¿Realmente puede obtener un troyano en un archivo de imagen y, de ser así, cómo se ejecutará?

Acabo de digitalizar un par de LPs y necesitaba algo de portada. Mi escáner no es lo suficientemente grande como para escanear el álbum, así que busqué y descargué las imágenes de la red.

Cuando lo hice, Avast informó que uno de ellos contenía el troyano "Win32: Hupigon-ONX" y lo puso en cuarentena de inmediato. Como no quería arriesgarme, descargué una copia diferente que informaba que estaba limpia.

Ahora, ¿esto fue solo un falso positivo de Avast o podría haber realmente un troyano en el jpg?

Si hubiera, ¿cómo se ejecutaría?

Debo admitir que este aspecto de los troyanos y los virus siempre me ha desconcertado. Como desarrollador de software, siempre he verificado la longitud de las matrices, etc., así que no veo por qué deberían ocurrir cosas como desbordamientos de búfer. Entiendo que la gente corta atajos y comete errores, y si el software es lo suficientemente complejo, estos errores pueden pasar.

Las vulnerabilidades en los archivos de imagen aprovechan los defectos de desbordamiento del búfer en el código de procesamiento de imágenes del sistema operativo. Se encontraron varios defectos importantes en la capa GDI de Windows hace un par de años: se lanzaron parches hace mucho tiempo, pero las imágenes de explotación todavía están ahí, ya sea porque se quedaron o con la esperanza de que golpeen una máquina que aún no ha sido parcheada. .

La causa habitual de tal agujero de seguridad es pasar datos de imagen entre funciones en la pila de llamadas y no verificar adecuadamente la longitud máxima de los datos. Esto puede ser explotado por datos ingeniosamente construidos que están sobredimensionados y organizados de tal manera que terminen sobrescribiendo el siguiente código en el marco de la pila (sobrescribiéndolo con otro código) o sobrescribiendo punteros al código que se usará para llamar a otras funciones o cuando la función a la que se llama vuelve a llamarse (sobrescribiendo dicho puntero para que apunte al código de explotación), o sobrescribiendo datos de tal manera que exponga otro agujero. El método exacto varía según el agujero de seguridad en cuestión.

Las CPU modernas tienen una protección que detiene la mayoría de estas vulnerabilidades si el código lo admite. Esto funciona mediante el programa / biblioteca que marca explícitamente cuáles de sus páginas son datos y cuáles son código: la CPU generará una excepción si algo en lo que deberían ser datos (como datos de imágenes) intenta ejecutarse como código. IIRC Vista y versiones superiores y recientes de .Net han modificado todas sus bibliotecas para admitir esta protección, y también es compatible con otros sistemas operativos, pero esto no detiene todas esas vulnerabilidades y solo funciona si está explícitamente activado (de lo contrario, un gran cantidad de código antiguo se rompería).

Debo admitir que este aspecto de los troyanos y los virus siempre me ha desconcertado. Como desarrollador de software, siempre he verificado la longitud de las matrices, etc., así que no veo por qué deberían ocurrir cosas como desbordamientos de búfer.

Bueno, bienvenido al mundo real ;-). Desbordamientos de búfer & c. puede suceder en muchos idiomas (especialmente en aquellos con la gestión de memoria manual como C), y como desarrolladores cometen errores, no sucederá.

Aunque normalmente un desbordamiento del búfer simplemente bloqueará el programa (violación de segmentación o similar), puede permitir que un atacante ejecute código -> troyano activado.

Por ejemplo:

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

http://secunia.com/advisories/35216/

Y para una explicación de cómo esto permite la ejecución del código:

/programming/460519/how-are-buffer-overflows-used-to-exploit-computers

Hubo un exploit que superó el búfer en una biblioteca JPEG rota que podría ejecutar código arbitrario en 2006. Microsoft lanzó un parche para solucionarlo más rápido de lo que nunca los había visto. Es casi seguro que su máquina no sea vulnerable y Hupigon ahora genera demasiados falsos positivos.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32/Hupigon

Debo admitir que este aspecto de los troyanos y los virus siempre me ha desconcertado. Como desarrollador de software, siempre he verificado la longitud de las matrices, etc., así que no veo por qué deberían ocurrir cosas como desbordamientos de búfer. Entiendo que la gente corta atajos y comete errores, y si el software es lo suficientemente complejo, estos errores pueden pasar.

Tal vez esté verificando todos los punteros, matrices, etc. Pero, ¿está seguro de que todos los programadores de cualquier biblioteca de 3er patry que (podría) usar (algún día) también lo hicieron?

La solución más simple para esto sería descargar un archivo como "image.jpg.exe" o algo similar en lugar de una imagen real.

Las formas más avanzadas de infectar su PC ya se han descrito aquí (por ejemplo, desbordamiento de búfer, ...)