Trova virus in un file immagine

28

Ho appena ricevuto un file .jpg che sono quasi positivo e contiene un virus, quindi ho due domande su cosa sono in grado di fare con l'immagine.

La mia prima domanda deriva dal fatto che ho aperto il file una volta e il programma che ho usato per aprirlo ha dato l'errore "immagine non valida o danneggiata". Quindi voglio sapere se è possibile che un virus contenuto nell'immagine sia stato o meno eseguito se il software non ha "completamente" aperto l'immagine?

La mia seconda domanda è se esiste un modo per decodificare / decompilare i dati dell'immagine al fine di visualizzarne meglio il contenuto. Attualmente sto usando Notepad ++, ho appena aperto il file e sto guardando i suoi contenuti grezzi, che è uno dei motivi per cui sono così sicuro che sia un virus:

Quindic'èunmodomiglioreperscoprirecosafailvirusecomefunziona?Devosapereselamiasicurezzaèstatacompromessaomeno.

EDIT:

Motivipercuipensochecontengaunvirus:

  1. Èmoltopiùgrandedell'immaginechemiaspettavo
  2. Scansione
  3. Esame dei contenuti nel Blocco note ( file )
  4. Il modo in cui la persona che mi ha dato il file ha agito
posta kmecpp 28.11.2015 - 22:09
fonte

5 risposte

38

In base alla descrizione di Virustotal a cui ti sei collegato non si tratta in realtà di un'immagine, ma di un eseguibile PE32 reale (eseguibile di Windows normale). Pertanto, solo l'estensione del nome file è stata modificata per nascondere lo scopo reale del file.

PE32 non verrà eseguito automaticamente quando hanno l'estensione .jpg come in questo caso. Inoltre, il visualizzatore di immagini che verrà invocato con il file per impostazione predefinita non eseguirà il codice, ma uscirà o si lamenterà che questa non è un'immagine valida.

Quindi questo file non funzionerebbe da solo. Ma questi file vengono in genere utilizzati insieme a un altro file che lo rinomerà in name.exe e lo eseguirà. Questo può essere fatto da qualche file batch, con l'aiuto di Windows Scripting Host ActiveX all'interno di un sito Web o posta o simili. Questa strategia viene utilizzata per aggirare antivirus e firewall che potrebbero saltare l'analisi del file "jpg" a causa dell'estensione e non troveranno nulla di sospetto nello script di accompagnamento (che rinomina solo il file e lo esegue).

...if there is any way to decode/decompile the image data

Ancora una volta, questa non è un'immagine ma un eseguibile quindi lo strumento di scelta potrebbe essere un disassemblatore, un debugger, un'esecuzione sandboxed ecc. Vedi anche analisi da Virustotal .

    
risposta data 28.11.2015 - 23:28
fonte
11

Re. domanda 1:

Questo non sembra affatto un JPG. Ha i caratteri magici "MZ" all'inizio del file che significa "File eseguibile portatile di Windows". Anche il tuo report VirusTotal punta in quella direzione: semplicemente un file EXE che in realtà non ha ".EXE" come suffisso del nome del file.

Al contrario un file JPG dovrebbe avere i seguenti quattro byte stampabili non ASCII a proprio all'inizio del file: ff d8 ff e0

Quindi qualsiasi visualizzatore di immagini che esegue anche il controllo di base del proprio file di input dovrebbe rilevarlo immediatamente e nemmeno tentare di elaborarlo ulteriormente. Pertanto non penso che sia probabile che tu abbia infettato il tuo computer provando ad aprire quel file con un visualizzatore di immagini.

Re. Domanda 2:

Vedi sopra. Non è affatto un file di immagine. E non c'è una semplice istruzione per il reverse engineering eseguibile. È roba complicata.

Ti suggerisco di caricarlo su tutti gli scanner anti-virus online che riesci a trovare. Alcuni di essi eseguono ambienti sandbox e forniranno una relazione su ciò che il processo ha provato a cambiare . (Potrebbe essere necessario rinominare il file per avere il suffisso ".EXE" prima di farlo. Quindi, fai attenzione. Oppure, meglio: rinominalo e invialo da un computer Linux o Mac che non può nemmeno eseguire EXE di Windows per sbaglio. )

Aggiornamento 2016-11-21: alcuni risultati della scansione

risposta data 29.11.2015 - 00:06
fonte
4

"So i want to know whether or not its possible a virus contained inside the image could still have been executed if the software did not 'fully' open the image?"

