Фотки с вирусами

[Гость А вот и я :)]

Загрузка фоток может приводить к зависанию системы

На самом деле речь пойдёт не совсем о вирусах, а вообще об опасностях, которые могут скрываться в графических файлах. Это малоизвестный факт, но графические файлы, сделанные определённым образом, могут быть опасными. В XP SP2 была наконец заштопана существовавшая в Windows XP уязвимость, позволявшая встраивать в графический файл скрипт, который браузер начинал немедленно выполнять при открытии лже-картинки. Т.е. внешне файл выглядел как обычный графический файл с расширением .jpg, gif и т.п., но в действительности содержал в себе скрипт, приводивший к зависанию системы (при определённых условиях антивирусы этот скрипт не определяли).

В настоящее время также существует уязвимость в Windows (в т.ч. и в WinXP SP2), приводящая к зависанию системы при открытии специальным образом сконструированного тега <IMG SRC>, являющегося командой на загрузку графического файла. В данном случае сам графический файл не содержит в себе никаких скриптов: обсуждаемая уязвимость заключается в неправильной обработке самого тега: открытие графического файла приводит к BSOD (т.н. "синий экран смерти", т.е. сообщение о критической ошибке системы) и перезагрузке системы.

По понятным причинам я не буду приводить здесь, или где-либо ещё, сколько-нибудь детального описания метода, позволяющего реализовать эту уязвимость; я напишу только о потенциальной опасности и о методах защиты.

Потенциальная опасность:

1. Специально сконструированный вредоносный тег <IMG SRC> может находиться абсолютно на любой странице любого сайта.

2. Вам могут прислать e-mail, в котором будет находиться такой тег.

Самый простой способ защиты:

1. Отключить показ графики на незнакомых и подозрительных сайтах.

2. Отключить автоматическую загрузку графики в письмах. Например, в почтовой программе The Bat графика отключена всегда.

Кстати, модераторам (по запросу) готов продемонстрировать чюдо в действии.

[Siberex]

А вот и я :

Продемонстрируй хотя бы мне, если не сложно Буду признателен.

Насколько я понял уязвимости подвержен только Internet Explorer?

Изменено 15 декабря, 2005 пользователем Siberex

[Siberex]

С разрешения пользователя А вот и я :) выкладываю ссылку, где можно увидеть уязвимость.

Предупреждение! Не рекомендую заходить из под IE-like браузеров без отключенной графики!

http://ha.ckers.org/imagecrash.html

Описание уязвимости:

Используется ошибка библиотеки Windows, "растягивающей" изображения. Уязвимости подвержены так же все браузеры и просмотрщики графики, использующие эту библиотеку.

Принцип действия:

Изображение растягиваемое на X*Y пикселей занимает некоторое количество оперативной памяти. Т.е. если картинка размером 100*100 занимает 10 Кб памяти, то она же, растянутая средствами упомянутой библиотеки до размера X*Y будет занимать примерно (X*Y)/(100*100)*10 Кб памяти.

То же самое и в просмотрщиках: Если загрузить картинку и увеличить её до X*Y то библиотека при её растягивании забьет всю память, затем весь файл подкачки, а затем система вылетит в BSOD за недостаточночтью ресурсов.

Практическая выгода: К счастью (или к сожалению) уязвимость нереально использовать для выполнения произвольного кода.

Браузер Opera не подвержен этому, т.к. не использует для сглаживания растянутых картинок упомянутую Win-библиотеку (входящую в состав IE), а сглаживает только выведенный на экран участок растянутой картинки.

Вот вспомнил. Когда-то на http://raus.de/crashme была весёлая штука - окна сгенерированные в JavaScript плодились пока не забивали всю память, может кто помнит... Тоже работало только в IE-like браузерах.

Вот ещё про приколы скриптов:

<INPUT onclick="while(1) { alert('123')}" type=reset value="321">

Загоните в html и запустите в любом браузере где не отключены JavaScriptы

Изменено 15 декабря, 2005 пользователем Siberex

[Гость А вот и я :)]

А вот ещё один пример. На этот раз фотка содержит в себе VBScript.

Если у вас WinXP SP2, этот пример не работает, т.к. в SP2 этот глючок благополучно исправили.

