Rechercher un virus dans un fichier image
Je viens de recevoir un fichier .jpg que je suis presque sûr qu'il contient un virus, j'ai donc deux questions sur ce que je peux faire avec l'image.
Ma première question provient du fait que j'ai ouvert le fichier une fois et que le programme que j'ai utilisé pour l'ouvrir a donné l'erreur "image invalide ou corrompue". Donc, je veux savoir si son possible un virus contenu dans l'image aurait pu être exécuté si le logiciel n'a pas ouvert "complètement" l'image?
Ma deuxième question est de savoir s'il existe un moyen de décoder/décompiler les données d'image afin de mieux visualiser son contenu. Actuellement, j'utilise Notepad ++, je viens d'ouvrir le fichier et regarde son contenu brut, ce qui est l'une des raisons pour lesquelles je suis si confiant que c'est un virus:
Existe-t-il donc un meilleur moyen de découvrir ce que fait le virus et comment il fonctionne? J'ai besoin de savoir si ma sécurité a été compromise ou non.
ÉDITER:
Raisons pour lesquelles je pense qu'il contient un virus:
Sur la base de la description de Virustotal que vous avez liée à cela, il ne s'agit pas en réalité d'une image, mais d'un véritable exécutable PE32 (exécutable Windows normal). Ainsi, seule l'extension du nom de fichier a été modifiée pour masquer le véritable objectif du fichier.
PE32 ne sera pas exécuté automatiquement lorsqu'ils auront le .jpg extension comme dans ce cas. De plus, la visionneuse d'images qui sera invoquée avec le fichier par défaut n'exécutera pas le code mais quittera ou se plaindra à la place que ce n'est pas une image valide.
Ainsi, ce fichier ne fonctionnerait pas seul. Mais ces fichiers sont généralement utilisés avec un autre fichier qui le renommera en name.exe et l'exécuter. Cela peut être fait par un fichier batch, avec l'aide de l'ActiveX Windows Scripting Host dans un site Web ou un courrier ou similaire. Cette stratégie est utilisée pour contourner les antivirus et les pare-feu qui pourraient ignorer l'analyse du fichier "jpg" en raison de l'extension et ne trouveront rien de suspect dans le script d'accompagnement (qui ne renomme que le fichier et l'exécute).
... s'il existe un moyen de décoder/décompiler les données d'image
Encore une fois, ce n'est pas une image mais un exécutable, donc l'outil de choix pourrait être un désassembleur, un débogueur, une exécution en bac à sable, etc. Voir aussi le analyse de Virustotal .
Ré. question 1:
Cela ne ressemble pas du tout à un JPG. Il a les caractères magiques "MZ" au début du fichier qui signifie "Fichier exécutable portable Windows". Votre rapport VirusTotal pointe également dans cette direction: simplement un fichier EXE qui n'a pas réellement ".EXE" comme suffixe de nom de fichier.
Ainsi, toute visionneuse d'images qui effectue la vérification même la plus élémentaire de son fichier d'entrée devrait détecter cela immédiatement et ne même pas essayer de poursuivre le traitement. Par conséquent, je ne pense pas qu'il soit probable que vous ayez infecté votre ordinateur en essayant d'ouvrir ce fichier avec une visionneuse d'images.
Ré. Question 2:
Voir au dessus. Ce n'est pas du tout un fichier image. Et il n'y a pas d'instructions simples pour la rétro-ingénierie exécutable. C'est compliqué.
Je vous suggère de le télécharger sur tous les scanners antivirus en ligne que vous pouvez trouver. Certains d'entre eux exécutent des environnements sandbox et fourniront un rapport sur ce que le processus a tenté de changer. (Vous devrez peut-être renommer le fichier pour avoir le suffixe ".EXE" avant de le faire. Soyez donc prudent. Ou mieux encore: renommez-le et soumettez-le à partir d'une machine Linux ou Mac qui ne peut même pas exécuter des EXE Windows par accident. )
Mise à jour 2016-11-21: certains résultats d'analyse
"Donc, je veux savoir si c'est possible qu'un virus contenu à l'intérieur de l'image ait pu être exécuté si le logiciel n'a pas ouvert" complètement "l'image?"
