画像ファイルでウイルスを見つける
ほぼ肯定的な.jpgファイルを受け取ったところ、ウイルスが含まれているため、この画像で何ができるかについて2つの質問があります。
最初の質問は、ファイルを1度開いたところ、それを開くために使用したプログラムが「無効または破損したイメージ」というエラーを出したという事実に由来しています。それで、ソフトウェアが画像を「完全に」開かなかった場合に、画像内に含まれている可能性のあるウイルスがまだ実行されている可能性があるかどうかを知りたいのですか?
2番目の質問は、画像データをデコード/逆コンパイルして内容をよりよく表示する方法があるかどうかです。現在、私はNotepad ++を使用しています。ファイルを開いてその中身を調べています。これが、ウイルスに自信を持っている理由の1つです。
それで、ウイルスが何をしてどのように機能するかを知るためのより良い方法はありますか?私のセキュリティが危険にさらされているかどうかを知る必要があります。
編集:
ウイルスが含まれていると思う理由:
Virustotalの説明に基づくと、これにリンクしたのは実際にはイメージではなく、実際のPE32実行可能ファイル(通常のWindows実行可能ファイル)です。したがって、ファイル名の拡張子のみが変更され、ファイルの実際の目的が隠されました。
この場合のように.jpg拡張子が付いている場合、PE32は自動的に実行されません。また、デフォルトでファイルとともに呼び出される画像ビューアは、コードを実行せずに終了するか、これが有効な画像ではないことを通知します。
したがって、このファイルは単独では機能しません。ただし、このようなファイルは通常、名前をname.exeに変更して実行する別のファイルと一緒に使用されます。これは、Webサイトやメールなどの内部のWindows Scripting Host ActiveXの助けを借りて、いくつかのバッチファイルで実行できます。この戦略は、拡張子が原因で「jpg」ファイルの分析をスキップし、付随するスクリプト(ファイルの名前を変更して実行するだけ)で疑わしいものを見つけられないアンチウイルスとファイアウォールをバイパスするために使用されます。
...画像データをデコード/逆コンパイルする方法がある場合
繰り返しますが、これはイメージではなく実行可能ファイルなので、逆アセンブラー、デバッガー、サンドボックス実行などのツールを選択できます。 Virustotalからの分析 も参照してください。
再質問1:
これはJPGのようには見えません。ファイルの先頭に「Windows Portable Executable File」を示す魔法の「MZ」文字があります。また、VirusTotalレポートはその方向を示しています。ファイル名のサフィックスとして「.EXE」が実際に含まれていない単純なEXEファイルです。
対照的に JPGファイルでは、ファイルの先頭に次の4つの非ASCII印刷可能バイトが必要です:ff d8 ff e
そのため、入力ファイルの最も基本的なチェックさえ行う画像ビューアは、これをすぐに検出し、それ以上の処理を試みるべきではありません。したがって、画像ビューアでそのファイルを開こうとしたことでコンピュータに感染した可能性は低いと思います。
再質問2:
上記を参照。画像ファイルではありません。そして、実行可能なリバースエンジニアリングのための簡単な指示はありません。それは複雑なものです。
見つけることができるすべてのオンラインウイルス対策スキャナーにアップロードすることをお勧めします。 一部はサンドボックス環境を実行します そして、プロセスが変更しようとしたものについてのレポートを提供します。 (その前に、ファイルの名前を ".EXE"サフィックスに変更する必要がある場合があります。そのため、注意してください。さらに良いことに、誤ってWindows EXEを実行できないLinuxまたはMacマシンからファイル名を変更して送信してください。 )
アップデート2016-11-21:一部のスキャン結果
「つまり、ソフトウェアが画像を「完全に」開かなかった場合に、画像内に含まれるウイルスがまだ実行されている可能性があるかどうかを知りたいのですが。」
他の回答がそれがPE実行可能ファイルであると言っていることを考えると、画像エディター/ビューアーでそれを開いて有害なことをした可能性はほとんどありません。画像ビューアは通常、ファイルの最初の数バイトを調べてファイルタイプを判別し、既知の署名と一致しない場合はエラーで保釈します。ほとんどのファイル形式の導入は、「マジックナンバー」と呼ばれるものです。ほとんどすべてのファイル形式に1つあります。マジックナンバーを使用すると、読者はゴミを処理する前にファイルデータの健全性チェックを実行できます。
正当な画像ファイルである場合、さまざまなソフトウェアライブラリで特定の画像パーサーが機能する方法を悪用したバッファオーバーフローが長年にわたって発生していることに注意することが重要です。数年前に、画像編集および表示ソフトウェアが使用する最も人気のあるライブラリのいくつかのさまざまなライブラリの弱点を悪用する特別な画像を作成するために、いくつかの悪用が発見されました。明らかに、ホールが発見されるとパッチが適用されますが、ソフトウェアを更新するためにライブラリを使用する各ソフトウェアベンダー次第であり、そのソフトウェアのすべてのユーザーがソフトウェアを更新する必要があります。このプロセスは、完了するまでにかなりの時間がかかる場合があります。
しかし、あなたのケースでは、いいえ、それはおそらく間違った名前のEXEであり、あなたのマシンはおそらく問題ありません。これはまた、そのメッセージでスパムを送信したすべての人が同じ形式のファイル名を受け取り、受信者もそれを開くことができないことを意味します。マルウェアの配信に失敗します。愚かで1をスコアします。
私の2番目の質問は、コンテンツをよりよく表示するために画像データをデコード/逆コンパイルする方法があるかどうかです。
PEファイルを分析するツールがあります(高レベルのセクションの内訳)。この場合、.NETが関係している可能性があります。しばらく分解する必要はありませんでした。 .NETバイナリ用の無料のリバースエンジニアリングツールと商用のリバースエンニアリングツールがあります。もちろん、そのようなツールにお金を払えば、一般的に無料のツールよりもはるかに優れています。
とはいえ、マシンが危険にさらされていると思われる場合は、マシンをすべてのネットワークから切断し、OSを再インストールできるまでオフにしてください。あなたが望む/必要とする最後のものはCryptowallとインストールされるボーナスルートキットです。マルウェアの蔓延に対する最近の唯一の選択肢は、OSの再インストールです。今日電子メールを介して展開されるマルウェアのほとんどは、インターネットからより多くのマルウェアを取得および取得するための小さなダウンローダーにすぎません。小さな足場ができたら、それはOSのゲームオーバーです。
最後に、変な人からの奇妙な添付ファイルを開かないでください。
ファイルにウイルスが含まれていることが確かな場合は、そうです。このメッセージが表示されていても、ウイルスが活動化している可能性があります。例えば。画像表示プログラムのバッファオーバーフロー。ただし、正確な答えは、ウイルスのメカニズムとプログラムによって異なります。
より見やすくするために-最初のステップとして任意の16進エディターを使用します。ただし、どのツールを使用する場合でも、ウイルスを適切に分析するには特定のスキルが必要であり、OS、ライブラリ、ファイル形式、および使用するプログラムに関する多くの知識が必要です。
私が覚えている限り、jpgファイルでウイルスを実行する唯一の方法は、ファイル名に特殊なRTL(右から左)文字が含まれる特定のWindowsの脆弱性で、これによりファイル名が右から左に解析されました。たとえば、exe.whatever.jpgまたはtab.whatever.jpgのような任意の名前のファイルを取得した場合、これに直面している可能性があります。アプリケーションは、Windowsフォトビューアーと同じアイコンを持つように作成されることもあり、攻撃はかなり偽装されています。