První virus, který napadá JPG soubory

Rád bych Vám všem čtenářům Živě.cz řekl, že jste velice zvláštní. Ti co se tady hádají, zda to je, či není "virus", tak bych Vás chtěl vidět, až někdo naprogramuje něco podobného (avšak destruktivnějšího), jestli budete stále přesvědčení o tom, že to NENÍ VIRUS. Vždyť za virus můžete požadovat i dávkový baťák, který se zapíše do autoexec.bat a při startu vymaže systémové soubory. Takže za virus lze požadovat vše, co nějakým způsobem ovlivní běh systému, či ho naruší bez vědomí uživatele, viz. spyware, já bych ho povžoval také za virus, byť není destruktivní (v některých případech :) ).

A ti co se hádají nad tím, zda je, či není, titulek zavádějící, tak ať sem nelezou a čtou si raději "jiné" servery. A místo toho, že tu sedíte a čtete si kraviny, místo abyste dělali něco konstruktivního, tak se tu hádáte nad pitomostma, stejně byste si článek přečetli, protože v hlavách mnohých, ani v mojí, by se nic podobného bez pomoci vytvořit nedokázalo.

Tímto obhajuji Živě.cz, protože v denšní době udržet eZin plně funkční se stále aktuálními a zajímavými články je takřka nemožné. A když se vám to nelíbí, tak běžte raději kopat na zahradě záhonky, ať se vám to rozleží v hlavě.

Tak a nezbijte mě teď za má slova.

Já bych to viděl asi takto ....

Naprogramuji malý, třeba exe soubor (jádro) a k němu do JPG obrázku přidám patřičná data (rezident, seznamy, adresy aktualizací atd.) no a pak začnu rozesílat obrázky - zavirované. Pokud udělam pěkný obrázek, nebo jakoukoliv blbost lehce do něho dokážu zakamuflovat i mé data a pro velký úspěch ho do měsíce budou mít všichni (viz obrázek Anny Kurnikovové ) No a jednoho dne odešlu ten exe s tím, že je to nějaká blbůstka .... Při jeho spuštění vygeneruji hlášku, že je file poškozený a je to .... Vše čerpám z dat v JPG a teď to nejlepší. Rezidenní program bude modifikovat všechny odesílané JPG obrázky .... On je neodesílá, to odesíláte vy a vy vlastně ani nevidíte že jsou už zmodifikované. No a po nějaké době se začne odesílat i Exe jádro ...

Myslím si že by to šlo jednodušše udělat a myslím si že to určitě někdo nějak tak podobně i udělá. Nejde ani tak o postup, ale o tu myšlenku ...

 Výborně, pěkně shrnuto, Dík.

Zdarvim

Pane Holciku, souhlasim s prispevky vyse. To proste neni virus. Z jednoho prosteho duvodu. Vir je program, jrery vykonava nejakou cinnost, vetsinou destrukcni nebo spionazni. Pokud zkompilovany binarni program pridam na konec TXT souboru a tento soubor dam kamaradovi, tak jsem mu podle vas zaviroval pocitac ??? Ja myslim, ze ne. Ono by totiz muselo byt zajistene automaticke a samozrejme spousteni toho kodu. A to mi ACDSee nedela. Je k tomu potreba ten vami zminovany EXE, coz je ale cerv jako kazdy jiny a cervu jsme si uzili dost a dost, uz jsme se snad poucili.

Kvalita zive jde dolu. Sem tam se objevi dobry clanek (casto to jsou testy HW), ale jinak nic moc.

Zdenek

Demence nekterych autoru zrejme dosahla maximalni urovne, mazu odkaz na zive.cz z bookmarku, ponechavam jen poradnu. Snad je stesti, ze se do ni ubozi redaktori idiotskeho bulvaru zive nemontuji. Stupidita s jakou byl zvolen titulek tohoto primitivniho clanku je zarazejici. Tento clanek vubec nemel byt nikde uverejnen, protoze neni zajimavy. To ze nejaky virus umi otevrit soubor, neco precist a neco tam zapsat nikoho neprekvapi. Ale kdyz uz tak alespon vhodnejsi zvolit normalni titulek. Nebo a kdyz ne normalni titulek, tak PROBOHA ALESPON NORMALNI PODTITULEK. "Se železnou pravděpodobností je nějaký původně aprílový žertík, přetaven ve skutečnost. Červ Perrun se umí šířit skrze JPG soubory." - tohle je fakt fuckt stupidni, skuste se nad tim zamyslet a - musite dojit k nazoru ze tento sefredaktor zive si jeste privydelava u deniku SUPERBLESK.

