Невеселые картинки

Уязвимые

добавить в избранное

Невеселые картинки

Прочитали: 8594 Комментариев: 92 Рейтинг: 120

10 ноября 2017

Заражено может быть всё. А если не всё, то практически всё. Эта истина давно известна представителям антивирусных компаний, но обычные пользователи, как правило, полагают, что защищаться нужно только от исполняемых файлов. К сожалению, это не так.

Вот, скажем, изображения. Что может быть безобиднее? Но вредоносный код размещают в них уже с 2002 года – 15 лет.

При этом картинки могут быть вредоносными сами по себе либо просто используются в качестве хранилищ для вредоносного кода. Первый случай хорошо описан ниже.

Недавно встретил вирус, который запускается при открытии тела жертвы, т. е. картинки в формате jpg, jpe, jpeg. Картинка открывается, и заражаются все остальные картинки. Картинки являются переносчиками вредоносного кода и заражают, видимо, другие файлы. Интересно, как его туда внедрили? Кто-нибудь знает, есть ли такие вирусы, которые заражают формат wmv?

Это не «картинка», а программа (двоичный код) – просто у этого файла используется специально подобранный «неправильный» заголовок от файла-рисунка, вызывающий при его открытии ошибку, которая приводит к тому, что компьютер начинает выполнять загруженную информацию как программу.

http://forum.oszone.net/thread-146246.html

В данном случае вирусописатели используют какую-либо уязвимость в конкретной программе. Уязвимая программа, получая на вход специально сформированный файл, неверно его обрабатывает, в результате чего запускается вредоносный код, размещенный в графическом файле. Классическая атака с переполнением буфера, о чем мы уже неоднократно писали.

Ознакомьтесь с выборкой цитат из бюллетеней Майкрософт.

Бюллетень MS04-028 (он вообще-то старый, от 2004 года):

This is a buffer overrun vulnerability.

What causes the vulnerability?

An unchecked buffer in the processing of JPEG images.

То есть банальное переполнение буфера.

MS08-046:

В чем причина уязвимости?

Она вызвана переполнением кучи при неправильном выделении памяти для специально созданного файла изображения модулем Microsoft для управления цветопередачей, входящим в состав компонента Microsoft ICM.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Атака возможна только в том случае, если пользователь откроет специально созданный файл изображения.

MS08-071:

В способе, которым GDI обрабатывает целочисленные вычисления, существует уязвимость, делающая возможным удаленное выполнение кода. Она делает возможным удаленное выполнение кода, если пользователь открывает специально созданный файл изображения в формате WMF.

MS08-052:

В способе обработки выделенной памяти интерфейсом GDI+ существует уязвимость, делающая возможным удаленное выполнение кода в том случае, если пользователь откроет специально созданный файл изображения в формате EMF, GIF, WMF, BMP или перейдет на веб-узел злоумышленника, на котором находится искаженное содержимое.

MS07-017:

В методе обработки форматов курсоров, анимированных курсоров и значков существует уязвимость удаленного выполнения кода. Злоумышленник может воспользоваться этой уязвимостью, создав вредоносный курсор или файл значка, которые могут разрешить удаленное выполнение кода, если пользователь посетит вредоносный веб-узел или просмотрит специально сконструированное сообщение электронной почты.

MS07-068:

What causes the vulnerability?
Incorrect parsing of Advanced Systems Format (ASF) files within the Windows Media Format Runtime.

ASF files may have the file extensions ASF, WMV, or WMA.

MS09-028:

В способе анализа компонентом Microsoft DirectShow файлов мультимедиа QuickTime существует уязвимость, делающая возможным удаленное выполнение кода. Эта уязвимость делает возможным выполнение кода, если пользователь открывает особым образом созданный файл QuickTime.

http://forum.oszone.net/thread-146246.html

Самые разные графические (и не только графические форматы) – и все они источник заражения.

#обновления_безопасности #уязвимость #вредоносное_ПО #безопасность

Антивирусная правДА! рекомендует

Действенным способом борьбы против вредоносных программ, скрывающихся в файлах, которые по виду не похожи на исполняемые, являются обновления. Их установка закрывает «дыры» в системе, через которые могут проникнуть хакеры.

И естественно, антивирус Dr.Web.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Slava90
08:05:32 2020-08-11

Надеюсь Drweb надёжно защитит от подобных ситуаций.

Денисенко Павел Андреевич
21:36:05 2018-08-05

Вирус может проникнуть и в любое изображение.

Неуёмный Обыватель Собкор
07:23:16 2018-06-20

Честно говоря, иногда обновления операционки начинают откровенно доставать и обыватель махает на них рукой и отключает. А злоумышленники только этого и ждут.

vasvet
18:47:45 2018-03-26

Мне тоже раз попадалось, что то странное, с виду картинка.Я на нее не то курсор навел, не то нажал, в общем она видоизменилась в такое же окно, но полное каких то каракуль.

a13x Собкор
13:25:01 2017-12-13

Выпуски уже с присказками... Как Дом, который построил Джек. Только в выпусках "правды": "дыры" через которые проникают хакеры :)

Anton_S
19:46:54 2017-11-12

По такому же принципу сделан был "активатор" портативной игровой приставки сони.

