Según la descripción en Virustotal que has vinculado a esto, en realidad no es una imagen, sino un ejecutable PE32 real (ejecutable de Windows normal). Solo se cambió la extensión del nombre de archivo para ocultar el propósito real del archivo.

PE32 no se ejecutará automáticamente cuando tengan la extensión .jpg como en este caso. Además, el visor de imágenes que se invocará con el archivo por defecto no ejecutará el código, sino que saldrá o se quejará de que esta no es una imagen válida.

Por lo tanto, este archivo no funcionaría solo. Pero estos archivos se usan normalmente junto con otro archivo que le cambiará el nombre a name.exe y lo ejecutará. Esto se puede hacer mediante algún archivo por lotes, con la ayuda de Windows Scripting Host ActiveX dentro de un sitio web o correo o similar. Esta estrategia se utiliza para omitir el antivirus y los firewalls que pueden omitir el análisis del archivo "jpg" debido a la extensión y no encontrarán nada sospechoso en el script adjunto (que solo cambia el nombre del archivo y lo ejecuta).

  

... si hay alguna forma de decodificar / descompilar los datos de la imagen

Nuevamente, esto no es una imagen, sino un ejecutable, por lo que la herramienta elegida podría ser un desensamblador, un depurador, una ejecución en un espacio aislado, etc. Análisis de Virustotal     

Re. pregunta 1:

Esto no se parece en nada a un JPG. Tiene los caracteres mágicos "MZ" al principio del archivo que significa "Archivo ejecutable portátil de Windows". Además, su informe de VirusTotal apunta en esa dirección: simplemente un archivo EXE que en realidad no tiene ".EXE" como el sufijo del nombre del archivo.

En contraste, un archivo JPG debe tener los siguientes cuatro bytes no imprimibles por ASCII en el principio del archivo: ff d8 ff e0

Por lo tanto, cualquier visor de imágenes que realice la comprobación más básica de su archivo de entrada debería detectar esto de inmediato y ni siquiera intentar procesar más. Por lo tanto, no creo que sea probable que haya infectado su computadora al intentar abrir ese archivo con un visor de imágenes.

Re. Pregunta 2:

Ver más arriba. No es un archivo de imagen en absoluto. Y no hay instrucciones simples para la ingeniería inversa ejecutable. Es algo complicado.

Le sugiero que lo suba a todos los analizadores antivirus en línea que pueda encontrar. Algunos de ellos ejecutan entornos de sandbox e informarán sobre lo que el proceso intentó cambiar. . (Es posible que tenga que cambiar el nombre del archivo para tener el sufijo ".EXE" antes de hacerlo. Así que tenga cuidado. O mejor aún: cambie el nombre y envíelo desde una máquina con Linux o Mac que ni siquiera pueda ejecutar los EXE de Windows por accidente. )

Actualización 2016-11-21: Algunos resultados del análisis

• Resultado VirusTotal
• MalWr result
• Resultado de Mastiff
• Hybrid-Analysis result
• MetaDefender

  

"Así que quiero saber si es posible o no un virus contenido   Dentro de la imagen todavía podría haberse ejecutado si el software lo hizo   ¿No abres totalmente la imagen? "

Dadas las otras respuestas, dicen que es un ejecutable de PE, es muy poco probable que hayas hecho algo perjudicial al abrirlo en un editor / visor de imágenes. Los visores de imágenes generalmente observan los primeros bytes de un archivo para determinar su tipo de archivo y luego se liberan con un error si no coinciden con las firmas conocidas. La introducción de la mayoría de los formatos de archivo es lo que se conoce como un "número mágico"; casi todos los formatos de archivo tienen uno. Los números mágicos permiten a los lectores realizar una verificación de validez en los datos del archivo antes de intentar procesar la basura.

Si se tratara de un archivo de imagen legítimo, es importante tener en cuenta que a lo largo de los años se han producido desbordamientos de búfer que explotaron la forma en que ciertos analizadores de imágenes funcionaban en varias bibliotecas de software. Hace unos años se descubrieron algunas hazañas para crear una imagen especial para explotar varias debilidades de las bibliotecas en algunas de las bibliotecas más populares que utiliza el software de edición y visualización de imágenes. Obviamente, a medida que se descubren los agujeros, están parcheados, pero depende de cada proveedor de software que use la biblioteca para actualizar su software y luego cada usuario de ese software tiene que actualizar el software. Ese proceso puede llevar mucho tiempo para completarse.

Pero en su caso, no, probablemente solo sea un EXE mal llamado y su máquina probablemente esté bien. Lo que probablemente también significa que todas las personas a las que envían correo no deseado recibieron un nombre de archivo con el mismo formato y los destinatarios tampoco pueden abrirlo. La entrega de malware falla. Puntuación uno por estupido.

  

Mi segunda pregunta es si hay alguna forma de decodificar / descompilar el   ¿Datos de imagen para ver mejor su contenido?

Hay herramientas para analizar los archivos PE (desglose de sección de alto nivel). Parece que .NET podría estar involucrado en este caso. No he tenido que hacer ningún desmontaje en un tiempo. Hay herramientas gratuitas y comerciales de conversión inversa para los binarios .NET. Obviamente, si paga dinero por una herramienta como esa, generalmente será significativamente mejor que las herramientas gratuitas.

Dicho todo esto, si cree que su máquina se ha visto comprometida, desconéctela de todas las redes y probablemente apáguela hasta que pueda reinstalar el sistema operativo. Lo último que desea / necesita es Cryptowall y un rootkit adicional para instalarse. Reinstalar un sistema operativo es la única opción en estos días para una infestación de malware. La mayoría de los malware implementados a través del correo electrónico hoy en día son solo pequeños descargadores para ir y obtener más malware de Internet. Una vez que hay un punto de apoyo pequeño, se termina el juego para el sistema operativo.

Finalmente, no abras adjuntos extraños de personas extrañas.

Si está seguro de que el archivo contiene un virus, entonces sí, es posible que incluso con este mensaje se haya activado el virus. P.ej. desbordamiento de búfer en su programa de visualización de imágenes. Sin embargo, la respuesta exacta depende del mecanismo exacto del virus y del programa exacto.

En cuanto a una mejor visualización, use cualquier editor hexadecimal como primer paso. Pero tenga en cuenta que cualquiera que sea la herramienta que use, requiere mucha habilidad específica para analizar correctamente un virus, un gran conocimiento sobre el sistema operativo, las bibliotecas, los formatos de archivo y los programas que se utilizan.

Por lo que recuerdo, la única forma de ejecutar un virus en un archivo jpg es una vulnerabilidad específica de Windows que incluya un carácter especial RTL (de derecha a izquierda) en el nombre de archivo, lo que hará que el nombre del archivo sea analizado de derecha a izquierda. Si, por ejemplo, obtuviste el archivo con un nombre similar a exe.whatever.jpg o tab.whatever.jpg , podrías enfrentarte a esto. La aplicación también puede escribirse para que tenga el mismo icono que tiene el Visor de fotos de Windows, y el ataque está bastante disfrazado.