Jump to content
СофтФорум - всё о компьютерах и не только

Фотки с вирусами


Guest А вот и я :)
 Share

Recommended Posts

Guest А вот и я :)

Загрузка фоток может приводить к зависанию системы

На самом деле речь пойдёт не совсем о вирусах, а вообще об опасностях, которые могут скрываться в графических файлах. Это малоизвестный факт, но графические файлы, сделанные определённым образом, могут быть опасными. В XP SP2 была наконец заштопана существовавшая в Windows XP уязвимость, позволявшая встраивать в графический файл скрипт, который браузер начинал немедленно выполнять при открытии лже-картинки. Т.е. внешне файл выглядел как обычный графический файл с расширением .jpg, gif и т.п., но в действительности содержал в себе скрипт, приводивший к зависанию системы (при определённых условиях антивирусы этот скрипт не определяли).

В настоящее время также существует уязвимость в Windows (в т.ч. и в WinXP SP2), приводящая к зависанию системы при открытии специальным образом сконструированного тега <IMG SRC>, являющегося командой на загрузку графического файла. В данном случае сам графический файл не содержит в себе никаких скриптов: обсуждаемая уязвимость заключается в неправильной обработке самого тега: открытие графического файла приводит к BSOD (т.н. "синий экран смерти", т.е. сообщение о критической ошибке системы) и перезагрузке системы.

По понятным причинам я не буду приводить здесь, или где-либо ещё, сколько-нибудь детального описания метода, позволяющего реализовать эту уязвимость; я напишу только о потенциальной опасности и о методах защиты.

Потенциальная опасность:

1. Специально сконструированный вредоносный тег <IMG SRC> может находиться абсолютно на любой странице любого сайта.

2. Вам могут прислать e-mail, в котором будет находиться такой тег.

Самый простой способ защиты:

1. Отключить показ графики на незнакомых и подозрительных сайтах.

2. Отключить автоматическую загрузку графики в письмах. Например, в почтовой программе The Bat графика отключена всегда.

Кстати, модераторам (по запросу) готов продемонстрировать чюдо в действии. :bye1:

Link to comment
Share on other sites

А вот и я :mad::

Продемонстрируй хотя бы мне, если не сложно :mad: Буду признателен.

Насколько я понял уязвимости подвержен только Internet Explorer?

Edited by Siberex
Link to comment
Share on other sites

С разрешения пользователя А вот и я :) выкладываю ссылку, где можно увидеть уязвимость.

Предупреждение! Не рекомендую заходить из под IE-like браузеров без отключенной графики!

http://ha.ckers.org/imagecrash.html

Описание уязвимости:

Используется ошибка библиотеки Windows, "растягивающей" изображения. Уязвимости подвержены так же все браузеры и просмотрщики графики, использующие эту библиотеку.

Принцип действия:

Изображение растягиваемое на X*Y пикселей занимает некоторое количество оперативной памяти. Т.е. если картинка размером 100*100 занимает 10 Кб памяти, то она же, растянутая средствами упомянутой библиотеки до размера X*Y будет занимать примерно (X*Y)/(100*100)*10 Кб памяти.

То же самое и в просмотрщиках: Если загрузить картинку и увеличить её до X*Y то библиотека при её растягивании забьет всю память, затем весь файл подкачки, а затем система вылетит в BSOD за недостаточночтью ресурсов.

Практическая выгода: К счастью (или к сожалению) уязвимость нереально использовать для выполнения произвольного кода.

Браузер Opera не подвержен этому, т.к. не использует для сглаживания растянутых картинок упомянутую Win-библиотеку (входящую в состав IE), а сглаживает только выведенный на экран участок растянутой картинки.

Вот вспомнил. Когда-то на http://raus.de/crashme была весёлая штука - окна сгенерированные в JavaScript плодились пока не забивали всю память, может кто помнит... Тоже работало только в IE-like браузерах.

Вот ещё про приколы скриптов:

<INPUT onclick="while(1) { alert('123')}" type=reset value="321">

Загоните в html и запустите в любом браузере где не отключены JavaScriptы

Edited by Siberex
Link to comment
Share on other sites

Guest А вот и я :)

А вот ещё один пример. На этот раз фотка содержит в себе VBScript.

Если у вас WinXP SP2, этот пример не работает, т.к. в SP2 этот глючок благополучно исправили.