Mozna je na Perrunu neco skutecne zajimaveho - pak by to bylo ale dvojnasobne selhani autora, protoze z clanku (bez titulku a podtitulku) musite nebyt dojmu, ze se jedna o trapnost ktera napadne kazdeho kdo nekdy videl popis formatu JPEG... To jako kdyby nejaky vir udelal to same se SWF (ulozil by si to do jednoho z rezervovanych 512-1024 tagu) tak byste rekli, ze se siri pomoci SWF?

Se železnou pravděpodobností je nějaký původně aprílový žertík, přetaven ve skutečnost. Červ XYZ se umí šířit skrze TXT soubory.
XYZ není popravdě žádný nebezpečný virus, je to typické dílko, které autoři zasílají přímo antivirovým společnostem jako důkaz možností. Proto také tento červ není nijak rozšířen a také jen se replikuje a nic neničí.

Nejedná se také o čistý TXT virus, nešíří se totiž výhradně přes TXT soubory, spíše je využívá jako nosiče kódu. Mailem se šíří jako obyčejný exe soubor, tedy nic, co by mohlo ujít vaší pozornosti. Po spuštění uloží na disk počítače spouštěcí prográmek a zapíše se do registrů na spouštění TXT souborů. Kdykoli tak otevřete TXT soubor, spustí se nejdříve spouštěcí prográmek, který se pak pokusí zobrazit TXT systémovou DLL knihovnou. Uživatel si tak ničeho nevšimne. Prográmek zkontroluje, zda je TXT zavirován a pokud ano, spustí program v něm uložený. Zavirovávají se TXT soubory jen v aktuální složce a pouze po jednom. Bližší informace o Perrunu najdete na webu McAfee.

Popravdě není virus zajímavý ani svým proklamovaným důkazem možností. Stále totiž spoléhá na spouštěcí rutinu a z TXT souborů si vytahuje pouze případný destrukční kód. Pokud tedy někdo dostane zavirovaný TXT soubor, nic mu nehrozí, protože se kód nemá jak spustit. Jistě to ukazuje na možnost vkládání hlavního destrukčního mechanismu do většinou nekontrolovaného typu souborů a samotný aktivátor tak může navenek vypadat poměrně nevinně. Pochopitelně se antivirovým společnostem stačí zaměřit na aktivátor a TXT nákazu, ať sebevíc destruktivní mohou zatím nechat klidně spát.

Takto by to mohlo byt napsano a ne s takovym bombastickym lzivym nadpisem jako v ceske verzi. Mozna by obcas stalo se priucit.
http://www.washingtonpost.com/wp-dyn/articles/A44917-2002Jun13.html

Nejako nechapem preco by mal byt ten kod v JPG suboroch... Naco programovat citanie z JPG suboru a potom to spustat - vsak to mozem dat rovno do toho EXE

ja som spravu o tomto "viruse" dostal 14.6. v newslettery internetnews.com, tak ak mate chut precitat si to v anglictine, tu je odkaz:

http://www.internetnews.com/dev-news/article.php/1365871

Sorry, ale vzdyt je to obycejny *.exe virus, ktery se muze sirit zase jenom pomoci *.exe. Přesnější by bylo první virus, který mění *.jpg soubory. Ale to už tu přeci bylo, smazaní je přeci také změna, nechápu kde máte tu super novinku.....

Myslíte, že Micro$oft zahrne program spouštěcí tyto viry do dalších verzí Windows, nebo dokonce do příštího vydání nového IE?