А вот с XP SP1 всё прекрасно работает: открытие картинки приводит к запуску скрипта, осуществляющего множественные запуски телнета, что в большинстве случаев приводит к зависанию системы. При этом надо отметить, что содержащийся в jpg файле скрипт легко распознаётся большинством известных антивирусов (в частности Norton идентифицирует скрипт как Hacktool.DOS).

ВНИМАНИЕ: Если вы последние пару лет не обновляли вашу Винду, то крайне не рекомендуется кликать по этой ссылке без включенного антивируса.

http://moo.ru/temp/kane.jpg

[Гость А вот и я :)]

А вот ещё один пример. На этот раз фотка содержит в себе VBScript.

Содержащийся в jpg файле скрипт легко распознаётся большинством известных антивирусов (в частности Norton идентифицирует скрипт как Hacktool.DOS).

Между прочим, вы знаете, как Norton определяет вирусы? А очень просто: он сравнивает проверяемый файл с теми кусками вирусов, которые есть у него в памяти. Если он обнаруживает совпадение, то начинает вопить, что нашёл вирус. А если совпадения нет, то, по мнению Нортона, и вируса там никакого нету. К чему это я? А попробуйте заменить в скрипте (см. вышеприведённую ссылку) microsoft.com на что-нибудь другое. Или попробуйте заменить 800 открытий телнета на 801, или 799, или любое другое число. Всё это приведёт к тому, что Нортон перестанет видеть в этом файле какую-либо опасность. Одним словом, Нортон антивирус - это не антивирус, а дурачёк, или дурачок (кому как нравиЦа).

[R&K]

Между прочим, вы знаете, как Norton определяет вирусы? А очень просто: он сравнивает проверяемый файл с теми кусками вирусов, которые есть у него в памяти. Если он обнаруживает совпадение, то начинает вопить, что нашёл вирус. А если совпадения нет, то, по мнению Нортона, и вируса там никакого нету. К чему это я? А попробуйте заменить в скрипте (см. вышеприведённую ссылку) microsoft.com на что-нибудь другое. Или попробуйте заменить 800 открытий телнета на 801, или 799, или любое другое число. Всё это приведёт к тому, что Нортон перестанет видеть в этом файле какую-либо опасность. Одним словом, Нортон антивирус - это не антивирус, а дурачёк, или дурачок (кому как нравиЦа).

Что-то я не совсем понял о чем ты! :) Могу дать мыло, посмотрим прав ты или нет! :)

[Гость А вот и я :)]

Что-то я не совсем понял о чем ты! :) Могу дать мыло, посмотрим прав ты или нет! :)

Какое мыло? Чтобы убедиться, никакое мыло не нужно. Достаточно лишь заменить "microsoft.com" в файле kane.jpg на любой другой адрес, и Нортон уже не поймёт, что это модификация Hacktool.DOS. Меняем микрософт.ком на любой другой адрес, спокойненько проверяем kane.jpg Нортоном, и глупый Нортон молчит. Открываем лже-картику, и вот они - телнеты... (Это если у нас IE и Win XP SP1).

[Wu-Tang]

А вот и я :

Какое мыло? Чтобы убедиться, никакое мыло не нужно. Достаточно лишь заменить "microsoft.com" в файле kane.jpg на любой другой адрес, и Нортон уже не поймёт, что это модификация Hacktool.DOS. Меняем микрософт.ком на любой другой адрес, спокойненько проверяем kane.jpg Нортоном, и глупый Нортон молчит. Открываем лже-картику, и вот они - телнеты... (Это если у нас IE и Win XP SP1).

Да, кстати это беда некоторых антивирей!

[Saule]

Да, кстати это беда некоторых антивирей!

Это зависит от эмулятора антивируса (эмулятор - программа, позволяющая имитировать работу компьютера одной системы на компьютере другой системы). И на данный момент лучшие эмуляторы остаются у McAfee и Dr WEB.

Разработчики антивирусов, видимо, не особо стремяться создать слишком умный эмулятор, так как тут существует обратная сторона медали - в результате антивирус будет очень часто находить с его точки зрения опасные комбинации кода в совершенно безопасных для системы программах. Или, говоря другим языком, у него начнеться что-то типа мании преследования Что, конечно же, не будет одобрено их потенциальными пользователями.

К тому же разработчики вирусов всё равно будут находить новые способы, как обмануть любой эмулятор. Так как обмануть всегда проще, чем идентифицировать ложь.