[OFF] COMO UM ARQUIVO PEGA VÍRUS?

 Tópico anterior Próximo tópico Novo tópico

[OFF] COMO UM ARQUIVO PEGA VÍRUS?

C#

 Compartilhe  Compartilhe  Compartilhe
#489086 - 03/06/2019 11:42:34

MARCELODAVID
PINDAMONHANGABA
Cadast. em:Junho/2011


Última edição em 03/06/2019 13:55:03 por MARCELODAVID

Bom dia senhores,
desculpe a pergunta meio noob, mas nem na faculdade e nem em pesquisas no google
vi algo de mais concreto.

Vamos a dúvida.

Sempre ouvimos falar que um computador está infectado com vírus... Sim, isso eu até compreendo.
O que eu não compreendo e nunca entendi é como um arquivo, por exemplo uma foto é infectada.

Como que o vírus "entra" na foto e não corrompe a mesma?

Se abrirmos uma foto no bloco de notas e acrescentarmos qualquer caractere a foto (ou qualquer outro arquivo)  já será
corrompida e isso mesmo que apaguemos o caractere que acrescentamos... Como um vírus "entra" na foto continua sendo exibida normal?

A questão não é a foto e sim como o arquivo é infectado...

Não quero criar vírus nenhum, apenas entender mesmo...

Alguém sabe?

Grato!




#489090 - 03/06/2019 16:41:41

EPISCOPAL
VARZEA GRANDE
Cadast. em:Maio/2009


Eu vi um virus em qbasic que infectava um EXE. Ele copiava ele mesmo dentro do arquivo a infectar e depois de mesclado ele apagava o EXE limpo e deixava o infectado.

No planet-source-code.com tem alguns antivírus escrito em VB6. Talvez estudando eles dá pra ter uma idéia.

____________________________________________________________________
Episcopal Studios




#489091 - 03/06/2019 17:29:08

GUIMORAES
ITAPETININGA
Cadast. em:Agosto/2009


Não é bem assim, inserir um vírus em uma foto é algo que não vai acontecer.

No windows, um vírus nada mais é que um executável ou um script que realizará algum procedimento, mas ele não se instalará em uma foto, pois a foto é um arquivo de dados. Seria a mesma coisa que dizer que um arquivo .txt pegou um vírus, não tem como, pois é um arquivo de dados.

O que um vírus pode fazer é criptografar ou até remover alguma informação do arquivo, deixando o mesmo inútil, sem a possibilidade de realizar a leitura do mesmo.

Normalmente um vírus se instala em um executável removendo completamente a sua funcionalidade, ou seja, trocando as informações compiladas pelas rotinas maliciosas. Dificilmente você recupera um executável infectado, pois ele já perdeu seus dados originais, mas você pode remover a origem do problema, removendo o executável malicioso e os executáveis infectados, é isto que um anti-vírus faz.

Para que o executável não perca a sua funcionalidade é necessário fazer uma engenharia reversa, e aplicar o código malicioso em algum trecho, como a inicialização, e a partir daí recompilar e distribuir.
Digamos assim, eu poderia descompilar o Google Chrome (não que eu vá fazer isto), adicionar um código que verifica tudo que é digitado na barra de endereços e enviar a um serviço, recompilar e distribuir. Mas para distribuir este executável é que vem o problema, muitas pessoas mal intencionadas fazem isto por e-mail, sites que exigem a instalação de Plugins ou qualquer outra coisa, ou até por um pendrive, estas são formas de distribuir um vírus. Quando o usuário clicar no executável do chrome modificado, ele instala os códigos maliciosos (executáveis), e aí começa a festa. Para distribuir isto é fácil, em um computador já infectado, basta preparar uma rotina que verifica os dispositivos conectados no computador, como um pendrive, jogar o executável de forma oculta e colocar um startup.ini oculto na raiz do pendrive, assim que ele conectar em outro dispositivo, o executável roda e passa a instalar o hospedeiro em outro computador, e assim vai se espalhando.

