Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   ВИРИ в видео, аудио, картинках и других "неестественных" местах - ЭТО КАК? Кто видел? (http://forum.oszone.net/showthread.php?t=169217)

Diseased Head 05-03-2010 08:33 1361565
ВИРИ в видео, аудио, картинках и других "неестественных" местах - ЭТО КАК? Кто видел?
 
Привет!

Вот увидел в интернете новое определение вируса: http://www.microsoft.com/rus/protect...ics/virus.mspx
Цитата:
Цитата www.microsoft.com
Компьютерные вирусы — это небольшие программы, которые распространяются с компьютера на компьютер и вмешиваются в работу операционной системы.

Вирус может повредить или удалить данные на компьютере, распространиться на другие системы с помощью вашей программы электронной почты и даже уничтожить все, что находится на жестком диске.

Проще всего вирусы распространяются во вложениях сообщений электронной почты и мгновенных сообщений. Поэтому очень важно никогда не открывать вложения, если вы не ожидали их получить или не знаете, кто их отправил.

Вирусы могут распространяться под видом забавных картинок, поздравительных открыток, звуковых и видеофайлов.

Кроме того, их можно загрузить из Интернета вместе с нелицензионным программным обеспечением или другими файлами и программами.

Для предотвращения заражения компьютера вирусами важно своевременно устанавливать последние обновления и антивирусные средства, быть в курсе последних угроз и следовать основным правилам при работе в Интернете, загрузке файлов и открытии вложений.

Неважно, какую разновидность имеет вирус и как он попал на компьютер, прежде всего следует удалить его и предотвратить дальнейшее заражение.
Вопрос каким образом вири активируют себя из пассивных (как мне всегда казалось) данных, а точнее: видео и звуковых файлов, а также графических файлов? Кто нибудь с такими вирусами встречался?

Вот собсно сабж...

ShaddyR 05-03-2010 13:05 1361700
Цитата:
Цитата Diseased Head
каким образом вири активируют себя из пассивных (как мне всегда казалось) данных, а точнее: видео и звуковых файлов, а также графических файлов? »
самый старый способ - "на лохА" - когда под видом медиа-контента скачивается подстава - exe-файл с иконкой WMP и именем типа super-puper-diskoteka324897egfq398f7csdf0dr98g7wqe489709834570fdg987.mp3.exe. Из-за своей длины окончание имени файла в панели файл-менеджера обычно не видно, расширение - тоже - "глупый юзер робко кликнет". Если к этому имени добавить длиииинный URL, дабы имя полностью не отобразилось в строке подсказки - результат не заставит себя ждать)
Остальное касается выполнения произвольного кода и\или получения управления над удаленным компьютером вследствие наличия уязвимостей в программах, обрабатывающих соответствующий формат: в плейерах - обработка тэгов (Выполнение произвольного кода сценария в Winamp), в просмотрщиках - некорректная обработка служебного кода и\или ошибки в обработке данных соответствующего типа (уязвимость при обработке jpeg*— Яндекс: нашлось 39*тыс. страниц).
Альтернатива - вирус типа W32/Perrun - сиё зверье положило начало распространению чего угодно через что угодно (практически), но - требует установки своего модуля в систему, после регистрации которого и начинается веселье.

(перенес)

Baiker 06-03-2010 22:44 1362612
А если фильм типа Ротозеи.avi определяется как заражённый TrojanGrab.vb?

ShaddyR 07-03-2010 01:09 1362697
Baiker, кем определяется? Инет про таких ничего не знает - возможно ложное срабатывание. Думаю, предлагать отослать файл производителю антивируса излишне? ;)

Admiral 07-03-2010 04:09 1362741
Diseased Head, недаром заметка с МС. К примеру их библиотека GDIPlus встречалась (может даже ещё не раз встретится).
В своё время, по оценкам специалистов, GDIPlus была признан как небрежно реализованная и несущая колоссальную угрозу безопасности системы. В качестве панацеи даже предлагалось удаление библиотеки.
Например, используя JPEG GDI+ overflow (MS04-028), при наведении курсора в Windows Explorer на картинку в формате JPEG, можно было извлекать и запускать бинарник, который предварительно был там (прямо в jpeg файле) спрятан.
Ещё при этом бинарник с шелл-кодом мог идти в картинке в шифрованном виде.
А сам jpeg естественно сохраняет свои первичные свойства, даже картинка отображается.

