Вы правы, что ваша ОС выберет программу и попросит ее открыть образ. ОС не будет запрашивать у программы выполнить образ - это было бы глупо.
Тем не менее, изображения представляют собой сложные форматы и часто содержат метаданные и другие части, которые не отображаются напрямую - вы можете скрыть их там, не влияя на изображение на экране. Так что внутри файла изображения могут скрываться враждебные данные.
Кроме того, программа может иметь ошибки, в частности переполнения буфера . Вкратце, вирус может использовать это, помещая слишком большие данные в разделы метаданных - больше, чем ожидает программа, которая декодирует изображение. Переполнение внутренних буферов, и, обладая достаточными навыками, вирусописатель может поместить исполняемый код в нужное место в памяти, чтобы программа, декодирующая изображение, в конечном итоге выполняла код . Таким образом, невинный и «мертвый» файл, такой как изображение, может содержать эксплойт.