файлови разширения и зловреден код

[evropeiski]

Здравейте.

Може ли да ми обясните файловете с кои разширения могат да бъдат потенциално опасни и в тях може да се крие зловреден код и файловете с какви разширения са безопасни и не е възможно в тях да се крие вирус. Например знам че в файловете с разширение zip, rar, exe могат да бъдат опасни и в тях да се крие зловреден код, чувал съм че файловете с разширение mр3 и avi са винаги безопасни и в тях няма вероятност да се крие зловреден код. Но за останалите файлови разширение нищо не съм чувал, ако ви се занимава да ми обясните ще съм благодарен.

[panevdd]

Предполагам, че това ще ти бъде от полза - Executable File Types.

Мога да те посъветвам да внимаваш и с файловете с разширение .htm и .html - отварянето на такъв файл с браузър също носи известен риск.

[meniak]

Откакто намерих заразена картинка.jpg не се доверяван на нищо

Не съм запознат добре с вирусите и с това на какво може да се закачи вирус и на какво не и затова тествах въпросната картинка на 5 машини с 5 различни антивирусни Kaspersky, Nod32, Panda, AVAST, F-Prot защото си мислех че е някаква фалшива тревога но след като и петте антивируса казаха че е вирус се замислих дали е фалшива тревога, вие какво ще кажете?

[avalon72]

Откакто намерих заразена картинка.jpg не се доверяван на нищо

Не съм запознат добре с вирусите и с това на какво може да се закачи вирус и на какво не и затова тествах въпросната картинка на 5 машини с 5 различни антивирусни Kaspersky, Nod32, Panda, AVAST, F-Prot защото си мислех че е някаква фалшива тревога но след като и петте антивируса казаха че е вирус се замислих дали е фалшива тревога, вие какво ще кажете?

Рядко се срещат вече заразени картинки, преди години е имало по-често.

[draco_volans]

А въпросната картинка, изобщо картинка ли е или само се показва в Windows Explorer с икона на картинка? Защото, ако се смени разширението на даден файл, то той се показва с иконка, която отговаря на разширението, въпреки че реално не отговаря на свойствата му. Примерно, да е exe, а да му се сложи разширение на картинка (jpg). Като какъв чешит зловреден код ти го разпознаха антивирусните? Лично аз не бих се учудил и допълнително манипулирана картинка да е... Просто, злите гении са толкова изобретателни напоследък...

[meniak]

А въпросната картинка, изобщо картинка ли е или само се показва в Windows Explorer с икона на картинка? Защото, ако се смени разширението на даден файл, то той се показва с иконка, която отговаря на разширението, въпреки че реално не отговаря на свойствата му. Примерно, да е exe, а да му се сложи разширение на картинка (jpg). Като какъв чешит зловреден код ти го разпознаха антивирусните? Лично аз не бих се учудил и допълнително манипулирана картинка да е... Просто, злите гении са толкова изобретателни напоследък...

 

От кадето и да го гледах фаила си беше картинка, даже си я записах на дискета и я показах на един приятел по опитен от мен в тая насока и тои доста се учуди и тои каза че злите гении са доста изобретателни.

Иначе за чешита на кода - не си спомням къкъв точно беше но не беше нещо много страшно.

[Night_Raven]

Всъщност нещата са относителни. Зависи за какво точно става въпрос.

Ако говорим за това дали е възможно във всеки файл да се вгради някакъв зловреден код, то да, може. В абсолютно всеки тип файл може да се вгради зловреден код. Това обаче не значи, че всеки файл е опасен при стартиране. Например в един MP3 файл може да се внедри да речем някой троянец или вирус. При възпроизвеждане на този MP3 файл обаче няма да има последици - ще се възпроизведе песента и толкова. Ако пък имаме внедрен зловреден код в да речем png файл, при двоен клик ще се зареди изображението и това ще е. Под вграждане на зловреден код във файловете имам предвид използване на въпросните файлове като прикритие за заобикаляне на някои защити. За да се стартира зловредният код трябва да има и част във файла, която да стартира самия зловреден код - loader. Без него внедреният зловреден код не може да направи нищо. Обикновено такива файлове се появяват/теглят/създават на системи, които са вече заразени с нещо. Т.е. съществуващата зараза сваля от някой сървър (от който е програмирана) да речем някое изображение, в което има внедрен зловреден код, в опит да заобиколи защитите, и след това си го стартира както си знае.

Ако говорим дали е възможно всеки файл да навреди на компютърна система сам по себе си, то тогава отговорът отново е "да". В такъв случай говорим за експлойт (exploit). Такива файлове са нарочно преправени/увредени, за да се възползват от някоя уязвимост в приложението, което отваря въпросния файл. Да речем имаше такъв случай с JPG. Имаше проблем/уязвимост/бъг (наричайте го както желаете) в Windows, който позволяваше изпълнение на даден код при отваряне на изображение. Т.е. специално създаден JPG файл успяваше да обърка Windows и да го накара да изпълни желан от автора на зловредния JPG код. Разбира се тази уязвимост беше закърпена преди много време и отдавна не съществува. Същото на теория може да се постигне и с всеки друг файл. Да речем специално създаден MP3/AVI/TXT да извърши пакости. В случая с MP3 например обаче това зависи и какъв плеър се ползва. Т.е. нужно е използваният плеър да има някъде уязвимост в своя начин на разчитане на файловете, която уязвимост да се използва и за нея да се създаде специален "лош" MP3 файл. Понеже за различните файлове често има доста различни програми за отварянето им и понеже различните файлове се разчитат по различен начин, и заради други фактори, експлойтите са по-скоро теоритични заплахи, отколкото реални. Не са рентабилни. Програмите се обновяват и уязвимостите в тях се закърпват. Има по-лесни и универсални начини да се пробие дадена защита и да се извърши дадена зловредна дейност и затова няма и толкова експлойти. Просто не си струват толкова усилията.

Има и друга ситуация - файл от рода на picture.jpg.exe с иконка на изображение. Това обаче въобще не е изображение, както в горните два случая, това си е жив изпълним файл, който е "преоблечен" като изображение. Така че не спада много в категорията.

[draco_volans]

Мдам... да те провокираме с невежеството си, се явява начинът да научаваме нови неща... в смилаем вид. Благодаря за инфото.

[The Graverobber]

преди година и половина ме нападна един троянец, който ми зарази всички мп3 файлове и при възпроизвеждане с някакъв плеър различен от уиндоуския се чуваше само шум. единствено с уиндоус медия плеър ставаше, но 20-ина секунди след като го пуснеш, се стартираше страница в интернет подобна на тази на майкрософт, в която се казваше че ми трябвали кодеци. естествено не посмях да ги сваля.