Taky me to napadlo. Ale myslim si, ze Microsoft mysli predevsim na nase dobro a lehce za timto ucelem upravi i formaty BMP, GIF a mozna dokonce i TXT. V tom pristim servicepacku to ale asi jeste nebude. Mozna az v dalsim servicepacku pristiho servicepacku... :)))

Ale spustitelny kod je mozne zakodovat do textovych souboru i ted - treba pomoci kombinaci tabulatoru a space. U HTML treba pomoci CR, LF, velikosti pismen v tagu, mezer mezi tagy apod. Steganografickych metod je spousta. Perrun je projekt rozhodne zajimavy, ale autor to s titulkem fakticky prepiskl. Neni to na Zive poprve ani naposledy a uz jsme si na to mohli zvyknout.

Vzdyt je prece jedno, kde a co ten virus poskodi. Proste je zahakovanej v registry a zije jako exac na disku. Ale autor clanku je zrejme spokojen, nejsem totiz prvni trouba, co se chytil na tak zavadejici titulek. No, proste bulvar.

Titulek není zavádějící, přesně totiž uvádí, co ten virus dělá - napadá JPG soubory. šíří se i jinak, ale o toto v něm jde a je tím zatím světově unikátní.

Boze muj.. to jsou zase pindy... Nadpis byl jednoznacne zavadejici s umyslem pritahnout ctenare... upravdu, jako v Blesku nebo Superu... obrovsky titulek vestici katastrofu a pak pul stranky totalnich pindu a kecu....

:(

Článek je zajímavý, další možnost, jak šířit infekci...
Virus připojuje část svého kódu k souborům JPG - podle mě je napadá
(skrytě mění, nedovoleně modifikuje, žije s nimi v symbióze - jak
tuto činnost jinak nazvat?). Jakákoliv činnost, která mění jiné soubory
za účelem šíření viru (či jeho části), se dá nazvat napadáním
- a tento termín se používá již drahnou dobu.
Super a Blesk nečtu, takže s bulvárem zkušenosti nemám
P.S. Ti, kteří brojí proti slovu "napadnout", mohou vymyslet nějakou decentnější
verzi - takovou, aby se například dala použít při obhajobě autora viru před soudem

problem je v tom, ze kazdy clovek ktory nieco pocul o viroch si pri nadpise "První virus, který napadá JPG soubory" predtavi virus, ktory sa nejakym genialnym sposobom dokaze sirit a spustat pri otvoreni JPEG-u (t.j. datoveho, nespustitelneho suboru) - podobne ako 'e-mailovy virus' sa spusti po otvoreni zdanlivo 'nespustitelneho' e-mailu. Pravda je ale ta, ze je to len "Dalsi nezaujimavy exe virus, ktory btw. modifikuje JPEG subory". Co ale pan autor za nic na svete nechce priznat ...:((

Trocha analogie: Když dostanete facku, tak jste byl napaden. Byl jste napaden násilníkem. Obdobně byl soubor jpg napaden (místo facky si dosaďte pár bajtíků kódu, které tam nemají co dělat).

Nevidím problém v tom, jak napsat virus, který se aktivuje při spuštění jakéhokoli datového souboru (samozřejmě, že se nespustí z tohoto souboru, ale před spuštěním asociované aplikace se provede kód samotného viru a následně se předá aktivita asociované aplikaci).

IMHO virus napada system a jpg jen modifikuje

typicky zive, ale nej byl:
http://www.zive.cz/H/Bleskovky/Ar.asp?ARI=105886&CAI=2097

Článek mi připomíná inzerát, který svého času visel na koleji jedné pražské vysoké školy. Jeho titulek byl vyveden v duhových barvách a jeho text jsem použil jako titulek i nyní já. Obsah inzerátu pak zněl: "Nyní, když jsem upoutal vaší pozornost, rád bych vám nabídl okopírovaná scripta..."

Zde je to totéž: "Virus napadá JPG!!!", ve článku se dozvíme, že vlastně ne a rovnou v první větě, že není nijak nebezpečný...

BLESK hadr...

Jak jsem již odpovídal jinému, za titulkem si stojím a je stopro pravdivý. virus NAPADÁ JPG soubory.

Urcite se nechci zapletat do debaty ,zda se tomuto zpusobu vlozeni bloku do jpegu vubec da rikat "napadani" a zda vubec Perrun (jmeno je odvozeno z anglickeho "once per run", takze bohuzel nema nic spolecneho s nasu mytologii) je virus.

