Гость А вот и я :) Опубликовано 15 декабря, 2005 Жалоба Поделиться Опубликовано 15 декабря, 2005 Загрузка фоток может приводить к зависанию системы На самом деле речь пойдёт не совсем о вирусах, а вообще об опасностях, которые могут скрываться в графических файлах. Это малоизвестный факт, но графические файлы, сделанные определённым образом, могут быть опасными. В XP SP2 была наконец заштопана существовавшая в Windows XP уязвимость, позволявшая встраивать в графический файл скрипт, который браузер начинал немедленно выполнять при открытии лже-картинки. Т.е. внешне файл выглядел как обычный графический файл с расширением .jpg, gif и т.п., но в действительности содержал в себе скрипт, приводивший к зависанию системы (при определённых условиях антивирусы этот скрипт не определяли). В настоящее время также существует уязвимость в Windows (в т.ч. и в WinXP SP2), приводящая к зависанию системы при открытии специальным образом сконструированного тега <IMG SRC>, являющегося командой на загрузку графического файла. В данном случае сам графический файл не содержит в себе никаких скриптов: обсуждаемая уязвимость заключается в неправильной обработке самого тега: открытие графического файла приводит к BSOD (т.н. "синий экран смерти", т.е. сообщение о критической ошибке системы) и перезагрузке системы. По понятным причинам я не буду приводить здесь, или где-либо ещё, сколько-нибудь детального описания метода, позволяющего реализовать эту уязвимость; я напишу только о потенциальной опасности и о методах защиты. Потенциальная опасность: 1. Специально сконструированный вредоносный тег <IMG SRC> может находиться абсолютно на любой странице любого сайта. 2. Вам могут прислать e-mail, в котором будет находиться такой тег. Самый простой способ защиты: 1. Отключить показ графики на незнакомых и подозрительных сайтах. 2. Отключить автоматическую загрузку графики в письмах. Например, в почтовой программе The Bat графика отключена всегда. Кстати, модераторам (по запросу) готов продемонстрировать чюдо в действии. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Siberex Опубликовано 15 декабря, 2005 Жалоба Поделиться Опубликовано 15 декабря, 2005 (изменено) А вот и я : Продемонстрируй хотя бы мне, если не сложно Буду признателен. Насколько я понял уязвимости подвержен только Internet Explorer? Изменено 15 декабря, 2005 пользователем Siberex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Siberex Опубликовано 15 декабря, 2005 Жалоба Поделиться Опубликовано 15 декабря, 2005 (изменено) С разрешения пользователя А вот и я :) выкладываю ссылку, где можно увидеть уязвимость. Предупреждение! Не рекомендую заходить из под IE-like браузеров без отключенной графики! http://ha.ckers.org/imagecrash.html Описание уязвимости: Используется ошибка библиотеки Windows, "растягивающей" изображения. Уязвимости подвержены так же все браузеры и просмотрщики графики, использующие эту библиотеку. Принцип действия: Изображение растягиваемое на X*Y пикселей занимает некоторое количество оперативной памяти. Т.е. если картинка размером 100*100 занимает 10 Кб памяти, то она же, растянутая средствами упомянутой библиотеки до размера X*Y будет занимать примерно (X*Y)/(100*100)*10 Кб памяти. То же самое и в просмотрщиках: Если загрузить картинку и увеличить её до X*Y то библиотека при её растягивании забьет всю память, затем весь файл подкачки, а затем система вылетит в BSOD за недостаточночтью ресурсов. Практическая выгода: К счастью (или к сожалению) уязвимость нереально использовать для выполнения произвольного кода. Браузер Opera не подвержен этому, т.к. не использует для сглаживания растянутых картинок упомянутую Win-библиотеку (входящую в состав IE), а сглаживает только выведенный на экран участок растянутой картинки. Вот вспомнил. Когда-то на http://raus.de/crashme была весёлая штука - окна сгенерированные в JavaScript плодились пока не забивали всю память, может кто помнит... Тоже работало только в IE-like браузерах. Вот ещё про приколы скриптов: <INPUT onclick="while(1) { alert('123')}" type=reset value="321"> Загоните в html и запустите в любом браузере где не отключены JavaScriptы Изменено 15 декабря, 2005 пользователем Siberex Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость А вот и я :) Опубликовано 18 декабря, 2005 Жалоба Поделиться Опубликовано 18 декабря, 2005 А вот ещё один пример. На этот раз фотка содержит в себе VBScript. Если у вас WinXP SP2, этот пример не работает, т.