Considerate le altre risposte che dicono che è un eseguibile PE, è molto improbabile che tu abbia fatto qualcosa di dannoso aprendolo in un editor di immagini / visualizzatore. I visualizzatori di immagini in genere guardano i primi pochi byte di un file per determinarne il tipo di file e quindi eseguono il bail con un errore se non corrisponde alle firme conosciute. L'introduzione della maggior parte dei formati di file è conosciuta come "numero magico": quasi tutti i formati di file ne hanno uno. I numeri magici consentono ai lettori di eseguire un controllo di integrità sui dati del file prima di tentare di elaborare i dati inutili.

Se si trattava di un file immagine legittimo, è importante notare che negli anni si sono verificati overflow del buffer che hanno sfruttato il modo in cui determinati parser di immagini funzionavano in varie librerie software. Alcuni exploit sono stati scoperti alcuni anni fa per creare un'immagine speciale per sfruttare le varie debolezze delle librerie in alcune delle librerie più popolari là fuori che l'uso di software di modifica e visualizzazione delle immagini. Ovviamente, man mano che vengono scoperti dei buchi, vengono riparati, ma spetta a ciascun fornitore di software utilizzare la libreria per aggiornare il proprio software e quindi ogni utente di quel software deve aggiornare il software. Questo processo può richiedere molto tempo per essere completato.

Ma nel tuo caso, no, probabilmente è solo un EXE con un nome errato e probabilmente la tua macchina sta andando bene. Il che probabilmente significa anche che tutti quelli che hanno spammato con quel messaggio hanno ricevuto un nome di file ugualmente malformato e anche i destinatari non possono aprirlo. La consegna del malware fallisce. Segna uno per stupido.

My second question is if there is any way to decode/decompile the image data in order to better view its contents?

Esistono strumenti per analizzare i file PE (suddivisione in sezioni di alto livello). Sembra che .NET possa essere coinvolto in questo caso. Non ho dovuto smontare da un po '. Sono disponibili strumenti di reverse-eningeering gratuiti e commerciali per binari .NET. Ovviamente, se si paga denaro per uno strumento del genere, in genere sarà significativamente migliore rispetto agli strumenti gratuiti.

Ciò detto, se ritieni che la tua macchina sia stata compromessa, disconnettila da tutte le reti e probabilmente spegnila fino a quando non puoi reinstallare il sistema operativo. L'ultima cosa che vuoi / serve è Cryptowall e un rootkit bonus per essere installato. La reinstallazione di un sistema operativo è l'unica opzione al giorno d'oggi per un'infestazione da malware. La maggior parte del malware distribuito via e-mail oggi è solo un piccolo downloader per andare a prendere più malware da Internet. Una volta che c'è un piccolo punto d'appoggio, è game over per il sistema operativo.

Infine, non aprire strani allegati da persone strane.

    
risposta data 29.11.2015 - 07:26
fonte
1

Se sei sicuro che il file contenga un virus, allora sì, è possibile che anche con questo messaggio il virus sia stato attivato. Per esempio. buffer overflow nel programma di visualizzazione delle immagini. La risposta esatta dipende tuttavia dal meccanismo esatto del virus e dal programma esatto.

Per una migliore visione - usa un editor esadecimale come primo passo. Ricorda però che qualunque strumento tu usi richiede un sacco di abilità specifiche per analizzare correttamente un virus, molte conoscenze sul sistema operativo, librerie, formati di file e programmi che si usano.

    
risposta data 28.11.2015 - 22:14
fonte
0

Per quanto mi ricordi, l'unico modo per eseguire un virus in un file jpg è una vulnerabilità specifica di Windows che coinvolge un carattere speciale RTL (da destra a sinistra) nel nome del file, che causerà il nome del file analizzato da destra a sinistra. Se ad esempio hai il file con un nome simile a exe.whatever.jpg o tab.whatever.jpg , potresti trovarti di fronte a questo. L'applicazione potrebbe anche essere scritta per avere la stessa icona di Windows Photo Viewer e l'attacco è piuttosto camuffato.

    
risposta data 02.04.2016 - 21:16
fonte

Leggi altre domande sui tag