Nicmene tvrzeni podtitulku Červ Perrun se umí šířit skrze JPG soubory je, pokud se to pokusim napsat co nejzdvorileji, ponekud vzdaleno od reality.

Jak to tedy nazvat? zdvořilé přidání několika málo bajtíků? Perrun není klasický virus, jistě, chybí mu spousta atributů, je to prostě zajímavý přístup, který by někdy v budoucnu mohl být využitý.

Jeden z nás stále nechápe, o čem tu vlastně píšu.

"Perrun neni klasicky virus, jiste, chybi mu spousta atributu, je to proste zajimavy pristup, ktery by nekdy v budoucnu mohl byt vyuzity." je moc hezká a pravdivá věta, která potvrzuje, že si sám sobě odporujete. V titulku máte virus a tady píšete, že Perrun není virus. Možná by si to chtělo udělat jasno dříve, než vypustíte podobný článek.

Víte, vzájemným slovíčkařením tady řešíme neustálý problém malého prostoru pro nadpis. Není to úplně klasický virus, ale má to k němu nejblíž, třeba grafická utilita to tedy nyní. Slovo virus je tak nejbližším pojmenováním tohoto shluku kódu, McAfee jej jako virus označuje, tak u toho zůstaňme. Stejně tak vadí slovo napadá, které je upřímně z mnoha použitelných slov to nejméně špatné. Nadpis je prostě zvolen tak, aby nelhal a byl jasně srozumitelný.

Tak v tomto ohledu McAfee bych jako "certifikacni autoritou" neohanel - oni NEJSOU totiz nestranni a pro ne je (a vzdy bude) virusem vsechno z ceho mohou mit kseft

Vite p.Holciku, uz jsem se setkal s pripadem, kdy na podobnou kritiku autor clanku bez vytacek reagoval sdelenim: "svuj clanek jsem puvodne pojmenoval jinak, ale sefredaktor (asi v zajmu zvyseni navstevnosti) vymyslel bombastictejsi nazev, i kdys ten nazev je ted' se smyslem clanku v rozporu".

Vzhledem k tomu jak tvrdosijne odmitate priznat barvu vypada to ze Vy jste ten clanek pojmenoval nejspise sam a duvody co Vas k tomu vedly jsou nam jasne.

Cili naprosto souhlasim s tim prvnim prispevky v tomto threadu (od Lud'ka): "Nyní, když jsem upoutal vaší pozornost, rád bych vám nabídl okopírovaná scripta..." - vyborny citat!!!

Kritika za každou cenu je dost primitivní. On ho totiž i Symantec považuje za virus:
http://securityresponse.symantec.com/avcenter/venc/data/w32.perrun.html

W32.Perrun is a virus that appends itself to JPEG files. The malicious content of files that it alters will not spread to other computers. Indications of infection are that .jpg files will have increased in size by approximately 11KB, and the presence of the file Extrk.exe. The viral code will not successfully extract if the file, "C:\WINDOWS\SYSTEM\SHIMGVW.DLL", does not exist on an infected machine.

Takže - všichni jsou blbí, žádné viry neexistují, je to jenom kšeft antivirových společností.. Jo, jo, tebe bych nechtěl mít za administrátora!

Pane Holčíku,

zdá se mi, že tu trochu slovíčkaříme (Virus napadá - nenapadá), ovšem, zkuste si přiznat pravdu. Titulek jste zvolil po pečlivém uvážení a to tak, aby přitáhl co nejvíce čtenářů (To bude bomba, to tu ještě nebylo). Netvrdím, že je titulek nepravdivý (ani nemůžu, dokud si přesně nenadefinujeme pojem "napadání"), ale rozhodně není přesný.

Ale chápu Vás, použít např. titulek "První virus, který čeká na data v .JPG souborech" není tak úderný jako Váš.

Na jaká data tam ten virus prosím vás čeká? až rozpozná v pravém rohu obrázku červené kolečko? ten virus prostě vezme JPG a přidá k němu výkonný kód. to je pro mne napadnutím. Není to šíření, není to čekání, je to prostě napadání. Titulke jsem zvolil po pečlivém uvážení a to tak, aby byl pravdivý.