TDK 08-03-2010 13:14 1363532
Цитата:
Цитата Admiral
при наведении курсора в Windows Explorer на картинку в формате JPEG, можно было извлекать и запускать бинарник, который предварительно был там (прямо в jpeg файле) спрятан. »
Всё верно. Принцип схож с запуском вирусованных графических, либо ехе. -файлов при помощи так называемых- джойнеров некоторых типов, когда в картинку с раширением jpeg, gif и пр., либо ехе-шник, внедряют вирус, или как иначе говорят- сливают с файлом. Разница только в том, что для запуска вируса юзеру надо изначально открыть картинку для просмотра двойным кликом, как это обычно и делается, и одновременно с этим запускается и исполняемый файл вируса. Та же схема и с запуском заражённого ехе-файла.

El Scorpio 09-03-2010 05:53 1364001
Цитата:
Цитата Diseased Head
Вирусы могут распространяться под видом забавных картинок, поздравительных открыток, звуковых и видеофайлов. »
Добавлю, что есть ещё "вирусы-спутники", которые ищут на флэшках каталоги,*а потом скрывают их и размещают рядом себя с таким же именем и иконкой.
Что самое интересное, редкий антивирь после удаления вируса восстанавливает видимость папки (зачастую атрибут "скрытый" приходится снимать вручную)

Drongo 09-03-2010 11:18 1364154
Цитата:
Цитата El Scorpio
есть ещё "вирусы-спутники", которые ищут на флэшках каталоги,*а потом скрывают их и размещают рядом себя с таким же именем и иконкой »
Этот вирус называется FlyStudio. Его видят касперский, CureIt. (то что я проверял ими)

TDK 11-03-2010 05:58 1365907
...и вот эти, блин, FlyStudio по чему-то чаще всего флэшки и посещают... Не так давно попался опять один такой. Обнаружен был Касперским,9-я версия. Антивир якобы сделал удаление, отчитался о проделанной работе. Приносят эту флешку, и... о чудо!Вирь опять на месте. Было обнаружено после прогонки Dr.Web, пока этим же доктором вторично по нему не врезал.

Diseased Head 16-03-2010 21:25 1370175
Цитата:
Цитата ShaddyR
Альтернатива - вирус типа W32/Perrun - сиё зверье положило начало распространению чего угодно через что угодно (практически), но - требует установки своего модуля в систему, после регистрации которого и начинается веселье. »
В общем то о таких возможностях я, можно сказать, знал. Хотя о реальных прототипах ещё не слышал. Но ведь на самом деле данные вирусы состоят из двух частей. Тело вируса зашифрованное/запакованное в файле. И программа декодер/распаковщик, при чём она должна быть активна. И если, к примеру, ко мне на компьютер попадёт файл с телом вируса, то он ни как не сможет активироваться без второй части. Хотя наличие паразитных данных меня уже не радует, но всё же...

Цитата:
Цитата Admiral
Например, используя JPEG GDI+ overflow (MS04-028), при наведении курсора в Windows Explorer на картинку в формате JPEG, можно было извлекать и запускать бинарник, который предварительно был там (прямо в jpeg файле) спрятан. »
У меня стойкое ощущение что эту библиотеку специально такой сделали...

dmitryst 16-03-2010 21:50 1370186
Цитата:
Цитата Diseased Head
И программа декодер/распаковщик, при чём она должна быть активна. »
Например, InternetExplorer, WindowsExplorer, и так далее... Уж со второй частью проблем не будет :)


Время: 23:52.

Время: 23:52.
© OSzone.net 2001-