Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   [решено] Вирус JPG (http://forum.oszone.net/showthread.php?t=146246)

Baiker 26-07-2009 02:28 1177755
Вирус JPG
 
Недавно встретил вирус, который запускается при открытии тела жертвы, т.е. картинки в формате jpg, jpe, jpeg. Картинка открывается и заражаются все остальные картинки. Картинки являются переносчиками вредоносного кода и заражают видимо другие файлы. Интересно, как его туда внедрили? Кто-нибудь знает есть ли такие вирусы, которые заражают формат wmv?

Petya V4sechkin 26-07-2009 10:50 1177883
Baiker, судя по бюллетеню MS04-028 (он вообще-то старый, от 2004 года):

Цитата:
This is a buffer overrun vulnerability.

What causes the vulnerability?
An unchecked buffer in the processing of JPEG images.
То есть, банальное переполнение буфера.

MS08-046

Цитата:
В чем причина уязвимости?
Она вызвана переполнением кучи при неправильном выделении памяти для специально созданного файла изображения модулем Microsoft для управления цветопередачей, входящим в состав компонента Microsoft ICM.

Каким образом злоумышленник может воспользоваться этой уязвимостью?
Атака возможна только в том случае, если пользователь откроет специально созданный файл изображения.
MS08-071

Цитата:
В способе, которым GDI обрабатывает целочисленные вычисления, существует уязвимость, делающая возможным удаленное выполнение кода. Она делает возможным удаленное выполнение кода, если пользователь открывает специально созданный файл изображения в формате WMF.
MS08-052

Цитата:
В способе обработки выделенной памяти интерфейсом GDI+ существует уязвимость, делающая возможным удаленное выполнение кода в том случае, если пользователь откроет специально созданный файл изображения в формате EMF, GIF, WMF, BMP или перейдет на веб-узел злоумышленника, на котором находится искаженное содержимое.
MS07-017

Цитата:
В методе обработки форматов курсоров, анимированных курсоров и значков существует уязвимость удаленного выполнения кода. Злоумышленник может воспользоваться этой уязвимостью, создав вредоносный курсор или файл значка, которые могут разрешить удаленное выполнение кода, если пользователь посетит вредоносный веб-узел или просмотрит специально сконструированное сообщение электронной почты.
Цитата:
Цитата Baiker
есть ли такие вирусы, которые заражают формат wmv?
MS07-068

Цитата:
What causes the vulnerability?
Incorrect parsing of Advanced Systems Format (ASF) files within the Windows Media Format Runtime.

ASF files may have the file extensions ASF, WMV, or WMA.
MS09-028

Цитата:
В способе анализа компонентом Microsoft DirectShow файлов мультимедиа QuickTime существует уязвимость, делающая возможным удаленное выполнение кода. Эта уязвимость делает возможным выполнение кода, если пользователь открывает особым образом созданный файл QuickTime.

Baiker 27-07-2009 01:38 1178552
Антивирус Касперского определяет его как Trojan-Dropper_Win32

а где их можно подхватить. слышал что много фотостудий и порносайтов тогда полетело, но это не опасный был, я так понимаю.

El Scorpio 27-07-2009 01:48 1178562
Цитата:
Цитата Baiker
Картинки являются переносчиками вредоносного кода и заражают видимо другие файлы. Интересно, как его туда внедрили? »
Это не "картинка", а программа (двоичный код) - просто у этого файла используется специально подобранный "неправильный" заголовок от файла-рисунка, вызывающий при его открытии ошибку, которая приводит к тому, что компьютер начинает выполнять загруженную информацию, как программу.

Цитата:
Цитата Baiker
Кто-нибудь знает есть ли такие вирусы, которые заражают формат wmv? »
Не знаю. Но если у разработчиков кодека руки кривые и мозги набекрень, подобную заразу написать можно.
Вот только сейчас в процессорах и ОС есть функция, блокирующая выполнение кода из области данных. Так что нынче такая зараза уже не актуальна.


Время: 16:35.

Время: 16:35.
© OSzone.net 2001-