Может ли быть вирус в jpg файле
Я далеко не нуб, просто может быть я немного отстал от прогресса?
Просто я боюсь по почте словить вирус через прикрепленные файлы.
Я понимаю, что jpg это не исполняемый файл, но можно ли например с помощью уязвимости винды всё таки запустить вирус который склеен с jpg?
Тоже касается и экзеля. Какая вероятность словить вирус с таким форматом?
На Windows можно все)
Нет, я вполне реально. Можно сделать даже так, чтобы машина была заражена просто при открытии письма. Даже аттач не нужен.
Я знаю, что возможно всё. Я интересуюсь какова вероятность? Мне очень сложно поверить, что в привате гуляет способ склейки вируса с jpg или xls
Kimely: если вы придерживаетесь простых правил, типа: не открывать письма от незнакомых адресатов, не открывать аттачи, которые не запрашивали, и тому подобное - вероятность маленькая.
А если качаете и открываете все подряд, то, конечно, вероятность заражения приближается к 146%.
Конкретно, по jpg могу посоветовать использовать gmail. Он с недавнего времени грузит картинки себе на сервер и проверяет их.
В подавляющем большинстве случаев заражение происходит через исполняемые файлы. Поэтому думаю, что через jpeg заражение маловероятно (если это действительно .jpg, а не picture.jpg.exe).
Заражения через офисные документы гораздо более реально, поскольку они могут содержать исполняемый вредоносный код (Visual Basic, макросы, всякие OLE и прочая муть, которая там существует). Microsoft постоянно закрывает эксплойты в своих офисных приложениях, и вводят новые способы защиты. Так 2010 и 2013 офисы скачанные файлы сперва открывают в readonly режиме, предварительно запрещается исполнение макросов и прочее.
Ну по поводу Office у меня принудительно запрещены доверенный файлы макросы, активиск и прочее.
А вот касательно jpg картинок, то мне кажется, что единственный способ взлома тут это через уязвимость открывающего приложения. Вот только нужно его знать, ведь не все же использую стандартное средство просмотра шиндовз.
Даже не знаю, стоит ли допустим через виртуалку открывать эти файлы.
Согласен с вами про джпег, конечно более вероятен взлом уже через какой-то левый просмотрщик а-ля FOTOVIEWER by VOVAN_1998, небось еще специально сделанный для этой "картинки".
А про виртуалку, то еще и такие страхи бывают: Может ли вирус вылезть из виртуальной машины?
Для того, чтобы вирус, полученный каким-либо образом, смог заразить систему, его программный код должен быть исполнен. Сам себя вирус запустить не может, поэтому, например, обычное копирование зараженного файла в незараженную систему еще не приводит к заражению. Заражение может произойти только если файл будет открыт, в частности для исполняемого файла (программы) , если этот файл будет запущен на выполнение. В случае когда файл не является исполняемым, возможность заражения от его открытия зависит от того, как программное обеспечение, которое используется для открытия файла, обрабатывает его содержимое. Последнее определяется наличием так называемого активного содержимого в файле.
Под активным содержимым понимается присутствие в файле каких-либо инструкций (программного кода) требующее от программы, открывающей этот файл, выполнения дополнительных операций, порядок исполнения и набор которых определяется непосредственно содержащимися инструкциями. Если программа, открывающая файл, будет исполнять эти инструкции, то это вполне может привести к заражению. Конкретным примером такого активного содержимого являются макросы текстового процессора Microsoft Word
К классу безопасных файлов относятся .txt, практически все файлы растровой графики, например, форматов JPEG - Joint Photographic Experts Group (расширение ".jpg"), GIF - Graphic Interchange Format (расширение ".jpg"), PNG - Portable Network Graphics (расширение ".jpg"), TIFF - Tagged Image File Format (расширение ".tif") и другие. К безопасным файлам так же относятся аудио файлы форматов MIDI (расширение ".mid"), RIFF Wave (расширение ".wav"), MP3 - MPEG Audio Layer 3 (расширение ".mp3"), Real Audio (расширение ".ra") и другие.
вирус Penetrator
.
ирус написан на Visual Basic.
Исполняемый файл вируса упакован UPX v.1.93.
Вирус предназначен для 32-битной платформы ОС Windows с процессором x86.
Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.
Родина вируса – Россия.
Основные средства распространения вируса – Интернет, локальная сеть, flash-носители.
Вирус распространяется с помощью файла flash.scr
JPG тоже может быть источником заражения:
Заразиться JPEG-вирусом можно, просмотрев содержащий его файл с помощью Internet Explorer, получив соответствующее "изображение" в Outlook, открыв содержащий его документ MS Word (в самом Word, конечно) и ещё добрым десятком способов с использованием программных продуктов Microsoft.
