根据您链接到的 Virustotal 上的描述，这实际上不是图像，而是真正的 PE32 可执行文件（普通 Windows 可执行文件）。所以只有文件扩展名被更改以隐藏文件的真正用途。

.jpg在这种情况下，当它们具有扩展名时，PE32 将不会自动执行。此外，默认情况下将使用文件调用的图像查看器不会执行代码，而是退出或抱怨这不是有效的图像。

因此这个文件不能单独工作。但是这些文件通常与另一个文件一起使用，该文件将重命名name.exe并执行它。这可以通过一些批处理文件来完成，在网站或邮件或类似文件中的 Windows 脚本主机 ActiveX 的帮助下。此策略用于绕过防病毒和防火墙，它们可能会因为扩展名而跳过分析“jpg”文件，并且不会在随附的脚本中发现任何可疑内容（仅重命名文件并执行它）。

...如果有任何方法可以解码/反编译图像数据

同样，这不是一个图像，而是一个可执行文件，因此选择的工具可以是一些反汇编程序、调试器、沙盒执行等。另请参见Virustotal 的分析。

回覆。问题1：

这看起来根本不像 JPG。它在文件的开头有一个神奇的“MZ”字符，表示“Windows 可移植可执行文件”。您的 VirusTotal 报告也指向这个方向：只是一个实际上没有“.EXE”作为文件名后缀的 EXE 文件。

相比之下，JPG 文件的开头应该有以下四个非 ASCII 可打印字节：ff d8 ff e0

因此，任何对其输入文件进行最基本检查的图像查看器都应该立即检测到这一点，甚至不会尝试进一步处理。因此，我认为您不太可能通过尝试使用图像查看器打开该文件来感染您的计算机。

回覆。问题2：

往上看。它根本不是图像文件。并且没有可执行逆向工程的简单指令。这是复杂的东西。

我建议您将其上传到您可以找到的所有在线防病毒扫描程序。他们中的一些人运行沙盒环境，并会报告该过程试图改变的内容。（在执行此操作之前，您可能必须重命名文件以具有“.EXE”后缀。所以要小心。或者更好：重命名并从甚至无法意外执行 Windows EXE 的 Linux 或 Mac 机器提交。 )

2016-11-21 更新：一些扫描结果

• VirusTotal 结果
• MalWr 结果
• 獒犬结果
• 混合分析结果
• 元防御者

“所以我想知道如果软件没有‘完全’打开图像，图像中包含的病毒是否仍然可能被执行？”

鉴于其他答案说它是 PE 可执行文件，您不太可能通过在图像编辑器/查看器中打开它来做任何有害的事情。图像查看器通常会查看文件的前几个字节以确定其文件类型，然后如果它与已知签名不匹配，则会报错。大多数文件格式的引入就是所谓的“幻数”——几乎每种文件格式都有一个。幻数允许读者在尝试处理垃圾之前对文件数据执行完整性检查。

如果它是合法的图像文件，重要的是要注意多年来利用某些图像解析器在各种软件库中的工作方式的缓冲区溢出。几年前发现了一些漏洞，用于制作特殊图像，以利用图像编辑和查看软件使用的一些最受欢迎的库中的各种库弱点。显然，当漏洞被发现时，它们会被修补，但由每个使用该库的软件供应商来更新他们的软件，然后该软件的每个用户都必须更新软件。该过程可能需要大量时间才能完成。

但在你的情况下，不，它可能只是一个名字不好的 EXE，你的机器可能还不错。这也可能意味着他们向该邮件发送垃圾邮件的每个人都收到了同样格式错误的文件名，收件人也无法打开它。恶意软件交付失败。愚蠢得一分。

我的第二个问题是，是否有任何方法可以解码/反编译图像数据以便更好地查看其内容？

有一些工具可以剖析 PE 文件（高级部分分解）。看起来 .NET 可能涉及这种情况。我有一段时间不用拆机了。.NET 二进制文件有免费的和商业的逆向工程工具。显然，如果您为这样的工具付费，它通常会比免费工具好得多。

综上所述，如果您认为您的机器已被入侵，请将其与所有网络断开连接，并可能将其关闭，直到您可以重新安装操作系统。您想要/需要的最后一件事是安装 Cryptowall 和一个额外的 rootkit。如今，重新安装操作系统是恶意软件感染的唯一选择。今天通过电子邮件部署的大多数恶意软件只是用于从 Internet 获取更多恶意软件的小型下载程序。一旦有了一个小的立足点，操作系统的游戏就结束了。

最后，不要打开来自奇怪人的奇怪附件。

如果您确定该文件包含病毒，那么是的，即使有此消息，病毒也可能已被激活。例如，图像查看程序中的缓冲区溢出。然而，确切的答案取决于确切的病毒机制和确切的程序。

至于更好的查看 - 第一步使用任何十六进制编辑器。但请注意，无论您使用什么工具，它都需要大量特定技能才能正确分析病毒，需要大量关于操作系统、库、文件格式和使用的程序的知识。