Скажите, пожалуйста, может ли быть вирус в файлах с расширениями bmp и jpg? Курит при полной проверке в папке временных файлов нашел и убил какой-то вирус. Файл был с расширением bmp
Скажите, пожалуйста, может ли быть вирус в файлах с расширениями bmp и jpg? Курит при полной проверке в папке временных файлов нашел и убил какой-то вирус. Файл был с расширением bmp
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
думаю что да
(щаз вот гуглил по вашему вопросу http://www.google.com.ua/search?hl=r...meta=&aq=f&oq= )
1 - это когда исользуеться двойное расширение
2 - когда в теле графического файлы - и картинка троян например
3 - еще есть вариант, спец построыней файл bmp используемый уъязвимость в IE при просмотре таких файлов
4 - может я что то пропустил, могу посовеветь просмотреть ссылки что гугл выдал
5- если указали версию вирусу что был удален,
можно было описание на него посмотреть.
Кидо, например, хранит свои копии в темпах с расширениями jpg, bmp, png
Видал вирус в файлах ipg, gif. Если такое разширение, это не значит, что это картинка.
Вот, кстати, свеженький. Ссылка вела на этот фаил, как на картинку. http://www.virustotal.com/ru/analisi...ebcc5d0a3546f3
это может быть что угодно - или просто нечто зловредное, лежащее с таковым расширением для того, что бы меньше привлекать к себе внимания, или эксплоит, или нормальный PE-файл и в системе внесены при этом изменения, что бы это расширение было расширением exefile. Файл может быть и заражен, а не просто быть самим по себе зловредным - до этого по этому адресу мог быть вполне нормальный файл...
вариантов уйма...
// ...
По этому поводу у меня такой вопрос: “Антивирусы на самом деле проверяет jpg, bmp, gif, mp3, avi ... файлы на вирусы, или только делает вид что проверяет?”. Ну то есть, проверяет только первые несколько байтов от файла, и если это не исполняемый файл, то файл считается безвредным. Иначе с трудом представляю, как антивирус будет проверять 700MB avi файл на присутствие вируса, и сколько это займет время.
P.S. Если jpg, bmp, gif, mp3, avi файл на самом деле является EXE файлом, то в таком состоянии он сам по себе безвреден.
все зависит от антивируса и от выставленных там настроек. к тому же есть такая штука как "проверка по формату" - нет не важно расширение - оно игнорируется, в принципе...
// ...
Вообще то я имел виду то, как антивирус проверяет файлы, которые по формату и по расширению не является исполняемыми файлами. Поиск вирусов по формату, в файлах которые по расширению не является исполняемые наверно интересно, но смысла от этого мало. Даже если файл My_pic.jpg на самом деле есть файл zloj_virus.exe, сам по себе он некого вреда не представляет.
еще как представляетДаже если файл My_pic.jpg на самом деле есть файл zloj_virus.exe, сам по себе он некого вреда не представляет.
1). Он таким образом может лежать и прятаться от глаз пользователя и/или от антивируса настроенного на проверку только определенных расширений. Многие современные малваре состоят отнюдь не из одного файла, а из многих, некоторые могут таким вот образом лежать на диске.
2). Про эксплоиты не забываем.
3). То, что у него такое расширение вовсе не значит, что его нельзя запустить как обычный экзешник двойным кликом - иными словами при наличии в системе определенных изменений расширение jpg ничем не будет уступать exe.
4). Можно запустить исполняемый файл и с расширением jpg с определенными извращениями
5). Из другого приложения можно и без особых извращений запустить исполняемый файл даже если у него расширение jpg даже ничего не меняя в системе - просто взять и запустить несмотря на расширение.
// ...
Пункты 1,3,4,5 подразумевают наличие в системе уже работающего вируса. А если работающего вируса нет, то все эти ухищрение ничего не дают.
2. пункт возможен, но я за свою практику еще не разу не встретил вируса в файлах jpg, bmp, gif, mp3, avi. И даже если мне удастся найти такой вирус, большего вреда он все равно не сможет причинить (правила наработать все время в правами Администратора в наше время это уже норма). И в случаи с уязвимостьями в программах, антивирус все равно не спасет. Сомневаюсь, что антивирусы проверяют все midi, mp3 файлы на уязвимости Winamp пятилетней давности.