2008:
Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.
хммм , только непонятно как можно конвертировать mp3-файлы в формат WMA (при этом сохраняя расширение mp3)
RomRom Искусственный Интеллект (148743) элементарно. Вирус сначала конвертирует MP3 во временный файл WMA и после добавления маркера переименовывает его в оригинальный MP3. Для плеера, расширение особого значения не имеет. Формат определяется им по заголовку файла.
RomRom Искусственный Интеллект (148743) >>Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску MP3 с таким маркером можно считать зараженным. Потенциально он может вызвать заражение всех других MP3 файлов. Здесь, правда, не совсем совершенный полуавтоматический механизм. Пользователь может не разрешить установку трояна.
Слышал, что вирус может быть замаскирован под файл .jpg, у меня на сайте скриптом проверяется сайт на предмет появления новых и изменившихся файлов, чтобы быстро обнаружить вирус, но при проверке делается исключение для .jpg .jpg и пр. форматов, чтобы не нагружать сильно систему. Означает ли это что я могу пропустить вирус и не заметить его? Я просто не знаю как его маскируют и сможет ли мой скрипт обнаружить подмену, если файл будет вида file.jpg___exe то это одно. Реально ли замаскировать вирус в файл вида именно file.jpg?
от вируса в jpg не должно быть никому ничего плохого. важнее php html и т.п. проверять. в общем проверяйте все.
Proctor, в теории возможен любой самый маловероятный сценарий. Причем, хакер может оказаться упорнее вас и все исследует пока вы спите. Если вы "воюете" с хакером давно, он эксплуатирует какую-то не известную вам уязвимость, он даже может поставить эксперимент и узнать следите ли вы за файлами jpeg или нет.
Формальный ответ - да, возможен.
пара практических не таких уж маловероятных примеров :
1. Используется два файла. Крайне простой php-код может подключать сложный, записанный уже в jpeg. Никакой антивирус не будет помещать такой простой код в базу, потому что срабатываний будет слишком много. Да и вы вручную ничего криминального там не увидите.
2. Достаточно распространенная уязвимость возникает при совпадении условий : если возможна загрузка фото пользователем, движок записывает оригинальные байты из файла jpeg без обработки и можно запустить php-код заключенный в исходном из-за настройки cgi.fix_pathinfo=1.
Proctor, что вы понимаете под "вирусом"? Исполняемый файл (дроппер) для загрузки зверья на пользователя сайта? Тогда злоумышленнику нужен "эксплойт", простой "exe" никуда не встанет.
Или вы ведете речь о взломе хоста для заливки шелла? Если второй вариант, то netwind все верно написал. В двух словах - проблема будет не в типе файлов, а в инъекции - php include или sql include. Поэтому не имеет смысла зацикливаться на типе файла, нужно играть от вашей cms и системы фильтрации скриптов.
Обязательно проверяю и файлы с расширениями .jpg, .jpg, .jpg
Открывал код Notepad++ и был вшит eval(base64_decode
Пересохранив картинку,код удалялся.
а если еще учесть что в папке куда пользователи грузят изображения, в .htaccess запрещено исполнение любых скриптов, есть смысл проверять эту папку все равно?
Недавно компания Eset, специализирующаяся на создании антивирусного ПО сообщила об появлении нового троянского вируса, который маскируется под картинки в формате .jpg. То есть защифрованные вирусы jpeg расширением
Вирусы jpeg
Как работают вирусы jpeg?
Целью действия вредоносного ПО является похищение личных данных пользователя, в частности его паролей из e-mail. Он способен делать скриншоты рабочего стола и передавать своему создателю информацию о логинах и паролях жертвы. Вирус также интересуют данные для авторизации в социальных сетях и платёжных системах.
Вирус старается предельно скрыть свою «работу», чтобы не дать пользователю себя выявить и уничтожить. С этой целью блокируется доступ к редактору реестра, панели управления и диспетчеру задач.
Как удалить вирус
Аккуратные и внимательные пользователи не попадутся на столь простую уловку, как письмо от неизвестного адресата с вредоносным файлом. Антивирусы, как правило, своевременно предупреждают о запуске исполняемых файлов из e-mail либо браузера. Однако если вы всё-таки заразились, то ниже приведённый текст будет вам весьма полезен.
Поскольку изображение повреждено, его тело придётся удалять на базе регулярных выражений. Детальный осмотр jpg и png файлов выявил модификации вирусов. То есть они не все были одинаковыми. Иногда во время записи на новое изображение тело вируса видоизменялось. Причём менялся конец, название переменных, что делает его удаление весьма сложной задачей.