к. в SP2 этот глючок благополучно исправили. А вот с XP SP1 всё прекрасно работает: открытие картинки приводит к запуску скрипта, осуществляющего множественные запуски телнета, что в большинстве случаев приводит к зависанию системы. При этом надо отметить, что содержащийся в jpg файле скрипт легко распознаётся большинством известных антивирусов (в частности Norton идентифицирует скрипт как Hacktool.DOS). ВНИМАНИЕ: Если вы последние пару лет не обновляли вашу Винду, то крайне не рекомендуется кликать по этой ссылке без включенного антивируса. http://moo.ru/temp/kane.jpg Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость А вот и я :) Опубликовано 18 декабря, 2005 Жалоба Поделиться Опубликовано 18 декабря, 2005 А вот ещё один пример. На этот раз фотка содержит в себе VBScript. Содержащийся в jpg файле скрипт легко распознаётся большинством известных антивирусов (в частности Norton идентифицирует скрипт как Hacktool.DOS). Между прочим, вы знаете, как Norton определяет вирусы? А очень просто: он сравнивает проверяемый файл с теми кусками вирусов, которые есть у него в памяти. Если он обнаруживает совпадение, то начинает вопить, что нашёл вирус. А если совпадения нет, то, по мнению Нортона, и вируса там никакого нету. К чему это я? А попробуйте заменить в скрипте (см. вышеприведённую ссылку) microsoft.com на что-нибудь другое. Или попробуйте заменить 800 открытий телнета на 801, или 799, или любое другое число. Всё это приведёт к тому, что Нортон перестанет видеть в этом файле какую-либо опасность. Одним словом, Нортон антивирус - это не антивирус, а дурачёк, или дурачок (кому как нравиЦа). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
R&K Опубликовано 18 декабря, 2005 Жалоба Поделиться Опубликовано 18 декабря, 2005 Между прочим, вы знаете, как Norton определяет вирусы? А очень просто: он сравнивает проверяемый файл с теми кусками вирусов, которые есть у него в памяти. Если он обнаруживает совпадение, то начинает вопить, что нашёл вирус. А если совпадения нет, то, по мнению Нортона, и вируса там никакого нету. К чему это я? А попробуйте заменить в скрипте (см. вышеприведённую ссылку) microsoft.com на что-нибудь другое. Или попробуйте заменить 800 открытий телнета на 801, или 799, или любое другое число. Всё это приведёт к тому, что Нортон перестанет видеть в этом файле какую-либо опасность. Одним словом, Нортон антивирус - это не антивирус, а дурачёк, или дурачок (кому как нравиЦа). Что-то я не совсем понял о чем ты! :) Могу дать мыло, посмотрим прав ты или нет! :) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Гость А вот и я :) Опубликовано 18 декабря, 2005 Жалоба Поделиться Опубликовано 18 декабря, 2005 Что-то я не совсем понял о чем ты! :) Могу дать мыло, посмотрим прав ты или нет! :) Какое мыло? Чтобы убедиться, никакое мыло не нужно. Достаточно лишь заменить "microsoft.com" в файле kane.jpg на любой другой адрес, и Нортон уже не поймёт, что это модификация Hacktool.DOS. Меняем микрософт.ком на любой другой адрес, спокойненько проверяем kane.jpg Нортоном, и глупый Нортон молчит. Открываем лже-картику, и вот они - телнеты... (Это если у нас IE и Win XP SP1). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 18 декабря, 2005 Жалоба Поделиться Опубликовано 18 декабря, 2005 А вот и я : Какое мыло? Чтобы убедиться, никакое мыло не нужно. Достаточно лишь заменить "microsoft.com" в файле kane.jpg на любой другой адрес, и Нортон уже не поймёт, что это модификация Hacktool.DOS. Меняем микрософт.ком на любой другой адрес, спокойненько проверяем kane.jpg Нортоном, и глупый Нортон молчит. Открываем лже-картику, и вот они - телнеты... (Это если у нас IE и Win XP SP1). Да, кстати это беда некоторых антивирей! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 декабря, 2005 Жалоба Поделиться Опубликовано 19 декабря, 2005 Да, кстати это беда некоторых антивирей! Это зависит от эмулятора антивируса (эмулятор - программа, позволяющая имитировать работу компьютера одной системы на компьютере другой системы). И на данный момент лучшие эмуляторы остаются у McAfee и Dr WEB. Разработчики антивирусов, видимо, не особо стремяться создать слишком умный эмулятор, так как тут существует обратная сторона медали - в результате антивирус будет очень часто находить с его точки зрения опасные комбинации кода в совершенно безопасных для системы программах. Или, говоря другим языком, у него начнеться что-то типа мании преследования Что, конечно же, не будет одобрено их потенциальными пользователями. К тому же разработчики вирусов всё равно будут находить новые способы, как обмануть любой эмулятор. Так как обмануть всегда проще, чем идентифицировать ложь. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.