Может ли быть вирус в jpg файле
Я далеко не нуб, просто может быть я немного отстал от прогресса?
Просто я боюсь по почте словить вирус через прикрепленные файлы.
Я понимаю, что jpg это не исполняемый файл, но можно ли например с помощью уязвимости винды всё таки запустить вирус который склеен с jpg?
Тоже касается и экзеля. Какая вероятность словить вирус с таким форматом?
На Windows можно все)Нет, я вполне реально. Можно сделать даже так, чтобы машина была заражена просто при открытии письма. Даже аттач не нужен. Я знаю, что возможно всё. Я интересуюсь какова вероятность? Мне очень сложно поверить, что в привате гуляет способ склейки вируса с jpg или xls Kimely: если вы придерживаетесь простых правил, типа: не открывать письма от незнакомых адресатов, не открывать аттачи, которые не запрашивали, и тому подобное - вероятность маленькая.
А если качаете и открываете все подряд, то, конечно, вероятность заражения приближается к 146%.
Конкретно, по jpg могу посоветовать использовать gmail. Он с недавнего времени грузит картинки себе на сервер и проверяет их.
В подавляющем большинстве случаев заражение происходит через исполняемые файлы. Поэтому думаю, что через jpeg заражение маловероятно (если это действительно .jpg, а не picture.jpg.exe).
Заражения через офисные документы гораздо более реально, поскольку они могут содержать исполняемый вредоносный код (Visual Basic, макросы, всякие OLE и прочая муть, которая там существует). Microsoft постоянно закрывает эксплойты в своих офисных приложениях, и вводят новые способы защиты. Так 2010 и 2013 офисы скачанные файлы сперва открывают в readonly режиме, предварительно запрещается исполнение макросов и прочее.
Ну по поводу Office у меня принудительно запрещены доверенный файлы макросы, активиск и прочее.
А вот касательно jpg картинок, то мне кажется, что единственный способ взлома тут это через уязвимость открывающего приложения. Вот только нужно его знать, ведь не все же использую стандартное средство просмотра шиндовз.
Даже не знаю, стоит ли допустим через виртуалку открывать эти файлы.
Согласен с вами про джпег, конечно более вероятен взлом уже через какой-то левый просмотрщик а-ля FOTOVIEWER by VOVAN_1998, небось еще специально сделанный для этой "картинки".
А про виртуалку, то еще и такие страхи бывают: Может ли вирус вылезть из виртуальной машины?
Слышал, что вирус может быть замаскирован под файл .jpg, у меня на сайте скриптом проверяется сайт на предмет появления новых и изменившихся файлов, чтобы быстро обнаружить вирус, но при проверке делается исключение для .jpg .jpg и пр. форматов, чтобы не нагружать сильно систему. Означает ли это что я могу пропустить вирус и не заметить его? Я просто не знаю как его маскируют и сможет ли мой скрипт обнаружить подмену, если файл будет вида file.jpg___exe то это одно. Реально ли замаскировать вирус в файл вида именно file.jpg?
от вируса в jpg не должно быть никому ничего плохого. важнее php html и т.п. проверять. в общем проверяйте все.
Proctor, в теории возможен любой самый маловероятный сценарий. Причем, хакер может оказаться упорнее вас и все исследует пока вы спите. Если вы "воюете" с хакером давно, он эксплуатирует какую-то не известную вам уязвимость, он даже может поставить эксперимент и узнать следите ли вы за файлами jpeg или нет.
Формальный ответ - да, возможен.
пара практических не таких уж маловероятных примеров :
1. Используется два файла. Крайне простой php-код может подключать сложный, записанный уже в jpeg. Никакой антивирус не будет помещать такой простой код в базу, потому что срабатываний будет слишком много. Да и вы вручную ничего криминального там не увидите.
2. Достаточно распространенная уязвимость возникает при совпадении условий : если возможна загрузка фото пользователем, движок записывает оригинальные байты из файла jpeg без обработки и можно запустить php-код заключенный в исходном из-за настройки cgi.fix_pathinfo=1.
Proctor, что вы понимаете под "вирусом"? Исполняемый файл (дроппер) для загрузки зверья на пользователя сайта? Тогда злоумышленнику нужен "эксплойт", простой "exe" никуда не встанет.
Или вы ведете речь о взломе хоста для заливки шелла? Если второй вариант, то netwind все верно написал. В двух словах - проблема будет не в типе файлов, а в инъекции - php include или sql include. Поэтому не имеет смысла зацикливаться на типе файла, нужно играть от вашей cms и системы фильтрации скриптов.