Чтобы избавиться от проблемы, следует найти место, где сохраняется вредоносное ПО даже после изменения изображения. Это место, как правило, . EXIF - сопутствующие данные о картинке. Здесь содержится информация о том, на что сделано фото, в каких условиях и т. д. Данный момент следует модернизировать.
Посмотрите, что там написано и сравните с данными первого фото, сделанного с помощью фотоаппарата.
А затем взгляните на имеющийся файл.
Итак, код вируса от начала до конца найден. Теперь можно будет избавиться и от видоизменяющегося вируса, не нанося повреждений файлу. Для этого потребуется редактирующая EXIF утилита, к примеру, exiftools. Из имеющихся в этой программе атрибутов нам нажжен «-all=»/
Теперь прогоним картинку:
exiftool -h brovi.jpg
exiftools –all= brovi.jgp
В результате получаем:
Далее на базе найденного выше создаётся регулярное выражение.
find . -name '*.jpg' -exec exiftool -h <> \; | grep -o base64
Таким образом, можно узнать имеется ли вирус в файле.
Рассказывать о многочисленных вариациях регулярного выражения мы говорить не будем, а ограничимся перечислением основным проблем при его создании:
- Exiftools не может вернуть путь к не отредактированным файлам;
- Grep + cat отказываются открыть бинарники;
- Exiftools при редактировании файла создаёт его копии;
- Необходимо исключить не заражённые файлы в exif и ничего с ними не делать.
Ниже мы даём скрипт, учитывающий все подводные камни. Он работает медленно но способен обеспечить удаление всех вирусов с правильной работой самого изображения.
find . -type f \( -name '*\.jpg' -or -name '*\.jpg' -or -name '*\.jpg' -or -name '*\.jpg' -or -name '*\.JPG' -or -name '*\.PNG' -or -name '*\.JPEG' -or -name '*\.GIF' \) -exec grep -rl base64 <> \; -exec exiftool -all= <> \; -exec rm '<>_original' \;
Команда может быть сокращена до более понятного варианта:
find . -type f -regex ".*\.\(jpg\|jpeg\|gif\|png\|JPG\|JPEG\|GIF\|PNG\)" -exec grep -rl base64 <> \; -exec exiftool -all= <> \; -exec rm '<>_original' \;
sudo apt-get install libimage-exiftool-perl
Уместно для ветки Debian.
Во время лечения следует помнить, что удалению подлежит не только вирус, но и его последствия, шелл скрипта и все их копии.
Добрый день,
**UPDATE**
Прошу прощения за неточность в формулировке вопроса.
Уточняю. Может ли онлайн сервис по сжатию изображений вставить вредоносный код в изображение, который потенциально повлияет на Гугл Аналитику?
у меня скорее всего паранойя, но дело в том, что я воспользовался оптимизатором изображений онлайн и с того момента как я загрузил данное изображение на свой сайт, в гугл аналитике появились сотни абсолютно левых посещений.
сайт статичный на Jekyll, так что тут вариантов не особо много.
Оценить 1 комментарий
Ну в теории, мы как делали -
1) берем сервак
2) настраиваем переадресацию с .jpg на .php
3) .php выполняет какую-то работу, а пусть даже многопоточным курлом с проксями раз 50 заходит на ваш сайт
4) после выполнения кода выдаем заголовки и картинку - картинка будет как ни в чем не бывало, только с дикой задержкой, пока будет код выполнятся. Хотя если покурить, то наверное можно из пхп запустить соседний скрипт, который и будет пыхтеть, а картинку выдать сразу же.
Да, то что вы сказали - сделать можно.
Только сервису по сжатию картинок не впал ваш сайт и тем более его прокачка и зафейливание аналитики.
Кстати, может быть другая штука. Если вы вставляете не просто JPG картинки, а ссылки на них с хоста, тогда вполне могут заходить боты, чтобы проверить какую-нибудь чушь типа ватермарков, посчитать просмотры и вообще какая-нибудь галлерея у них есть, куда все загруженное сливается. Это не целевые клиенты, но они могут быть
Григорий, спасибо за ответ.
У меня очень небольшой сайт, но в один момент появились сотни левых посещений. я загружал только фото со сторонних ресурсов.
начал читать на эту тему на StackOverflow и форумах, так у меня развилась паранойя на этот счет)) что в изображение встроили скрипт какой-то.
но думаю, вы правы: и эти два события просто совпадение. спасибо еще раз.
Читайте также: