Eerste JPEG-virus duikt op in nieuwsgroepen
Geplaatst: 28 sep 2004, 21:02
<img src="http://upload.userbase.be/upload/trojan_afb.jpg" align="left" width="120" height="100"> Speciale afbeelding installeert Trojaans paard. In enkele nieuwsgroepen verschenen zondagnacht de eerste JPEG-afbeeldingen die een virus bevatten. Ze maken misbruik van een beveiligingslek in de grafische bibliotheek van Windows. Er is een patch beschikbaar en sommige virusscanners slaan alarm.
Het is een klassiek scenario. Eerst wordt een beveiligingslek ontdekt en al vrij snel bedenkt iemand een proof of concept (PoC) dat aantoont hoe het lek misbruikt kan worden. Vanaf dan is het maar een kwestie van dagen voor de eerste virussen opduiken die van het voorbeeld dankbaar gebruik maken. Ook bij de JPEG-lek ging het niet anders: deze week kwamen de eerste afbeeldingsvirussen in omloop.
De beheerders van Easynews ontdekten zondagnacht de virussen. Onbekenden plaatsten ze in enkele erotica-nieuwsgroepen, een klassieke verspreidingswijze. Wie de afbeeldingen opent, krijgt geen erotische foto's te zien, maar activeert de kwaadaardige code in het bestand. Tijdens de schermopbouw van het bewuste JPEG-beeld loopt er immers een buffer over, waardoor kwaadaardige uitvoerbare code in het computergeheugen terecht komt.
Eens de besmetting gebeurd is, neemt de code contact op met een FTP-server en wordt een programma van bijna 2 megabyte afgehaald. Het blijkt een Trojaans paard te zijn, dat zich op de computer van het slachtoffer nestelt en zich stiekem aanmeldt op de server van de virusschrijver. Die kan op afstand de computer van het slachtoffer bedienen alsof het zijn eigen pc was.
Volgens Easynews maakte het virus al slachtoffers, want een controle op de server van de virusschrijver leverde 93 wachtende zombies op. Nochtans heeft Microsoft al enkele dagen een pleister uitgebracht voor de grafische programmabibliotheek GDI+ die het lek bevat. Bovendien slaan sommige virusscanners alarm omdat ze de code in het JPEG-beeld herkennen als mogelijk gevaarlijk.
De pleister voor het JPEG-lek kan gedownload worden via Windows Update. Toch is het ook daarna nog oppassen geblazen: de component kan bij de installatie van oudere software opnieuw overschreven worden door de onveilige variant. De kans daarop is vrij groot, want een hele reeks Microsoft-software bevat de foute bibliotheek. Ook gelijkaardige grafische bibliotheken van andere softwarehuizen kunnen kwetsbaar zijn voor het buffer overflow lek.
Bron: ZDNet.be van 28 september 2004
Het is een klassiek scenario. Eerst wordt een beveiligingslek ontdekt en al vrij snel bedenkt iemand een proof of concept (PoC) dat aantoont hoe het lek misbruikt kan worden. Vanaf dan is het maar een kwestie van dagen voor de eerste virussen opduiken die van het voorbeeld dankbaar gebruik maken. Ook bij de JPEG-lek ging het niet anders: deze week kwamen de eerste afbeeldingsvirussen in omloop.
De beheerders van Easynews ontdekten zondagnacht de virussen. Onbekenden plaatsten ze in enkele erotica-nieuwsgroepen, een klassieke verspreidingswijze. Wie de afbeeldingen opent, krijgt geen erotische foto's te zien, maar activeert de kwaadaardige code in het bestand. Tijdens de schermopbouw van het bewuste JPEG-beeld loopt er immers een buffer over, waardoor kwaadaardige uitvoerbare code in het computergeheugen terecht komt.
Eens de besmetting gebeurd is, neemt de code contact op met een FTP-server en wordt een programma van bijna 2 megabyte afgehaald. Het blijkt een Trojaans paard te zijn, dat zich op de computer van het slachtoffer nestelt en zich stiekem aanmeldt op de server van de virusschrijver. Die kan op afstand de computer van het slachtoffer bedienen alsof het zijn eigen pc was.
Volgens Easynews maakte het virus al slachtoffers, want een controle op de server van de virusschrijver leverde 93 wachtende zombies op. Nochtans heeft Microsoft al enkele dagen een pleister uitgebracht voor de grafische programmabibliotheek GDI+ die het lek bevat. Bovendien slaan sommige virusscanners alarm omdat ze de code in het JPEG-beeld herkennen als mogelijk gevaarlijk.
De pleister voor het JPEG-lek kan gedownload worden via Windows Update. Toch is het ook daarna nog oppassen geblazen: de component kan bij de installatie van oudere software opnieuw overschreven worden door de onveilige variant. De kans daarop is vrij groot, want een hele reeks Microsoft-software bevat de foute bibliotheek. Ook gelijkaardige grafische bibliotheken van andere softwarehuizen kunnen kwetsbaar zijn voor het buffer overflow lek.
Bron: ZDNet.be van 28 september 2004