Внедрение вируса в файлы mp3,avi,ogg,mpg,vob,wmv,wma,aac,aif,aiff,amr,wav,w ave http://z-oleg.com/secur/virlist/vir1310.php
или шифрование под jpg.vbs например печально известный "AnnaKournikova.jpg.vbs" данный червь использует уловку с "двойным" расширением файла-носителя вируса: "JPG.VBS". Присутствие ложного расширения "JPG" в имени файла преследует цель дезориентировать пользователя, уверенного в том, что программы такого типа не могут содержать вирусы. Червь написан на языке программирования Visual Basic Script (VBS), зашифрован и распространялся по сети Интернет при помощи сообщений электронной почты.
в таком случае можно было и про остальные не спрашивать, раз Вам это не страшно - Вы спросили какой может быть вред - я ответил, а классифицировать по тому насколько опасно - это уж не мое...И даже если мне удастся найти такой вирус, большего вреда он все равно не сможет причинить (правила наработать все время в правами Администратора в наше время это уже норма).
и что это значит в контексте нашего обсуждения?..Пункты 1,3,4,5 подразумевают наличие в системе уже работающего вируса. А если работающего вируса нет, то все эти ухищрение ничего не дают.
да ничего - все равно нужно проверку делать по формату независимо от расширения - откуда антивирус знает есть другие компоненты малваре в системе или нет?..
способов обхода расширения - воз и еще маленькая тележка, я перечислил лишь примеры использования, в принципе...
встречаются. не часто, но бывает. антивирус должен уметь и это детектить.пункт возможен, но я за свою практику еще не разу не встретил вируса в файлах jpg, bmp, gif, mp3, avi
как небольшой вывод: ни антивирус, ни пользователя не должно вводить в заблуждение наличие у файла "безопасного" расширения (например jpg), т.к это ни о чем ровным счетом не говорит - это может быть как зараженный файл или эксплоит, так и обычный ЕХЕ-файл, который может без проблем запускаться (быть запускаемым) и работать...
// ...
В данной статье нет информации об внедрении вирусов в mp3,avi,ogg,mpg …, там есть только информация об вирусе который уничтожает файлы с названными расширениями. Названный вирус не распространяется по средством mp3,avi,ogg,mpg ...., это типичный исполняемый файл с расширением EXE, SCR, VBS. А я все таки хочу увидеть настоящего JPG, MP3, AVI, без всяких там двойных расширений, или хотя бы информацию, как антивирус ищет вирусы в JPG, MP3, AVI файлах (если конечно ищет что то больше чем наличие MZ заголовка).Сообщение от SDA
был не так давно вирус в wmv..
![Аватар для [500mhz]](customavatars/avatar15687_1.gif "Аватар для [500mhz]"){kind=avatar}
вот мое мнение
1) аксиома - без всяких изменений в системе можно запустить файл с любым расширением.
2) аксиома - без всяких изменений в системе можно импортировать функции из файла с любым расширением (dll).
3) файл должен быть РЕ
пс
кстати удобно грузить малварь через браузер в виде картинок )
ппс
BMP формат идеально подходит, там в заголовке указываеться смешение на данные, тоесть между заголовком и датой можно хоть черта лысого засунуть, при все при этом ВМР будет отображаться корректно в браузере и чудесно появляться в кеше откуда уже его можно выкрасть ))))
пппс
это не теория, есть код и он работает, думайте господа аналитики
А 500'й как всегда прав.
проверка:
1 берем ехе файл и меняем расширение на JPG (назовем еге 1.jpg)
2 кладем в c:\
3 открываем консоль
4 даем команды
с:
cd \
1.jpg
Файл запускается
XiTri, уважаемый [500mhz] имел в виду несколько другое использование
Но в целом вы оба правы
Последний провре файл отсюда с форума имел расширение jpg_____
Неплохая маскировка
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Я и не спорю о том что можно переименовывать EXE файл в JPG файл и как-то его запустить, но этот “KAK-TO” будет другая, посторонняя программа или сам пользователь (то есть в добавок с фальшивым JPG файлом должна прилагаться инструкция по его ручному запуску через CMD
А если еще и подойти с тем подходом который описал [500mhz] тут
http://virusinfo.info/showthread.php?t=37493 то будет вообще веселофальшивка еще и запускатся будет автоматически
Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html
Ваши права в разделе
Ответить с цитированием
