Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Невеселые картинки

Прочитали: 3033 Комментариев: 94 Рейтинг: 103

Заражено может быть всё. А если не всё, то практически всё. Эта истина давно известна представителям антивирусных компаний, но обычные пользователи, как правило, полагают, что защищаться нужно только от исполняемых файлов. К сожалению, это не так.

Вот, скажем, изображения. Что может быть безобиднее? Но вредоносный код размещают в них уже с 2002 года – 15 лет.

При этом картинки могут быть вредоносными сами по себе либо просто используются в качестве хранилищ для вредоносного кода. Первый случай хорошо описан ниже.

Недавно встретил вирус, который запускается при открытии тела жертвы, т. е. картинки в формате jpg, jpe, jpeg. Картинка открывается, и заражаются все остальные картинки. Картинки являются переносчиками вредоносного кода и заражают, видимо, другие файлы. Интересно, как его туда внедрили? Кто-нибудь знает, есть ли такие вирусы, которые заражают формат wmv?

Это не «картинка», а программа (двоичный код) – просто у этого файла используется специально подобранный «неправильный» заголовок от файла-рисунка, вызывающий при его открытии ошибку, которая приводит к тому, что компьютер начинает выполнять загруженную информацию как программу.

http://forum.oszone.net/thread-146246.html

В данном случае вирусописатели используют какую-либо уязвимость в конкретной программе. Уязвимая программа, получая на вход специально сформированный файл, неверно его обрабатывает, в результате чего запускается вредоносный код, размещенный в графическом файле. Классическая атака с переполнением буфера, о чем мы уже неоднократно писали.

Ознакомьтесь с выборкой цитат из бюллетеней Майкрософт.

Бюллетень MS04-028 (он вообще-то старый, от 2004 года):

This is a buffer overrun vulnerability.

What causes the vulnerability?

An unchecked buffer in the processing of JPEG images.

То есть банальное переполнение буфера.


MS08-046:

В чем причина уязвимости?

Она вызвана переполнением кучи при неправильном выделении памяти для специально созданного файла изображения модулем Microsoft для управления цветопередачей, входящим в состав компонента Microsoft ICM.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Атака возможна только в том случае, если пользователь откроет специально созданный файл изображения.

MS08-071:

В способе, которым GDI обрабатывает целочисленные вычисления, существует уязвимость, делающая возможным удаленное выполнение кода. Она делает возможным удаленное выполнение кода, если пользователь открывает специально созданный файл изображения в формате WMF.

MS08-052:

В способе обработки выделенной памяти интерфейсом GDI+ существует уязвимость, делающая возможным удаленное выполнение кода в том случае, если пользователь откроет специально созданный файл изображения в формате EMF, GIF, WMF, BMP или перейдет на веб-узел злоумышленника, на котором находится искаженное содержимое.

MS07-017:

В методе обработки форматов курсоров, анимированных курсоров и значков существует уязвимость удаленного выполнения кода. Злоумышленник может воспользоваться этой уязвимостью, создав вредоносный курсор или файл значка, которые могут разрешить удаленное выполнение кода, если пользователь посетит вредоносный веб-узел или просмотрит специально сконструированное сообщение электронной почты.

MS07-068:

What causes the vulnerability?
Incorrect parsing of Advanced Systems Format (ASF) files within the Windows Media Format Runtime.

ASF files may have the file extensions ASF, WMV, or WMA.

MS09-028:

В способе анализа компонентом Microsoft DirectShow файлов мультимедиа QuickTime существует уязвимость, делающая возможным удаленное выполнение кода. Эта уязвимость делает возможным выполнение кода, если пользователь открывает особым образом созданный файл QuickTime.

http://forum.oszone.net/thread-146246.html

Самые разные графические (и не только графические форматы) – и все они источник заражения.

#обновления_безопасности #уязвимость #вредоносное_ПО #безопасность

Dr.Web рекомендует

Действенным способом борьбы против вредоносных программ, скрывающихся в файлах, которые по виду не похожи на исполняемые, являются обновления. Их установка закрывает «дыры» в системе, через которые могут проникнуть хакеры.

И естественно, антивирус Dr.Web.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: