Как может существовать вирус в изображении?

Недавно я смотрел это видео финского эксперта по интернет-безопасности. Где-то около одиннадцатой минуты он рассказывает о вирусе, который скрыт в изображении и выполняется, когда изображение будет отображаться.

Мне интересно, как они технически делают такие вещи, я имею в виду, как получилось вирус , когда изображение должно быть отображено и почему изображение не скомпрометировано каким-то образом. Я подумал, что компьютер сначала смотрит на расширение, затем открывает его с помощью соответствующей программы и позволяет самой программе работать (и я не ожидаю, что обычный просмотрщик изображений сможет запускать вирус внутри себя). Очевидно, что это не так, но никто из тех, кого я попросил, не смог бы помочь мне в этом.

Так кто-нибудь знает, как они это делают, принцип? Большое вам спасибо.

Ответ 1

Вы правы, что ваша ОС выберет программу и попросит ее открыть образ. ОС не будет просить программу выполнить образ - это будет чепуха.

Тем не менее, изображения имеют сложный формат и часто содержат метаданные (например, дату и время, когда была сделана фотография) и другие части, которые не отображаются напрямую - вы можете скрыть что-то там, не затрагивая изображение на экране. Таким образом, внутри файла изображения могут скрываться враждебные данные.

Кроме того, программа может содержать ошибки, в частности переполнения буфера. Вкратце, вирус может использовать это, помещая слишком большие данные в разделы метаданных - больше, чем ожидает программа, которая декодирует изображение. Переполнение внутренних буферов, и, обладая достаточными навыками, вирусописатель может поместить исполняемый код в нужное место в памяти, чтобы программа, декодирующая изображение, в конечном итоге выполняла код. Таким образом, невинный и "мертвый" файл, такой как изображение, может содержать эксплойт.

Ответ 2

Он не должен отображаться, его нужно прочитать.

У ОС может быть поток генерации миниатюр, который будет анализировать все найденные изображения. Переполнение буфера в этом коде позволит выполнить код без вмешательства пользователя.

Это относится к любому файлу, который имеет любую функцию автоматического чтения, извлекает свойства mp3, индексирует PDF и т.д.

Ответ 3

Вирус может хранить информацию в изображении и может использовать уязвимость в программе просмотра изображений. Он не может "заразить" изображение, настолько злонамеренно изменяя изображение, что программа, которая может его открыть, будет искажена и вызовет эксплойт в этом процессе.

Если вирус помещает искаженные данные в изображение для использования программы X, и изображение открывается в программе Y, вполне вероятно, что изображение либо не будет отображаться, потому что оно слишком искажено, либо будет отображаться как невинный или случайный выглядящего изображения в этой программе.

Недостаток, как и все эти вещи, не в формате изображения, а в реализации декодера изображения.