Frage:
Finden Sie Viren in einer Bilddatei
kmecpp
2015-11-29 03:09:11 UTC
view on stackexchange narkive permalink

Ich habe gerade eine JPG-Datei erhalten, von der ich fast sicher bin, dass sie einen Virus enthält. Daher habe ich zwei Fragen dazu, was ich mit dem Bild tun kann.

Meine erste Frage stammt aus der Tatsache dass ich die Datei einmal geöffnet habe und das Programm, mit dem ich sie geöffnet habe, den Fehler "ungültiges oder beschädigtes Bild" ergab. Ich möchte also wissen, ob ein im Image enthaltener Virus möglicherweise noch ausgeführt werden könnte, wenn die Software das Image nicht vollständig geöffnet hätte.

Meine zweite Frage ist, ob es eine Möglichkeit dazu gibt Dekodieren / Dekompilieren der Bilddaten, um deren Inhalt besser anzeigen zu können. Derzeit verwende ich Notepad ++. Ich habe gerade die Datei geöffnet und sehe mir den Rohinhalt an. Dies ist einer der Gründe, warum ich so sicher bin, dass es sich um einen Virus handelt:

enter image description here

Gibt es einen besseren Weg, um herauszufinden, was der Virus tut und wie er funktioniert? Ich muss wissen, ob meine Sicherheit gefährdet ist oder nicht.

BEARBEITEN:

Gründe, warum ich denke, dass es einen Virus enthält:

  1. Es ist so größer als das erwartete Bild
  2. Scannen
  3. Anzeigen von Inhalten im Editor ( Datei)
  4. Wie sich die Person, die mir die Datei gegeben hat, verhalten hat
    5. ol>
Darf ich fragen, warum Sie so sicher sind, dass die Datei einen Virus enthält? Es ist ziemlich selten, dass Bilddateien eine enthalten. OTOH ist es viel häufiger, eine ausführbare Datei zu finden, die sich als Bild ausgibt, indem man den Namen "Something.jpg.exe" hat und auf dumme Standardeinstellungen von Windows setzt, um die echte Erweiterung zu verbergen.
@Torinthiel hah, das ist eigentlich eine gute Möglichkeit, diese Windows-Funktion zu umgehen, aber nein, ich habe sie so eingestellt, dass Dateierweiterungen angezeigt werden. Warum ich so zuversichtlich bin, dass es sich um einen Virus handelt: 1) Es ist viel größer als das erwartete Bild. 2) Scan: http://bit.ly/1MWP9Ni 3) Betrachten des Inhalts im Editor: http: // kmecpp. com / factionbase.txt 4) Die Art und Weise, wie die Person, die mir die Datei gegeben hat, gehandelt hat
@kmecpp Selbst wenn Sie Dateierweiterungen aktivieren, kann die Umkehrung des Unicode-Dateinamens verwendet werden, um diese Tatsache zu verbergen.
Fünf antworten:
Steffen Ullrich
2015-11-29 04:28:39 UTC
view on stackexchange narkive permalink

Basierend auf der Beschreibung bei Virustotal, die Sie damit verlinkt haben, handelt es sich in Wirklichkeit nicht um ein Image, sondern um eine echte ausführbare PE32-Datei (normale ausführbare Windows-Datei). Daher wurde nur die Dateinamenerweiterung geändert, um den eigentlichen Zweck der Datei zu verbergen.

PE32 wird nicht automatisch ausgeführt, wenn sie wie in diesem Fall die Erweiterung .jpg haben. Auch der Bildbetrachter, der standardmäßig mit der Datei aufgerufen wird, führt den Code nicht aus, sondern beendet oder beschwert sich, dass dies kein gültiges Bild ist.

Daher würde diese Datei nicht alleine funktionieren. Solche Dateien werden jedoch normalerweise zusammen mit einer anderen Datei verwendet, die sie in name.exe umbenennt und ausführt. Dies kann mithilfe einer Batchdatei mithilfe des Windows Scripting Host ActiveX in einer Website oder E-Mail oder ähnlichem erfolgen. Diese Strategie wird verwendet, um Antiviren- und Firewalls zu umgehen, bei denen die Analyse der "jpg" -Datei aufgrund der Erweiterung möglicherweise übersprungen wird und im zugehörigen Skript (das die Datei nur umbenennt und ausführt) nichts Verdächtiges gefunden wird.

... wenn es eine Möglichkeit gibt, die Bilddaten zu dekodieren / dekompilieren

Auch hier handelt es sich nicht um ein Bild, sondern um eine ausführbare Datei, sodass das Tool der Wahl ein Disassembler oder Debugger sein kann , Sandbox-Ausführung usw. Siehe auch die -Analyse von Virustotal.