Самуил Христианин
17:46:11 2017-11-11

Да под изображениями много чего скрывается. Нужно быть бдительным и аккуратным.

zsergey
14:35:07 2017-11-11

Под изображениями много чего скрывается. Нужно быть бдительным.

Andromeda
23:49:15 2017-11-10

Надеюсь, антивирус Dr.Web защитит нас от таких вирусов.

Альфа
23:33:26 2017-11-10

Картинки в "обороте" у вирусописателей уже 15 лет? Надо же! Не знал об этом.

razgen Собкор
23:25:38 2017-11-10

@Пaвeл, 1 ноября началась регистрация участников в XI Международной олимпиаде «IT-Планета 2017/18»!
Подробнее: http://www.securitylab.ru/news/489618.php

Спасибо за ссылку. Отличная возможность для молодёжи в возрасте до 25 лет, проявить себя в сфере информационных технологий.

Геральт Собкор
23:09:56 2017-11-10

Нескончаемая борьба вирусов и антивирусов продолжается...

vla_va
22:33:10 2017-11-10

Любые уловки будут открыты, модулей то много на страже!

Марина
22:31:24 2017-11-10

Помню про обфусцированный шелл-код, но это вроде как уже что-то другое.

В...а
22:28:32 2017-11-10

Много непонятного, но в антивирус верю

НинаК
22:22:21 2017-11-10

Борьба умов идет всегда

Mehatronik
21:58:00 2017-11-10

Да, попался я на такую тему когда был маленький и наивный. В результате все картинки на компьютере - долой(

Littlefish Собкор
21:33:37 2017-11-10

Да, вредоносные программы сейчас могут маскироваться под что угодно и скрываться в любых файлах, хотя миф, что вредоносные программы это только исполняемые файлы до сих пор существует.

ek
21:25:30 2017-11-10

15 скрывают вирусы в картинках!

kva-kva
21:01:34 2017-11-10

Это высокое мастерство - найти такие уязвимости

orw_mikle
19:45:35 2017-11-10

Про бюллетени Майкрософт как-то очень сложно. А так все понятно, обновления и антивирус Dr.Web, как всё и делаем.

Damir Собкор
19:19:01 2017-11-10

Надеюсь Dr.Web не пропустит вредоносы в картинках.!

borodanv
19:07:44 2017-11-10

Спасибо за Антивирус! Не верю другим. С Вами много лет на ПК и Android, проблем не было.

Сергей
17:40:18 2017-11-10

Оказывается и картинки могут быть опасны!

mk.insta
17:07:30 2017-11-10 Именинник

Необычный способ проникновения

Lia00 Собкор
17:05:33 2017-11-10

молодцы те, у кого антивирус

GREII Собкор
16:35:58 2017-11-10

Любой файл, а также его тип может быть вредоносным - если под него сделать вирусную программу..., а этих вредоносных программ пруд пруди... спасибо за защиту, будем бдительны и не забываем выдергивать шнур с резетки,если что...

Sasha50 Собкор
16:34:25 2017-11-10

Уже был выпуск с картинкой котика, в котором передавалась вредоносная информация. Этот выпуск, как я понимаю, закрепление этой темы.

Шалтай Александр Болтай Собкор
16:16:34 2017-11-10

Вас больше не радуют смешные картинки? Обратитесь к мемологу.

Ruslan
16:11:10 2017-11-10

Благодарность за надежную защиту и совет.

Пaвeл Собкор
15:54:37 2017-11-10

@Людмила, судя по изображению трофея "Индиана Джонс", Вы являетесь руководителем данной команды веб-программистов :)

Toma
15:35:19 2017-11-10

Конечно необходимы своевременные обновления и естественно, антивирус Dr.Web.

Людмила
15:26:59 2017-11-10

@Пaвeл,
" а почему все таки "Индиана Джонс"? Команда веб-программистов - поклонники творчества Джорджа Лукаса?"
в том числе, в том числе. еще в этом трофее важен визуал...

Пaвeл Собкор
15:25:16 2017-11-10

@Людмила, "сотрудники компании «Доктор Веб» - тоже люди. Этот трофей тайно придумали и вручила мне наша команда веб-программистов:)". Людмила, а почему все таки "Индиана Джонс"? Команда веб-программистов - поклонники творчества Джорджа Лукаса?

Пaвeл Собкор
15:14:11 2017-11-10

@SGES, Мудрослов вы теперь не только цитируете пословицы, но и сами их придумываете? "Купи шубу шитую, избу крытую, а программу от уязвимости закрытую."