No, už jsem odpovídat nechtěl, ale musím. Takže za prvé, virus, (.EXE) po instalaci čeká na vašem počítači na to, až otevřete nějaký .JPG soubor a zjistí, zda není zavirován, pak spustí program v něm uložený (to jsou Vaše slova). Kód do .JPG umístil autor viru, jinak by celý tento systém ztrácel smysl, protože už ten původní .EXE soubor by v sobě musel mít destrukční část (aby jí mohl připojit k .JPG).

Ano ten virus je dvousložkový, spuštěný kód z JPEGu nakazí další JPG soubor. celé dohromady je to jedna věc, byť stačí hlídat jen ten exe soubor.

Takze jestli vas poradne chapu.

1) Programator vypusti do sveta virus (.EXE)
2) Virus napadne nekterou cast Windows (celkem jedno jestli na JPG, BMP, nebo jinou soucast)
3) Programator zasila v nekakem "nevinem" souboru data pro provedeni.

Cim je proboha tenhle pristup novy?
Jak virus napada JPG? Vzdyt virus napada Windows a to je to hlavni (obecne napada system, ale zadny jiny system nez Wokna nenapadne, protoze uzivatel -pokud neni mene inteligenti- nebeha pod rootem a tak nema prava pro modifikaci systemu)

Ma sanci V XP?
Jak velky musi byt .EXE cast viru, kdyz nemuze pouzit standartnich systemovy funkci pro ukladani nebot takovy JPG na net neulozi a jiste by to hlasilo celkem jednoduse odchytitelne errory.

Zpuso: Infekce - aktivace je celkem zanmy, ale prakticky nevyuzitely. Nebot k jeho odchyceni muze dojit hned nekolikrat. Nejdrive jak cestuje .EXE. Pak za celou dobu provozu .EXE a pak pri presouvani JPG souboru. Ktere se asi jinak nez jako vyr sirit nebudou moct, protoze jinak nebou schopny infikovat stroje v kratkem case.

ad 1) Opět: virus nerovná se .EXE

ad 2) JPG a BMP není součást Windows, JPG lze stejně považovat za součást OS/2, Linuxu atd. Mícháte "koše s baňama"

Virus je v tomto případě do určité míry komplexní. Word není jen Winword.exe, ale mnoho dalších souborů. I tento virus se skládá z více komponent. "Obecně napadá systém" - takhle by to šlo zobecňovat jak se komu hodí (napadá počítač, napadá firmu, napadá srenu a lid, je to nástroj světového terorismu).

A ochrana proti modifikaci systému? Soubory jpg přece přímo nesouvisí se systémem. Windows XP chrání jen některé sysstémové soubory a ne každé jpg.

Vaše "virus<>.EXE" je už dost silně zavádějící.

EXE je zkratka slova EXEcute, což česky znamená spustitelný. Virus musí být spustitelný, jinak je k ničemu. Nic na tom nezmění ani fakt, že spustit se dají i .COM, .VBS, .BAT atp... To už by opravdu bylo trochu přehnané vypisovat tady všechny spustitelné koncovky, abychom panu "nechytrému" udělali radost.

Takže virus je EXE(cute), zkuste mě přesvědčit, že ne.

Já nepolemizoval se spustitelností souboru. V příspěvku bylo ".EXE" a ne "EXE" . Přesnější definice je "Executable File".

Ono "execute" totiž znamená:

popravit

Tak takhle odpovida clovek, ktery neumi sledovat trochu delsi myslenku.

1) Vir pro windows musi cestovat ve Scriptu (nejcasteji asi VB), nebo v binarce. Zde se mluvi o binarce tudiz .EXE. Opravdu nepotrebuji psat jak se muze vsim rozmozovat vir kdyz mluvime o binarce a o Windows.

2) Jestlize tvrdim, ze "napadna nejakou soucast windows na JPG, nebo BMP" rozeberme - slovo NA je pouzito "jako na praci s".

