[ShaddyR]

Цитата Diseased Head:

каким образом вири активируют себя из пассивных (как мне всегда казалось) данных, а точнее: видео и звуковых файлов, а также графических файлов? »

самый старый способ - "на лохА" - когда под видом медиа-контента скачивается подстава - exe-файл с иконкой WMP и именем типа super-puper-diskoteka324897egfq398f7csdf0dr98g7wqe489709834570fdg987.mp3.exe. Из-за своей длины окончание имени файла в панели файл-менеджера обычно не видно, расширение - тоже - "глупый юзер робко кликнет". Если к этому имени добавить длиииинный URL, дабы имя полностью не отобразилось в строке подсказки - результат не заставит себя ждать)
Остальное касается выполнения произвольного кода и\или получения управления над удаленным компьютером вследствие наличия уязвимостей в программах, обрабатывающих соответствующий формат: в плейерах - обработка тэгов (Выполнение произвольного кода сценария в Winamp), в просмотрщиках - некорректная обработка служебного кода и\или ошибки в обработке данных соответствующего типа (уязвимость при обработке jpeg*— Яндекс: нашлось 39*тыс. страниц).
Альтернатива - вирус типа W32/Perrun - сиё зверье положило начало распространению чего угодно через что угодно (практически), но - требует установки своего модуля в систему, после регистрации которого и начинается веселье.

(перенес)

[Baiker]

А если фильм типа Ротозеи.avi определяется как заражённый TrojanGrab.vb?

[ShaddyR]

Baiker, кем определяется? Инет про таких ничего не знает - возможно ложное срабатывание. Думаю, предлагать отослать файл производителю антивируса излишне?

[Admiral]

Diseased Head, недаром заметка с МС. К примеру их библиотека GDIPlus встречалась (может даже ещё не раз встретится).
В своё время, по оценкам специалистов, GDIPlus была признан как небрежно реализованная и несущая колоссальную угрозу безопасности системы. В качестве панацеи даже предлагалось удаление библиотеки.
Например, используя JPEG GDI+ overflow (MS04-028), при наведении курсора в Windows Explorer на картинку в формате JPEG, можно было извлекать и запускать бинарник, который предварительно был там (прямо в jpeg файле) спрятан.
Ещё при этом бинарник с шелл-кодом мог идти в картинке в шифрованном виде.
А сам jpeg естественно сохраняет свои первичные свойства, даже картинка отображается.

[TDK]

Цитата Admiral:

при наведении курсора в Windows Explorer на картинку в формате JPEG, можно было извлекать и запускать бинарник, который предварительно был там (прямо в jpeg файле) спрятан. »

Всё верно. Принцип схож с запуском вирусованных графических, либо ехе. -файлов при помощи так называемых- джойнеров некоторых типов, когда в картинку с раширением jpeg, gif и пр., либо ехе-шник, внедряют вирус, или как иначе говорят- сливают с файлом. Разница только в том, что для запуска вируса юзеру надо изначально открыть картинку для просмотра двойным кликом, как это обычно и делается, и одновременно с этим запускается и исполняемый файл вируса. Та же схема и с запуском заражённого ехе-файла.

[El Scorpio]

Цитата Diseased Head:

Вирусы могут распространяться под видом забавных картинок, поздравительных открыток, звуковых и видеофайлов. »

Добавлю, что есть ещё "вирусы-спутники", которые ищут на флэшках каталоги,*а потом скрывают их и размещают рядом себя с таким же именем и иконкой.
Что самое интересное, редкий антивирь после удаления вируса восстанавливает видимость папки (зачастую атрибут "скрытый" приходится снимать вручную)

[Drongo]

Цитата El Scorpio:

есть ещё "вирусы-спутники", которые ищут на флэшках каталоги,*а потом скрывают их и размещают рядом себя с таким же именем и иконкой »

Этот вирус называется FlyStudio. Его видят касперский, CureIt. (то что я проверял ими)

[TDK]

...и вот эти, блин, FlyStudio по чему-то чаще всего флэшки и посещают... Не так давно попался опять один такой. Обнаружен был Касперским,9-я версия. Антивир якобы сделал удаление, отчитался о проделанной работе. Приносят эту флешку, и... о чудо!Вирь опять на месте. Было обнаружено после прогонки Dr.Web, пока этим же доктором вторично по нему не врезал.

[Diseased Head]

Цитата ShaddyR:

Альтернатива - вирус типа W32/Perrun - сиё зверье положило начало распространению чего угодно через что угодно (практически), но - требует установки своего модуля в систему, после регистрации которого и начинается веселье. »

В общем то о таких возможностях я, можно сказать, знал. Хотя о реальных прототипах ещё не слышал. Но ведь на самом деле данные вирусы состоят из двух частей. Тело вируса зашифрованное/запакованное в файле. И программа декодер/распаковщик, при чём она должна быть активна. И если, к примеру, ко мне на компьютер попадёт файл с телом вируса, то он ни как не сможет активироваться без второй части. Хотя наличие паразитных данных меня уже не радует, но всё же...

Цитата Admiral:

Например, используя JPEG GDI+ overflow (MS04-028), при наведении курсора в Windows Explorer на картинку в формате JPEG, можно было извлекать и запускать бинарник, который предварительно был там (прямо в jpeg файле) спрятан. »

У меня стойкое ощущение что эту библиотеку специально такой сделали...