Просто из любопытства, возможно ли иметь на изображениях вирус или какую-либо вредоносную программу с нормальным расширением?
Спасибо
4 ответа
4
Возможно ли наличие на изображениях вирусов или вредоносных программ с нормальным расширением?
Да, но это только потому, что файл является файлом, а расширение является лишь частью имени файла. Само по себе расширение файла не имеет отношения к содержимому. Расширение просто обозначает, что файл должен содержать.
Если файл не исполняемый, вирусная полезная нагрузка должна быть добавлена таким образом, чтобы использовать определенную программу, которая открывает и анализирует файл. Обычно это делается путем манипулирования структурой файла (на уровне байтов), чтобы вызвать переполнение буфера / стека в программе, выполняющей синтаксический анализ файла.
0
Вирус это программа. И программы хранятся в двоичных файлах. Изображения также хранятся в файлах. Таким образом, вирусы могут храниться в файлах изображений. Но есть проблема с запуском кода вируса, хранящегося в неисполняемом типе файла.
0
Как сказал Ramhound, это теоретически возможно. Изображения - это файлы, которые некоторые исполняемые файлы, такие как Microsoft Photo Viewer, будут анализировать и отображать на экране. Если исполняемый файл имеет уязвимость, то злоумышленник может создать специальную полезную нагрузку (образ), которая будет использовать уязвимость, а затем выполнит вредоносную полезную нагрузку в контексте приложения.
Это именно то, что Stuxnet сделал с ярлыками (*. Lnk). Stuxnet использует уязвимость в синтаксическом анализе ярлыков (.LNK) файлы для запуска вредоносного модуля панели управления.
0
Вредоносное ПО, вероятно, не будет распространяться через файлы изображений, но исторически существуют эксплойты, которые используют искаженный файл изображения, чтобы заставить загрузочное приложение выполнять неправильные действия. проверить эти уязвимости: http://technet.microsoft.com/en-us/security/bulletin/ms11-029
http://technet.microsoft.com/en-us/security/bulletin/MS09-062
http://technet.microsoft.com/en-us/security/bulletin/ms04-028
технически это не вредоносное ПО, а средство запуска вредоносного кода в целевой системе. Он не отличается от веб-сайта, который использует эксплойт Flash/acrobat для запуска кода внутри плагина для загрузки и запуска трояна на локальном хосте.