Bei der Demontage ähnelt dieser Text im Screenshot verdächtig einer .NET-Klasse. Der verlinkte Text enthält Verweise auf "mscoree.dll" und "mscorlib". Also würde ich zuerst einen .NET-Dekompiler ausprobieren (z. B. ILSpy).
Eigentlich kann man es einfach mit Notepad ++ öffnen (hier unterscheidet es sich von dem, was der O.P. getan hat) ** bevor ** etwas anderes getan wird, kopiere die ersten von Menschen lesbaren Zeichen und google sie. ZM und MZ geben eine ausführbare Windows-Datei an. JFIF zeigt ein JPEG-Bild an. PNG wird für PNG-Bilder verwendet.
Ich habe die Textdatei geöffnet und das erste, was ich sehen kann, ist "Dieses Programm kann nicht im DOS-Modus ausgeführt werden." Völlig eine Bilddatei.
@sysreq Nun, ich weiß nicht, wie die O.P. etwas ** so Sichtbares ** entkommen lässt. Wirklich! Aber ich habe in den ersten 4-8 Bytes gesprochen. Trotzdem weiß ich nicht, wie so etwas dem O.P. entkommen ist.
@sysreq: Es ist einfach, eine Zeichenfolge in eine JPEG-Datei einzubetten, und es sollte möglich sein, eine ganze PE32-Binärdatei (als gefälschte Miniaturansicht oder ähnliches) einzubetten. Nur das Auftreten dieser Zeichenfolge irgendwo in der Datei bedeutet nicht viel, während die ersten magischen Bytes der Datei viel besser anzeigen, um welche Art von Datei es sich handelt (aber Vorsicht vor ZIP- oder PDF-Dateien, die am Anfang Junk enthalten können). Nicht alles, was offensichtlich aussieht, ist tatsächlich wahr.
Am Ende der Datei steht "O r i g i n a l F i l e n a m e f a c t i n b a s e. E x e" und eine Produktversion von 1.0.0.0. Ein interessantes Bild sicher.
Zu Ihrer Information, die ausführbare Datei benötigt keine gültige ausführbare Dateierweiterung, um ausgeführt zu werden.
@user69874 ist richtig.Es ist explorer.exe, die die Entscheidung trifft, ein Programm aufzurufen, das zum Öffnen der Datei basierend auf ihrer Erweiterung konfiguriert ist.Die Windows-Befehlszeile cmd.exe versucht zunächst, alles auszuführen.Daher ist keine Umbenennung erforderlich, bevor es von einem .bat, .cmd usw. ausgeführt wird.
StackzOfZtuff
2015-11-29 05:06:17 UTC
view on stackexchange narkive permalink

Re. Frage 1:

Dies sieht überhaupt nicht wie ein JPG aus. Es hat die magischen "MZ" -Zeichen am Anfang der Datei, die "Windows Portable Executable File" bedeuten. Auch Ihr VirusTotal-Bericht weist in diese Richtung: einfach eine EXE-Datei, die nicht ".EXE" als Dateinamensuffix hat.

Im Gegensatz sollte eine JPG-Datei die folgenden vier Nicht-Dateien enthalten. ASCII-druckbare Bytes ganz am Anfang der Datei: ff d8 ff e0

Jeder Bildbetrachter, der selbst die grundlegendste Überprüfung seiner Eingabedatei durchführt, sollte dies sofort und nicht einmal erkennen versuche weiter zu verarbeiten. Daher halte ich es nicht für wahrscheinlich, dass Sie Ihren Computer infiziert haben, indem Sie versucht haben, diese Datei mit einem Bildbetrachter zu öffnen.

Re. Frage 2:

Siehe oben. Es ist überhaupt keine Bilddatei. Und es gibt keine einfache Anweisung für das ausführbare Reverse Engineering. Es ist kompliziertes Zeug.

Ich schlage vor, Sie laden es einfach auf alle Online-Antivirenscanner hoch, die Sie finden können. Einige von ihnen führen Sandbox-Umgebungen aus und geben einen Bericht darüber, was der Prozess zu ändern versucht hat. (Möglicherweise müssen Sie die Datei umbenennen, um das Suffix ".EXE" zu erhalten, bevor Sie dies tun. Seien Sie also vorsichtig. Oder noch besser: Benennen Sie sie um und senden Sie sie von einem Linux- oder Mac-Computer, der nicht einmal versehentlich Windows EXEs ausführen kann. )

Update 2016-11-21: Einige Scanergebnisse

CubicleSoft
2015-11-29 12:26:01 UTC
view on stackexchange narkive permalink

"Ich möchte also wissen, ob ein im Image enthaltener Virus möglicherweise noch ausgeführt werden könnte, wenn die Software das Image nicht vollständig geöffnet hätte?"