Обязательно проверяю и файлы с расширениями .jpg, .jpg, .jpg
Открывал код Notepad++ и был вшит eval(base64_decode
Пересохранив картинку,код удалялся.
а если еще учесть что в папке куда пользователи грузят изображения, в .htaccess запрещено исполнение любых скриптов, есть смысл проверять эту папку все равно?
Недавно компания Eset, специализирующаяся на создании антивирусного ПО сообщила об появлении нового троянского вируса, который маскируется под картинки в формате .jpg. То есть защифрованные вирусы jpeg расширением
Вирусы jpeg
Как работают вирусы jpeg?
Целью действия вредоносного ПО является похищение личных данных пользователя, в частности его паролей из e-mail. Он способен делать скриншоты рабочего стола и передавать своему создателю информацию о логинах и паролях жертвы. Вирус также интересуют данные для авторизации в социальных сетях и платёжных системах.
Вирус старается предельно скрыть свою «работу», чтобы не дать пользователю себя выявить и уничтожить. С этой целью блокируется доступ к редактору реестра, панели управления и диспетчеру задач.
Как удалить вирус
Аккуратные и внимательные пользователи не попадутся на столь простую уловку, как письмо от неизвестного адресата с вредоносным файлом. Антивирусы, как правило, своевременно предупреждают о запуске исполняемых файлов из e-mail либо браузера. Однако если вы всё-таки заразились, то ниже приведённый текст будет вам весьма полезен.
Поскольку изображение повреждено, его тело придётся удалять на базе регулярных выражений. Детальный осмотр jpg и png файлов выявил модификации вирусов. То есть они не все были одинаковыми. Иногда во время записи на новое изображение тело вируса видоизменялось. Причём менялся конец, название переменных, что делает его удаление весьма сложной задачей.
Чтобы избавиться от проблемы, следует найти место, где сохраняется вредоносное ПО даже после изменения изображения. Это место, как правило, . EXIF - сопутствующие данные о картинке. Здесь содержится информация о том, на что сделано фото, в каких условиях и т. д. Данный момент следует модернизировать.
Посмотрите, что там написано и сравните с данными первого фото, сделанного с помощью фотоаппарата.
А затем взгляните на имеющийся файл.
Итак, код вируса от начала до конца найден. Теперь можно будет избавиться и от видоизменяющегося вируса, не нанося повреждений файлу. Для этого потребуется редактирующая EXIF утилита, к примеру, exiftools. Из имеющихся в этой программе атрибутов нам нажжен «-all=»/
Теперь прогоним картинку:
exiftool -h brovi.jpg
exiftools –all= brovi.jgp
В результате получаем:
Далее на базе найденного выше создаётся регулярное выражение.
find . -name '*.jpg' -exec exiftool -h <> \; | grep -o base64
Таким образом, можно узнать имеется ли вирус в файле.
Рассказывать о многочисленных вариациях регулярного выражения мы говорить не будем, а ограничимся перечислением основным проблем при его создании:
- Exiftools не может вернуть путь к не отредактированным файлам;
- Grep + cat отказываются открыть бинарники;
- Exiftools при редактировании файла создаёт его копии;
- Необходимо исключить не заражённые файлы в exif и ничего с ними не делать.
Ниже мы даём скрипт, учитывающий все подводные камни. Он работает медленно но способен обеспечить удаление всех вирусов с правильной работой самого изображения.
find . -type f \( -name '*\.jpg' -or -name '*\.jpg' -or -name '*\.jpg' -or -name '*\.jpg' -or -name '*\.JPG' -or -name '*\.PNG' -or -name '*\.JPEG' -or -name '*\.GIF' \) -exec grep -rl base64 <> \; -exec exiftool -all= <> \; -exec rm '<>_original' \;
Команда может быть сокращена до более понятного варианта:
find . -type f -regex ".*\.\(jpg\|jpeg\|gif\|png\|JPG\|JPEG\|GIF\|PNG\)" -exec grep -rl base64 <> \; -exec exiftool -all= <> \; -exec rm '<>_original' \;
sudo apt-get install libimage-exiftool-perl
Уместно для ветки Debian.
Во время лечения следует помнить, что удалению подлежит не только вирус, но и его последствия, шелл скрипта и все их копии.
Читайте также: