Hay formas de hacerlo, una es utilizando Java Applets, estos se les conoce como GIFAR y PDFAR, es sencillo, consiste basicamente en mezclar un fichero JAR (con un applet) con el código malicioso (o lo que sea que se desee ejecutar en el objetivo) junto con el flujo de bytes de la imagen (o incluso un PDF), el resultado es incrustado en una página web normal, la imagen se visualizará normalmente y a la vez se ejecutará el código Java incluido en el JAR.
Evidentemente depende de que el usuario "navegue" directamente hacia dicha página desde su navegador, lo puede ser tan sencillo como "enviarle" un fichero HTML con la "imagen" en lugar de enviarle "una imagen". Un poco más sobre este tipo de ataque se encuentra al final del siguiente articulo:
http://thehackerway.com/2011/11/16/preservando-el-anonimato-y-extendiendo-su-uso-hacking-tor-parte-xvii/Por ultimo, tal como se ha dicho anteriormente, solo con la imagen e incrustando un .exe, no es posible hacerlo, dado que el formato esperado por el sistema operativo (windows) no es el que se haya contenido en la imagen, por lo tanto el SO interrumpirá su ejecución.