Étant donné que les autres réponses indiquent qu'il s'agit d'un exécutable PE, il est très peu probable que vous ayez fait quoi que ce soit de nuisible en l'ouvrant dans un éditeur/visualiseur d'images. Les visionneuses d'images examinent généralement les premiers octets d'un fichier pour déterminer son type, puis renvoient une erreur si elle ne correspond pas aux signatures connues. L'introduction de la plupart des formats de fichiers est ce que l'on appelle un "nombre magique" - presque tous les formats de fichiers en ont un. Les nombres magiques permettent aux lecteurs d'effectuer un contrôle d'intégrité sur les données du fichier avant d'essayer de traiter les déchets.
S'il s'agissait d'un fichier image légitime, il est important de noter qu'il y a eu des dépassements de tampon au cours des années qui ont exploité la façon dont certains analyseurs d'images fonctionnaient dans diverses bibliothèques de logiciels. Il y a quelques années, quelques exploits ont été découverts pour créer une image spéciale afin d'exploiter diverses faiblesses de bibliothèque dans certaines des bibliothèques les plus populaires utilisées par les logiciels d'édition et de visualisation d'images. De toute évidence, à mesure que des trous sont découverts, ils sont corrigés, mais il appartient à chaque fournisseur de logiciels d'utiliser la bibliothèque pour mettre à jour leur logiciel, puis chaque utilisateur de ce logiciel doit le mettre à jour. Ce processus peut prendre beaucoup de temps.
Mais dans votre cas, non, c'est probablement juste un EXE mal nommé et votre machine est probablement très bien. Ce qui signifie également que tous ceux qu'ils ont spammés avec ce message ont reçu un nom de fichier également mal formé et que les destinataires ne peuvent pas non plus l'ouvrir. Échec de la livraison des logiciels malveillants. Marquez un pour stupide.
Ma deuxième question est de savoir s'il existe un moyen de décoder/décompiler les données d'image afin de mieux visualiser son contenu?
Il existe des outils pour disséquer les fichiers PE (ventilation des sections de haut niveau). Il semble que .NET pourrait être impliqué dans ce cas. Je n'ai pas eu à démonter depuis un moment. Il existe des outils de conversion inverse gratuits et commerciaux pour les binaires .NET. De toute évidence, si vous payez de l'argent pour un outil comme celui-ci, il sera généralement bien meilleur que les outils gratuits.
Cela dit, si vous pensez que votre ordinateur a été compromis, déconnectez-le de tous les réseaux et éteignez-le probablement jusqu'à ce que vous puissiez réinstaller le système d'exploitation. La dernière chose que vous voulez/avez besoin est Cryptowall et un rootkit bonus pour être installé. La réinstallation d'un système d'exploitation est la seule option de nos jours pour une infestation de logiciels malveillants. La plupart des logiciels malveillants déployés par e-mail aujourd'hui ne sont que de petits téléchargeurs pour rechercher et obtenir plus de logiciels malveillants sur Internet. Une fois qu'il y a un petit pied, c'est fini pour l'OS.
Enfin, n'ouvrez pas d'étranges pièces jointes de personnes étranges.
Si vous êtes sûr que le fichier contient un virus, alors oui, il est possible que même avec ce message, le virus ait été activé. Par exemple. débordement de tampon dans votre programme de visualisation d'images. La réponse exacte dépend cependant du mécanisme exact du virus et du programme exact.
Quant à une meilleure visualisation - utilisez un éditeur hexadécimal dans un premier temps. Mais notez que quel que soit l'outil que vous utilisez, il nécessite beaucoup de compétences spécifiques pour analyser correctement un virus, beaucoup de connaissances sur le système d'exploitation, les bibliothèques, les formats de fichiers et les programmes que vous utilisez.
Pour autant que je m'en souvienne, la seule façon d'exécuter un virus dans un fichier jpg est une vulnérabilité spécifique de Windows impliquant un caractère spécial RTL (de droite à gauche) dans le nom de fichier, ce qui entraînera analysé de droite à gauche. Si, par exemple, vous avez obtenu le fichier avec un nom similaire à exe.whatever.jpg ou tab.whatever.jpg, vous pourriez être confronté à cela. L'application peut également être écrite pour avoir la même icône que la visionneuse de photos Windows, et l'attaque est assez déguisée.