3) Obecne nenapada system, ale WINDOWS, nikoli obecny system a jiste ne windows NT/XP. Protoze pokud neni uzivatel debil tak se neprihlasi jako Admin, nebo root a jakykoli vir takto zalozeny nema smysl.

4) Pokud spusitm Binarku, nebo script, ktery chce napadat soucast systemu, kterou muze modifikovat pouze ROOT - ADMIN tak proste havaruje. A kdyz se pak nekdy mrknu na log, tak uvidim, ze se mi neco snazilo modifikovat neuspesne system a zjistim pritomnost viru (te binarni, nebo scriptove casti) spise nez nejaky antivirus.

Priste si precti co nekdo v clanku pise. A nepredpokladejte ze vsechno co nepochopite bylo mysleno naprosto kretensky. Myslim, ze tim urazite nejen inteligenci ctenaru, ale jiste i inteligenci pisatele clanku.

Pane dokonalý. Virus nerovná se ".EXE".

No a?

Docela by mě zajímalo, jaký byste napsal článek, kdybyste si u každého faktu pomyslel "no a?" . To by potom bylo něco pro diskutéry...

Neni stopro pravdivy. Rozhodne to neni prvni virus ktery napada JPG

Prostě vezmeme dva ufouny, krásnou pozemšťanku a hromadu kečupu, trošku to povaříme a je z toho SUPERHYPERMEGATHRILLER!!!

No, já vidím nebezpečí v tom, že si vir připraví "půdu pod nohama", to znamená že miliony uživatelů, můžou mít na svých discích zdrojové kody ve "vadném" JPG, a pak stačí rozeslat nějaký aktivátor, které třeba může být nějaké makro v Excelu, nebo Wordu atd., (opravdu možnosti jsou netušené) a následky si může každý domyslet ...

No, na tom neco je - kod v souborech jpg (mp3, avi atd...) muze byt dost velky - mohl by i obsahovat velke seznamy ip adres (jak se o tom tady pred casem psalo). Aktivator pak by byl malinky a mohl by se rychle sirit.....

Ten titulek je trchu zavádějící, nemyslíte ? Můžete vyložit, jak ten virus napadá JPG soubory ?!? Podle popisu v článku je jenom poškozuje.

Po spuštění uloží na disk počítače spouštěcí prográmek a zapíše se do registrů na spouštění JPG souborů. Ale jak dojde k jeho spuštění ? Dejme tomu že si přinesu domů "zavirovaný" JPG soubor. Jak dojde k aktivaci toho viru ? To bych si ho musel spustit ručně, ne ?


Jistě to ukazuje na možnost vkládání hlavního destrukčního mechanismu do většinou nekontrolovaného typu souborů a samotný aktivátor tak může navenek vypadat poměrně nevinně

Nebo se to dá popsat i naopak - nic nového pod sluncem, viry se budou šířit i nadále starými známými cestami. Nový je jenom způsob, jakým budou dostávat "aktualizace". Ale vzhledem k malé pravděpodobnosti, že se takový virus potká s "destrukčním kódem" kterému plně porozumí (pokud budeme předpokládat vyšší rozšíření tohoto typu virů, musíme počítat s aspoň částečnou nekompatibilitou mezi nimi), je to dost nefektivní metoda.

Jediný význam vidím v kampani kterou asi nasadí tvůrci antivirů :
"Musíte si kontrolovat i datové soubory, nakupte si novou verzi našeho antiviráku a raději i silnější železo, když se odteď bude skenovat úplně všechno."

Každej slušnej antivir kontroluje všechno ....

kazdej slusnej antivir nezatezuje PC    mrtvy antivir =dobry antivir

Napadá je a nepoškozuje, JPG soubor je normálně zobrazitelný, jen je delší o 11 kB.

tymto sposobom som schopny poslat hocijaky kod cez polovisku existujucich formatov. (v doc to schovam do starich verzii, v BMP,wav do posledneho bity, ....) to niej nic ine len stenograficky posielane "updaty" vyrusu.

Plně s vámi souhlasím

Souhlas. jen s drobnou připomínkou - tato věda se nejmenuje stenografie, ale steganografe.

ta myslenka je stara jako lidstvo samo

http://xyborg.corp.cz/tsch/sw/ba/