есть только информация об вирусе который [u]уничтожает[/u] файлы с названными расширениями. Названный вирус не распространяется по средством mp3,avi,ogg,mpg ...., это типичный исполняемый файл с расширением EXE, SCR, VBS. А я все таки хочу увидеть настоящего JPG, MP3, AVI, без всяких там двойных расширений, или хотя бы информацию, как антивирус ищет вирусы в JPG, MP3, AVI файлах (если конечно ищет что то больше чем наличие MZ заголовка).
был не так давно вирус в wmv..
вот мое мнение
1) аксиома - без всяких изменений в системе можно запустить файл с любым расширением.
2) аксиома - без всяких изменений в системе можно импортировать функции из файла с любым расширением (dll).
3) файл должен быть РЕ
пс
кстати удобно грузить малварь через браузер в виде картинок )
ппс
BMP формат идеально подходит, там в заголовке указываеться смешение на данные, тоесть между заголовком и датой можно хоть черта лысого засунуть, при все при этом ВМР будет отображаться корректно в браузере и чудесно появляться в кеше откуда уже его можно выкрасть ))))
пппс
это не теория, есть код и он работает, думайте господа аналитики
А 500'й как всегда прав.
проверка:
1 берем ехе файл и меняем расширение на JPG (назовем еге 1.jpg)
2 кладем в c:\
3 открываем консоль
4 даем команды
с:
cd \
1.jpg
Файл запускается
[B]XiTri[/B], уважаемый [B][500mhz][/B] имел в виду несколько другое использование :)
Но в целом вы оба правы :)
Последний провре файл отсюда с форума имел расширение jpg_____
Неплохая маскировка
[quote=XiTri;340214]
проверка:
1 берем ехе файл и меняем расширение на JPG (назовем еге 1.jpg)
2 кладем в c:\
3 открываем консоль
4 даем команды
с:
cd \
1.jpg
Файл запускается[/quote]
Я и не спорю о том что можно переименовывать EXE файл в JPG файл и как-то его запустить, но этот “KAK-TO” будет [u]другая[/u], посторонняя программа или сам пользователь (то есть в добавок с фальшивым JPG файлом должна прилагаться инструкция по его ручному запуску через CMD :) ).
А если еще и подойти с тем подходом который описал [500mhz] тут
[url]http://virusinfo.info/showthread.php?t=37493[/url] то будет вообще весело ;) фальшивка еще и запускатся будет автоматически ;) причем без всяких хелповников .
to DVi: я отлично понимаю что имелось ввиду, мой пример скромный вариант использования п.1
Практика показывает что на слова люди не верят или просят продемонстрировать.Но здесь совсем другие люди я так понял
to firza: не надо инструкций. Файл с фальшивым расширением проше дропнуть.
А под инструкцией по ручному запуску я подразумеваю другой код:
[code]
copy /y 1.jpg 1.exe
1.exe
del /q 1.exe
[/code]
Но это совсем не интересно
Хм...
что-то я не вижу чем [URL="http://virusinfo.info/showpost.php?p=339059&postcount=15"]этот[/URL] пост противоречит тому (или говорит что-то новое), что было сказано выше в этой теме.
То, что возможно запустить без предварительных изменений в системе PE-файл с левым расширением было всем и так понятно - лишь было оговорено, что с небольшими извращениями - это тут уже немного показано - с командной строкой к примеру... т.е нужно было оговориться, что простой запуск без изменений в винде это не есть простой двойной клик мышой по значку....
Если с изменениями - то пожалуйста - двойной клик по ПЕ-файлу с левым расширением и он запущен...
Вот от первого пункта (с извращениями) я совершенно не вижу проку - не знаю зачем хацкеру или малваре (что более вероятно) запускать с подобными извращениями...
Если уж у юзера и лежит пинч в какой-то дремучей папке с левым расширением и он никуда не прописан и его никто не пробует запустить - то он выходит безвреден - как это юзер догадается, что его нужно руками найти и с извращениями запустить?..
Другое дело, если на компе куча файлов (более одного) вредоносного ПО одной "семьи" - вот тут им правда чихать на расширения мапить длл можно, плюя на ее расширения, а другие исполняемые файлы (свои с левым расширением) можно запускать через WinExec, а не через ShellExecute - просто и без выкрутасов с консолью или с кучей параметров у функции...
[QUOTE=priv8v;342749]Если уж у юзера и лежит пинч в какой-то дремучей папке с левым расширением и он никуда не прописан и его никто не пробует запустить - то он выходит безвреден - как это юзер догадается, что его нужно руками найти и с извращениями запустить?..[/QUOTE]
Речь шла о том, чтобы вторым этапом запустить "замаскированного в BMP" зверя с помощью отдельного "пускача".
[QUOTE=priv8v;342749]не знаю зачем хацкеру или малваре (что более вероятно) запускать с подобными извращениями... [/QUOTE]
Из спортивного интереса, естественно.
[QUOTE]Речь шла о том, чтобы вторым этапом запустить "замаскированного в BMP" зверя с помощью отдельного "пускача".
[/QUOTE]
Ну про варианты этого пускача я далее пару слов сказал..., но здесь я говорил именно о случае без пускача и без попыток другого ПО или системы запустить данный файл - если он просто лежит - хотя такое вряд ли возможно без участия спортивного интереса :)
Вот и выходит - в технических сторонах у нас ни у кого противоречий по данному вопросу нет. Лишь есть у каждого свои сомнения по тому как к этому относиться :)