it-swarm.com.de

Wie kann ein Virus in einem Bild vorhanden sein?

Ich habe kürzlich dieses Video eines finnischen Internet-Sicherheitsexperten gesehen. Ungefähr in der elften Minute spricht er von einem Virus, der in einem Bild versteckt ist und ausgeführt wird, wenn das Bild angezeigt werden soll.

Ich frage mich, wie sie technisch so etwas machen, ich meine, wie kommt es, dass der Virus ausgeführt wird , wann das Bild angezeigt werden soll und warum das Bild in keiner Weise beeinträchtigt wird. Ich dachte, der Computer prüft zuerst die Erweiterung, öffnet sie dann mit dem entsprechenden Programm und lässt das Programm selbst arbeiten (und ich erwarte nicht, dass der reguläre Image Viewer in der Lage ist, einen Virus in sich selbst auszuführen). Natürlich funktioniert das nicht so, aber niemand, den ich gefragt habe, könnte mir dabei helfen.

Weiß also jemand, wie sie das machen, das Prinzip? Vielen Dank.

45
JoeSlotsky

Sie haben Recht, dass Ihr Betriebssystem ein Programm auswählt und es auffordert, das Image zu öffnen. Das Betriebssystem fordert das Programm nicht auf,das Image auszuführen - das wäre Unsinn.

Bilder sind jedoch komplexe Formate und enthalten häufig Metadaten und andere Teile, die nicht direkt angezeigt werden. Sie können Inhalte dort ausblenden, ohne das Bild auf dem Bildschirm zu beeinträchtigen. Die Bilddatei enthält möglicherweise feindliche Daten.

Darüber hinaus kann das Programm Fehler aufweisen, insbesondere Pufferüberläufe . Kurz gesagt, ein Virus kann dies ausnutzen, indem er zu große Daten in die Metadatenbereiche einfügt - größer als das Programm, mit dem das Bild entschlüsselt wird. Die internen Puffer laufen über, und mit genügend Geschick kann ein Virenschreiber ausführbaren Code an der richtigen Stelle im Speicher ablegen, sodass das Programm, das das Image decodiert,ausführtden Code erhält. Auf diese Weise kann eine unschuldige und "tote" Datei wie ein Bild einen Exploit hosten.

43
Martin Geisler

Es muss nicht angezeigt werden, es muss gelesen werden.

Das Betriebssystem verfügt möglicherweise über einen Thread zur Erstellung von Miniaturansichten, der alle gefundenen Bilder analysiert. Ein Pufferüberlauf in diesem Code ermöglicht die Codeausführung ohne Benutzereingriff.

Dies gilt für jede Datei, die über eine automatische Lesefunktion verfügt, um die Eigenschaften einer MP3-Datei zu extrahieren, eine PDF-Datei zu indizieren usw.

3
ixe013

Ein Virus kann Informationen in einem Bild speichern und eine Sicherheitsanfälligkeit in einem Bildbetrachtungsprogramm ausnutzen. Ein Image kann nicht "infiziert" werden, sondern es kann in böswilliger Absicht so verändert werden, dass das Programm, das es wahrscheinlich öffnet, untergraben wird und einen Exploit in diesem Prozess auslöst.

Wenn ein Virus fehlerhafte Daten in ein Bild einfügt, um Programm X auszunutzen, und das Bild in Programm Y geöffnet wird, wird das Bild wahrscheinlich entweder nicht gerendert, weil es zu fehlerhaft ist, oder es wird als unschuldiges oder zufällig aussehendes Bild in gerendert dieses Programm.

Der Fehler wie bei all diesen Dingen liegt nicht im Bildformat, sondern in der Implementierung des Bilddecoders.

2
SecurityMatt