Bom, muitos de nós já sabemos nos defender deste tipo de situação, mas um usuário comum não, e esses são os alvos, e a partir daí disseminar a praga.

Sei que tem alguém que vai falar assim, use linux, não pega vírus.
Qualquer sistema operacional está sujeito a ser alvo de vírus.



#489096 - 04/06/2019 00:21:06

MARCELODAVID
PINDAMONHANGABA
Cadast. em:Junho/2011


Citação:
  No planet-source-code.com tem alguns antivírus escrito em VB6. Talvez estudando eles dá pra ter uma idéia.  

Vou dar uma verificada depois para ver!

Citação:
Digamos assim, eu poderia descompilar o Google Chrome (não que eu vá fazer isto), adicionar um código que verifica tudo que é digitado na barra de endereços e enviar a um serviço, recompilar e distribuir. Mas para distribuir este executável é que vem o problema, muitas pessoas mal intencionadas fazem isto por e-mail, sites que exigem a instalação de Plugins ou qualquer outra coisa, ou até por um pendrive, estas são formas de distribuir um vírus. Quando o usuário clicar no executável do chrome modificado, ele instala os códigos maliciosos (executáveis), e aí começa a festa. Para distribuir isto é fácil, em um computador já infectado, basta preparar uma rotina que verifica os dispositivos conectados no computador, como um pendrive, jogar o executável de forma oculta e colocar um startup.ini oculto na raiz do pendrive, assim que ele conectar em outro dispositivo, o executável roda e passa a instalar o hospedeiro em outro computador, e assim vai se espalhando.


EPISCOPAL e GUIMORAES,
Então no caso da foto, o virus que foi iniciado substitui a foto pelo executável malicioso para que ao tentarem abrir ele continue se propagando?
E no caso do Chrome.exe  seria substituído por um Chrome.exe fake, que na verdade é o vírus?

Caso sim, então o que os criminosos fazem, para manterem seu virus no hospedeira é ao abrir o chrome, na verdade é o virus que está sendo executado e talvez para disfarçar, ele (o vírus) abra o chrome de verdade...

Seria mais ou menos isso?



#489098 - 04/06/2019 09:31:03

NICKOSOFT
SANTO ANDRE
Cadast. em:Maio/2009


os vírus q vi, infectavam arquivos executáveis, e os mantinham sempre funcionais, assim muitas vezes se espalhavam mais ao executar o arquivo.....
hj em dia já se propagam de forma diferente, pq se enfiam na inicialização do sistema operacional e ficam em funcionamento todo tempo, aguardando algo pra disparar......
vírus atacam arquivos de dados tmb, até os "inofensivos" vírus de macro, vírus q chegam ao outlook via msg.....até por msg de whatsapp se espalham pragas q travam celular, fora os links q chegam....



#489099 - 04/06/2019 10:39:19

GUIMORAES
ITAPETININGA
Cadast. em:Agosto/2009


Citação:
Então no caso da foto, o virus que foi iniciado substitui a foto pelo executável malicioso para que ao tentarem abrir ele continue se propagando?


Como disse, uma foto é um arquivo de dados, se ele for substituído por um executável, ele deixa de ser uma foto. Mas suponhamos que isto seja feito, quando o usuário clicar na suposta foto, ele vai se espalhar (se tiver preparado para isto).
Obviamente, sabemos como identificar uma foto de um executável, só de bater o olho, mas um usuário comum pode se confundir e executar.

Para inserir um trecho de um código malicioso em um executável é necessário fazer engenharia reversa, aplicar o código e recompilar o executável. É possível fazer isto, mas criar um vírus inteligente a ponto de manter um executável qualquer em funcionamento e adicionar um trecho ao código, acredito que é mais difícil, por isto é mais fácil fazer isto em um executável com alta relevância, que muitos usuários utilizam, como o chrome, mozilla, pacote office, explorer.exe, etc...

