Bisakah Anda benar-benar mendapatkan trojan dalam file gambar dan jika demikian bagaimana itu akan dijalankan?

Saya baru saja mendigitalkan beberapa piringan hitam dan membutuhkan beberapa sampul. Pemindai saya tidak cukup besar untuk memindai album jadi saya mencari dan mengunduh gambar dari internet.

Ketika saya melakukannya, Avast melaporkan bahwa salah satu dari mereka berisi trojan "Win32: Hupigon-ONX" dan segera mengkarantina itu. Tidak ingin mengambil risiko, saya mengunduh salinan berbeda yang dilaporkan bersih.

Sekarang apakah ini hanya positif palsu dari Avast atau mungkinkah ada trojan di jpg?

Jika ada bagaimana itu akan dieksekusi?

Saya harus mengakui bahwa aspek trojan dan virus ini selalu membingungkan saya. Sebagai pengembang perangkat lunak, saya selalu memeriksa panjang array dll. Jadi saya tidak melihat mengapa hal-hal seperti buffer overruns harus terjadi. Saya mengerti bahwa orang melakukan kesalahan dan membuat kesalahan dan jika perangkat lunaknya cukup kompleks, kesalahan ini dapat lolos.

Eksploitasi dalam file gambar memanfaatkan kelemahan buffer overrun dalam kode pemrosesan gambar OS. Ada beberapa kelemahan signifikan yang ditemukan pada lapisan GDI Windows beberapa tahun yang lalu - tambalan telah dirilis sejak lama tetapi mengeksploitasi gambar masih ada di sana hanya karena mereka tetap tinggal atau dengan harapan bahwa mereka menabrak mesin yang belum ditambal .

Penyebab biasa dari lubang keamanan semacam itu adalah melewatkan data gambar antara fungsi-fungsi pada tumpukan panggilan dan tidak benar memeriksa panjang data maksimum. Ini dapat dieksploitasi dengan data yang dibuat secara cerdik yang ukurannya lebih besar dan diatur sedemikian rupa sehingga berakhir dengan menimpa kode berikutnya dalam bingkai tumpukan (menimpa dengan kode lain) atau menimpa pointer ke kode yang akan digunakan untuk memanggil fungsi lain atau sebagai fungsi yang dipanggil kembali adalah pemanggil (menimpa pointer tersebut untuk membuatnya mengarah ke kode exploit), atau menimpa data sedemikian rupa yang menyebabkan lubang lain terekspos. Metode yang tepat bervariasi tergantung pada lubang keamanan yang dimaksud.

CPU modern memiliki perlindungan yang menghentikan sebagian besar eksploitasi ini jika kode mendukungnya. Ini bekerja dengan program / pustaka secara eksplisit menandai halaman mana yang merupakan data dan mana yang merupakan kode - CPU kemudian akan memunculkan eksepsi jika ada sesuatu yang seharusnya berupa data (seperti data gambar) mencoba dieksekusi sebagai kode. IIRC Vista dan di atas dan versi terbaru dari .Net telah memiliki semua pustaka mereka digabung ulang untuk mendukung perlindungan ini, dan itu didukung oleh OS lain juga, tetapi ini tidak menghentikan semua eksploitasi tersebut dan hanya berfungsi jika dihidupkan secara eksplisit (jika tidak, banyak kode lama akan rusak).

Saya harus mengakui bahwa aspek trojan dan virus ini selalu membingungkan saya. Sebagai pengembang perangkat lunak, saya selalu memeriksa panjang array dll. Jadi saya tidak melihat mengapa hal-hal seperti buffer overruns harus terjadi.

Selamat datang di dunia nyata ;-). Buffer overflows & c. dapat terjadi dalam banyak bahasa (terutama pada mereka dengan manajemen memori manual seperti C), dan sebagai pengembang membuat kesalahan, mereka lakukan terjadi.

Sementara biasanya buffer overflow hanya akan membuat crash program (segmentasi pelanggaran atau sejenisnya), itu memungkinkan penyerang untuk mengeksekusi kode -> trojan diaktifkan.

Sebagai contoh:

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

http://secunia.com/advisories/35216/

Dan untuk penjelasan bagaimana ini memungkinkan eksekusi kode:

/programming/460519/how-are-buffer-overflows-used-to-exploit-computers

Ada exploit yang melakukan buffer overrun pada library JPEG yang rusak yang dapat menjalankan kode arbitrer pada tahun 2006. Microsoft merilis patch untuk memperbaikinya lebih cepat daripada yang pernah saya lihat. Mesin Anda hampir pasti tidak rentan dan Hupigon barusan menghasilkan terlalu banyak kesalahan positif.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32/Hupigon

Saya harus mengakui bahwa aspek trojan dan virus ini selalu membingungkan saya. Sebagai pengembang perangkat lunak, saya selalu memeriksa panjang array dll. Jadi saya tidak melihat mengapa hal-hal seperti buffer overruns harus terjadi. Saya mengerti bahwa orang melakukan kesalahan dan membuat kesalahan dan jika perangkat lunaknya cukup kompleks, kesalahan ini dapat lolos.

Mungkin Anda memeriksa Anda semua pointer, array, dll. Tapi apakah Anda yakin, bahwa semua programmer dari setiap perpustakaan 3-patry Anda (mungkin) menggunakan (suatu hari) melakukannya juga?

Solusi paling sederhana untuk ini adalah mengunduh file seperti "image.jpg.exe" atau yang serupa daripada gambar asli.

Cara lebih lanjut untuk menginfeksi PC Anda telah dijelaskan di sini (mis. Buffer Overflow, ...)