А вот с XP SP1 всё прекрасно работает: открытие картинки приводит к запуску скрипта, осуществляющего множественные запуски телнета, что в большинстве случаев приводит к зависанию системы. При этом надо отметить, что содержащийся в jpg файле скрипт легко распознаётся большинством известных антивирусов (в частности Norton идентифицирует скрипт как Hacktool.DOS).

ВНИМАНИЕ: Если вы последние пару лет не обновляли вашу Винду, то крайне не рекомендуется кликать по этой ссылке без включенного антивируса.

http://moo.ru/temp/kane.jpg

:dntknw:

Link to comment
Share on other sites

Guest А вот и я :)

А вот ещё один пример. На этот раз фотка содержит в себе VBScript.

Содержащийся в jpg файле скрипт легко распознаётся большинством известных антивирусов (в частности Norton идентифицирует скрипт как Hacktool.DOS).

Между прочим, вы знаете, как Norton определяет вирусы? А очень просто: он сравнивает проверяемый файл с теми кусками вирусов, которые есть у него в памяти. Если он обнаруживает совпадение, то начинает вопить, что нашёл вирус. А если совпадения нет, то, по мнению Нортона, и вируса там никакого нету. К чему это я? А попробуйте заменить в скрипте (см. вышеприведённую ссылку) microsoft.com на что-нибудь другое. Или попробуйте заменить 800 открытий телнета на 801, или 799, или любое другое число. Всё это приведёт к тому, что Нортон перестанет видеть в этом файле какую-либо опасность. Одним словом, Нортон антивирус - это не антивирус, а дурачёк, или дурачок (кому как нравиЦа). :dntknw:

Link to comment
Share on other sites

Между прочим, вы знаете, как Norton определяет вирусы? А очень просто: он сравнивает проверяемый файл с теми кусками вирусов, которые есть у него в памяти. Если он обнаруживает совпадение, то начинает вопить, что нашёл вирус. А если совпадения нет, то, по мнению Нортона, и вируса там никакого нету. К чему это я? А попробуйте заменить в скрипте (см. вышеприведённую ссылку) microsoft.com на что-нибудь другое. Или попробуйте заменить 800 открытий телнета на 801, или 799, или любое другое число. Всё это приведёт к тому, что Нортон перестанет видеть в этом файле какую-либо опасность. Одним словом, Нортон антивирус - это не антивирус, а дурачёк, или дурачок (кому как нравиЦа). :dntknw:

Что-то я не совсем понял о чем ты! :) Могу дать мыло, посмотрим прав ты или нет! :)

Link to comment
Share on other sites

Guest А вот и я :)

Что-то я не совсем понял о чем ты! :) Могу дать мыло, посмотрим прав ты или нет! :)

Какое мыло? Чтобы убедиться, никакое мыло не нужно. Достаточно лишь заменить "microsoft.com" в файле kane.jpg на любой другой адрес, и Нортон уже не поймёт, что это модификация Hacktool.DOS. Меняем микрософт.ком на любой другой адрес, спокойненько проверяем kane.jpg Нортоном, и глупый Нортон молчит. Открываем лже-картику, и вот они - телнеты... (Это если у нас IE и Win XP SP1). :dntknw:

Link to comment
Share on other sites

А вот и я :bye1::

Какое мыло? Чтобы убедиться, никакое мыло не нужно. Достаточно лишь заменить "microsoft.com" в файле kane.jpg на любой другой адрес, и Нортон уже не поймёт, что это модификация Hacktool.DOS. Меняем микрософт.ком на любой другой адрес, спокойненько проверяем kane.jpg Нортоном, и глупый Нортон молчит. Открываем лже-картику, и вот они - телнеты... (Это если у нас IE и Win XP SP1).

Да, кстати это беда некоторых антивирей!

Link to comment
Share on other sites

Да, кстати это беда некоторых антивирей!

Это зависит от эмулятора антивируса (эмулятор - программа, позволяющая имитировать работу компьютера одной системы на компьютере другой системы). И на данный момент лучшие эмуляторы остаются у McAfee и Dr WEB.

Разработчики антивирусов, видимо, не особо стремяться создать слишком умный эмулятор, так как тут существует обратная сторона медали - в результате антивирус будет очень часто находить с его точки зрения опасные комбинации кода в совершенно безопасных для системы программах. Или, говоря другим языком, у него начнеться что-то типа мании преследования :bye1: Что, конечно же, не будет одобрено их потенциальными пользователями.

К тому же разработчики вирусов всё равно будут находить новые способы, как обмануть любой эмулятор. Так как обмануть всегда проще, чем идентифицировать ложь.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...