Antigamente os vírus vinham para destruir o sistema operacional, hoje acredito que as informações pessoais do usuário tem mais importância, como sequestro de dados, capturar dados de cartão de crédito, entre outras informações.

Já vi várias empresas que tiveram seus bancos de dados criptografados, e o "sequestrador" exigia um pagamento para descriptografar. O pagamento devia ser efetuado em um link, na deep web, em cripto moedas.




#489102 - 04/06/2019 11:24:30

MARCELODAVID
PINDAMONHANGABA
Cadast. em:Junho/2011


Muito interessante esse assunto! E quanto aprendizado!



#489106 - 04/06/2019 16:18:03

OCELOT
SOROCABA
Cadast. em:Março/2012


No caso de imagens já existiram falhas de segurança não nelas, mas sim nos programas que exibiam elas.

Imagens como jpeg precisam ser decodificadas para poder ser exibidas, e aconteceu de programas que decodificavam as imagens não fazerem verificações em certos casos e acabavam gravando dados além do que deviam, causado pelo chamado buffer overflow, então um arquivo feito exatamente para se aproveitar dessa falha podia fazer com que o programa gravasse dados por cima do código de uma função, assim quando essa função fosse chamada iria executar um outro código, que seria o vírus em si. Imagine que você poderia simplesmente abrir um site com uma imagem e o vírus executaria código no seu PC.

Para se ter uma ideia do que seria o buffer overflow, imagine que o programa lê o arquivo e verifica que precisa de um array de 100 bytes, então ele cria o array de 100 bytes e em seguida ele vai ler os dados para gravar neste array, mas na verdade existem 200 bytes para ele gravar mas ele não verifica isso e só grava os dados no array. No VB isso causaria um erro, mas em C por exemplo é responsabilidade do programador verificar se está gravando no local correto e se os dados cabem lá, sem verificar esses dados acabam sendo gravados em cima de outros dados.





#489110 - 04/06/2019 22:22:49

MARCELODAVID
PINDAMONHANGABA
Cadast. em:Junho/2011


Nossa, que interessante!
Citação:
No caso de imagens já existiram falhas de segurança não nelas, mas sim nos programas que exibiam elas.


Nesse caso, pode ser que ainda haja algum visualizador de imagens que possa ter essa brecha... Ou entendi errado?



#489111 - 05/06/2019 08:25:46

OCELOT
SOROCABA
Cadast. em:Março/2012


Citação:
:
Nossa, que interessante!
No caso de imagens já existiram falhas de segurança não nelas, mas sim nos programas que exibiam elas.

Nesse caso, pode ser que ainda haja algum visualizador de imagens que possa ter essa brecha... Ou entendi errado?

Só se for um programa muito antigo, no geral não é um problema mais. Se não me engano o GDI+ era afetado por isso, o que tornava diversos programas vulneráveis, mas a Microsoft corrigiu isso a muito tempo.



#489113 - 06/06/2019 08:02:21

PROGRAMADORVB6
LISBOA
Cadast. em:Janeiro/2004


Última edição em 06/06/2019 08:44:54 por PROGRAMADORVB6

Olá colega, pesquisei na net e veja este endereço :  http://www.youtube.com/watch?v=Ljqko53HddQ além disso se se pode esconder um texto dentro de um arquivo de imagem também se pode inserir um arquivo exe.


Citação:
  Normalmente um vírus se instala em um executável removendo completamente a sua funcionalidade, ou seja, trocando as informações compiladas pelas rotinas maliciosas.


Discordo colega Guimarães. veja como se infecta um virus 4096 sem estragar o ficheiro original e ficar perfeitamente  funcional.

Vejam este link também : https://imasters.com.br/dotnet/injecao-de-codigo-executavel-de-uma-maneira-interessante

Há também uma maneira de fugir aos Anti virus chamada Stub procurem na net como fazer e o que é.

Até á próxima.
Um abraço.





 Tópico anterior Próximo tópico Novo tópico


Tópico encerrado, respostas não sao permitidas
Encerrado por MARCELODAVID em 10/06/2019 22:09:02