Dvakota
15:11:01 2017-11-10

Своевременное обновление это прописная истина .

Пaвeл Собкор
15:06:08 2017-11-10

1 ноября началась регистрация участников в XI Международной олимпиаде «IT-Планета 2017/18»!
Подробнее: http://www.securitylab.ru/news/489618.php

Masha
14:41:08 2017-11-10

Вирусы в изображениях и курсорах!? Надеюсь Dr.Web их не пропустит!

La folle
14:12:03 2017-11-10

Спасибо за статью, довольно информативная!

akolelow
13:22:00 2017-11-10

не смотрите фотки голой заворотнюк)))

Дмитрий
13:20:08 2017-11-10

злоумышленники могут использовавть картинки, антивирус должен быть включен постоянно.

duduka
13:13:31 2017-11-10

Интересно почитать про вредоносные курсор, теперь уже не только картинка содержит код

vinnetou
13:06:07 2017-11-10

Благодарю за выпуск!!!Обновления,обновления и ещё раз обновления.Отдельно большое спасибо Dr.Web за защиту!!!Про опасности в картинках,изображениях,уже был выпуск,не помешает ещё раз напомнить!!!

Dmur
13:03:52 2017-11-10

Мой ПК под защитой Dr.Web! Так что, пока на ПК порядок!

razgen Собкор
12:46:58 2017-11-10

Никогда, до прочтения выпусков "Анитвирусной ПравДЫ" не знал и не думал, что злоумышленники могут использовавть картинки для передачи информации или хранения вредоносного кода. Спасибо за предупреждение и за защиту.

Alexander Собкор
12:42:49 2017-11-10

Хорошая статья-маячок. Около неизвестного прибрежья интернет океана нужен лоцман. Если ты рядом с надежным Dr.Web Security Space, то причаливать не так страшно. Хотя, иногда, от увиденной пены прибоя и услышанного рева ветра беспокойство "скребет".
Особенность картинок в том, что они всегда привлекают наше внимание. Так и хочется с ними что-то сделать - посмотреть, погладить хоть курсором, скачать на память. А потом вдруг начинается неожиданная "катавасия". Открыл картинку-"котика" и "блоха" в виде какого-либо скрипта или иной нежданности спрыгнула в твой компьютер и начала творить злонамеренный "хоровод".
Благо, если в системе стоит Dr.Web Security Space, который лицензионный обновленный и правильно настроенный стоит на страже. Тогда, конечно, No pasaran!
А вообще, надо понимать одно из свойств "цифрового" мира, - между цифрами всегда есть пространство, в которое можно вставить другие цифры, - чем и пользуются "умельцы". Привычное понятие "уязвимость", по сути, лишь обнаруженное свойство или особенность программы (процессора, памяти). Которые при определенных условиях могут "вести" себя неадекватным образом, т.е. способом, незапланированным и неожидаемым для программиста (инженера). Обнаружили - "залатали", еще что-то заметили - новую "заплатку" наложили или подготовили очередной Service Pack.
Надо смириться с тем, что отсутствует в принципе способ решить это явление "раз и навсегда", такого решения не существует в природе. Борьба "добра и зла", противоборство вирусов и антивирусов - это частные проявления Пути развития реального мира, человека и их цифровой составляющей. Это философский Закон - Единство и борьба противоположностей. Только понятие "борьба" здесь надо представлять шире, вначале которой – взаимодействие.
Так что покупайте Dr.Web Security Space, настраивайте по рекомендациям проекта Антивирусная правДА, и участвуйте в процессе развития цифрового мира, попутно исполняя свои прихоти в сети интернет. И никакие "котики" Вам будут нестрашны. Главное, не брать их на руки - могут поцарапать.

Людмила
12:28:19 2017-11-10

@Karpensky,
"Я так понимаю, это ответ на мой вопрос относительно "Индиана Джонс"?"
= да:)

razgen Собкор
12:14:07 2017-11-10

@dyadya_Sasha, "Наш доктор универсальный, не только Dеrрматолог.) Он и инфекционист, и хирург, и реаниматор, терапевт и психиатор. Одним словом Доктор с большой буквы."

И ещё считаю надо добавить в ваш список одних из важнейших докторов от "Доктор Веб": УРоЛог Dr.Web и Файлопатолог Dr.Web.
https://vms.drweb.ru/online/?lng=ru

DrKV Собкор
12:13:53 2017-11-10

@Людмила, ":) сотрудники компании «Доктор Веб» - тоже люди." и далее по тексту...
Я так понимаю, это ответ на мой вопрос относительно "Индиана Джонс"?

Maat
11:53:56 2017-11-10

Актуальность обновлений системы и антивируса в наше время очень важно, так как способов заразить систему очень много и с каждым днем их становится больше. Спасибо за статью.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Невеселые картинки

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей