Viren in Bilder like .png
 

Hey Leute,

ich wollte wissen was ihr von Viren in .png haltet bzw in anderen Bild-Datein, es soll angeblich funktionieren aber sind wir mal ehrlich wer zum Teufel codiert eine Bild-Datei um, nun wollte ich fragen ob ihr vielleicht schon was davon wisst.

Mit freundlichen Grüße
-Striker

Man kann den Virus tarnen ;)

Beispiel:

film_movies_downloader.exe ==> Virus (GVA Trojaner)

Der Hacker "schützt" die Datei mit Tools wie z.B. einem Crypter.
Hiermit erkennt das AV die Datei nicht:
(Erkennungsrate 5 / 47)

Also heißt die neue Datei
Urlaubsfotos.png
(Und ist der Virus der nicht erkannt wird)

Ich meine z.B. das man auf einen Blog geht, sich per Rechtsklick das Eigenschaften Fester des Bildes öffnet und dieses als .png, .jpg, .gif... downloadet und sich dann einen Virus holt. In alten Spielen gibs so neh art Easteregs das wenn man sich die Bilder entcryptet per swf-Editor etc. Man z.B. Links findet oder z.BWeitere ineinander codierte (Der Liebe iBlali hat mal eine VideoSpieleamythen Folge gemacht wo sowas vorkam.

:wtf:

Eine PNG-Datei ist eine Bilddatei und nicht ausführbar...oder meinst du was anderes?
Den alten dummen Trick mit dateiname.png.exe? :dummguck:

Also ich bin der Software Entwicklung vertraut und auf den Trick mit der .exe falle ich garantiert nicht rein. Das erkennt aber auch ein Scaner. Die meisten Scaner kennen diese .PNG.exe scheiße also ist das auch wieder nicht richtig. Ich wollte aber direct auf die Codierung des Bildes eingehen.

Dann erklär mir mal, wie aus einer ausführbaren Datei eine nicht ausführbare Datei wird, der Code aber weiterhin ausführbar bleibt und auch ausgeführt wird, nur weil man dieses Bild (in deinem Beispiel) betrachtet :confused:

Das will ich ja wissen xD...

Eben, das geht nämlich nicht!

Was aber theoretisch machbar wäre und was auch schon oft im Zusammenhang mit Bilddateien gemacht wurde: Angreifer schauen nach Sicherheitslücken in weit verbreiteten Bildbetrachtern. Wenn man weiß wie man diese Lücken ausnutzen kann, lassen sich gezielt manipulierte Bilddateien unters Volk mischen (zB per Spam oder dubiose Webseiten). Öffnet ein Opfer diese gezielt manupilierte Bilddatei mit einem verwundbaren Bildbetrachter, so kann gezielt Malware ausgeführt werden. Beispiel => http://www.heise.de/newsticker/meldu...te-161707.html

Hihi ,
eine Frage :
Sind schädliche Programme in .exe codiert oder kann man die Codierung auch ändern ? ich meine, .png und .jpg sind ja Bildformate, .txt .odt .doc .docx usw Textformate, .ppt PowerPoint usw usw, aber kann man auch ein Programm in z.B. .txt codieren ?

Xenon

Welche Endung die Datei hat spielt eigentlich eine untergeordnete Rolle. Windows arbeitet aber mit diesen Dateiendungen und kann eine EXE-Datei nicht mehr ausführen, wenn du aus der EXE ein JPG machst. Die Änderung würde nur im Dateinamen stattfinden und am eigentlichen Dateiinhalt nichts ändern. Es bleibt also weiterhin eine EXE-Datei, auch wenn sie nicht mehr so heißen mag :D

Wenn die Endung txt ist, also sowas wie zB "programm.txt" dann denkt Windows, dass das eine Textdatei sei und standardmäßig wird dann bei einem Doppelklick diese Datei mit notepad betrachtet. Wie notepad dann den Zeichenbrei interpretiert ist dann ne andere Geschichte :D

Ok ,
schanke döhn cosinus ;) :D

Bei meinem Unbekannten emails achte ich wirklich außerordentlich auf die Dateiendung, aber das .exe auch .txt sein kann (oder auch .png ...) wusste ich noch nicht ...

Das geht sehrwohl.
Aus meinen alten Zeiten (:D) als "Hacker" habe Ich halt viel Erfahrungen gesammelt.
Durch spoofen der Dateiendungen kann man z.B. eine Rechnung-12345.exe durch eine Rechung-12345.PDF ändern. Es gibt ziemlich viele Tools. Meistens benutzen diese halt uralte Exploits die aber noch nicht gefixxt wurden. (u.a. Makros usw.)

Nein. Windows zeigt in der Standardeinstellung Endungen für bekannte Dateitypen nicht an.

Vollständig hieße deine Beispieldatei als PDF => Rechnung-12345.PDF

In den Standardeinstellungen zeigt der Windows-Explorer aber nur => Rechnung-12345

Spammer nennen ihre ausführbare Datei, die KEIN PDF ist (!) so => Rechnung-12345.PDF.EXE (auch noch in einer ZIP verpackt, da die meisten Mailclients EXE-Dateien im Anhang blockieren, aus gutem Grund!)

Und Windows würde in der Standardeinstellung das anzeigen => Rechnung-12345.PDF :stirn:

Du hast meinen Weg (glaube Ich) noch nicht erkannt.
Ich möchte damit deuten, das man durch einem Programm Namens "Metasploit" sowie Backtrack einen einfachen Exploit von Adobe her ausnutzen kann, und die Datei als ausführbare PDF Datei deuten kann.

==

Keine Rechnung-12345.PDF.EXE
sondern:
Eine echte PDF Datei (Rechnung-12345.pdf)
Das ganze ist unter dem Namen "Adobe pdf embedded exe exploit" bekannt.

Ja, nichts neues... Gibts auch für Office...

https://www.virustotal.com/de/file/3...is/1407053286/