Angesichts der anderen Antworten, dass es sich um eine ausführbare PE-Datei handelt, ist es sehr unwahrscheinlich, dass Sie durch Öffnen in einem Bildeditor / Viewer etwas Schädliches getan haben. Bildbetrachter sehen sich im Allgemeinen die ersten Bytes einer Datei an, um ihren Dateityp zu bestimmen, und geben dann einen Fehler aus, wenn sie nicht mit bekannten Signaturen übereinstimmen. Die Einführung der meisten Dateiformate wird als "magische Zahl" bezeichnet - fast jedes Dateiformat hat eine. Mit magischen Zahlen können Leser eine Überprüfung der Dateidaten durchführen, bevor sie versuchen, Müll zu verarbeiten.

Wenn es sich um eine legitime Bilddatei handelt, ist es wichtig zu beachten, dass im Laufe der Jahre Pufferüberläufe aufgetreten sind die Art und Weise, wie bestimmte Bildparser in verschiedenen Softwarebibliotheken arbeiteten. Vor einigen Jahren wurden einige Exploits entdeckt, um ein spezielles Bild zu erstellen, mit dem verschiedene Bibliotheksschwächen in einigen der beliebtesten Bibliotheken, die von Bildbearbeitungs- und Betrachtungssoftware verwendet werden, ausgenutzt werden können. Wenn Lücken entdeckt werden, werden sie natürlich gepatcht, aber es liegt an jedem Softwareanbieter, der die Bibliothek verwendet, um seine Software zu aktualisieren, und dann muss jeder Benutzer dieser Software die Software aktualisieren. Dieser Vorgang kann einige Zeit in Anspruch nehmen.

Aber in Ihrem Fall ist es wahrscheinlich nur eine schlecht benannte EXE und Ihre Maschine ist wahrscheinlich in Ordnung. Dies bedeutet wahrscheinlich auch, dass jeder, den sie mit dieser Nachricht gespammt haben, einen ebenso fehlerhaften Dateinamen erhalten hat und die Empfänger ihn auch nicht öffnen können. Die Bereitstellung von Malware schlägt fehl. Punktzahl eins für dumm.

Meine zweite Frage ist, ob es eine Möglichkeit gibt, die Bilddaten zu dekodieren / dekompilieren, um ihren Inhalt besser anzuzeigen?

Es gibt Tools zum Zerlegen von PE-Dateien (Aufschlüsselung von Abschnitten auf hoher Ebene). In diesem Fall könnte .NET beteiligt sein. Ich musste seit einiger Zeit nicht mehr zerlegen. Es gibt sowohl kostenlose als auch kommerzielle Reverse-Eningeering-Tools für .NET-Binärdateien. Wenn Sie für ein solches Tool Geld bezahlen, ist es im Allgemeinen deutlich besser als die kostenlosen Tools.

Wenn Sie der Meinung sind, dass Ihr Computer kompromittiert wurde, trennen Sie ihn von allen Netzwerken und wahrscheinlich Schalten Sie es aus, bis Sie das Betriebssystem neu installieren können. Das Letzte, was Sie wollen / brauchen, ist Cryptowall und ein Bonus-Rootkit, das installiert werden muss. Die Neuinstallation eines Betriebssystems ist heutzutage die einzige Option für einen Malware-Befall. Die meisten der heute per E-Mail bereitgestellten Malware sind nur kleine Downloader, um mehr Malware aus dem Internet zu holen. Sobald es einen kleinen Halt gibt, ist das Spiel für das Betriebssystem vorbei.

Öffnen Sie schließlich keine seltsamen Anhänge von seltsamen Personen.

Torinthiel
2015-11-29 03:14:23 UTC
view on stackexchange narkive permalink

Wenn Sie sicher sind, dass die Datei einen Virus enthält, ist es möglich, dass der Virus auch mit dieser Meldung aktiviert wurde. Z.B. Pufferüberlauf in Ihrem Bildbetrachtungsprogramm. Die genaue Antwort hängt jedoch vom genauen Virenmechanismus und dem genauen Programm ab.

Verwenden Sie zur besseren Anzeige als ersten Schritt einen beliebigen Hex-Editor. Beachten Sie jedoch, dass jedes Tool, das Sie verwenden, eine Menge spezifischer Fähigkeiten erfordert, um einen Virus richtig zu analysieren, viel Wissen über Betriebssysteme, Bibliotheken, Dateiformate und Programme, die Sie verwenden.

Rápli András
2016-04-03 00:16:12 UTC
view on stackexchange narkive permalink

Soweit ich mich erinnere, ist die einzige Möglichkeit, einen Virus in einer JPG-Datei auszuführen, eine bestimmte Windows-Sicherheitsanfälligkeit, die ein spezielles RTL -Zeichen (von rechts nach links) im Dateinamen enthält bewirken, dass der Dateiname von rechts nach links analysiert wird. Wenn Sie beispielsweise die Datei mit einem beliebigen Namen erhalten haben, der exe.whatever.jpg oder tab.whatever.jpg ähnelt, ist dies möglicherweise der Fall. Die Anwendung hat möglicherweise auch das gleiche Symbol wie Windows Photo Viewer, und der Angriff ist ziemlich getarnt.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...