Eerste JPEG-virus duikt op in nieuwsgroepen

[Blue-Sky]

<img src="http://upload.userbase.be/upload/trojan_afb.jpg" align="left" width="120" height="100"> Speciale afbeelding installeert Trojaans paard. In enkele nieuwsgroepen verschenen zondagnacht de eerste JPEG-afbeeldingen die een virus bevatten. Ze maken misbruik van een beveiligingslek in de grafische bibliotheek van Windows. Er is een patch beschikbaar en sommige virusscanners slaan alarm.

Het is een klassiek scenario. Eerst wordt een beveiligingslek ontdekt en al vrij snel bedenkt iemand een proof of concept (PoC) dat aantoont hoe het lek misbruikt kan worden. Vanaf dan is het maar een kwestie van dagen voor de eerste virussen opduiken die van het voorbeeld dankbaar gebruik maken. Ook bij de JPEG-lek ging het niet anders: deze week kwamen de eerste afbeeldingsvirussen in omloop.

De beheerders van Easynews ontdekten zondagnacht de virussen. Onbekenden plaatsten ze in enkele erotica-nieuwsgroepen, een klassieke verspreidingswijze. Wie de afbeeldingen opent, krijgt geen erotische foto's te zien, maar activeert de kwaadaardige code in het bestand. Tijdens de schermopbouw van het bewuste JPEG-beeld loopt er immers een buffer over, waardoor kwaadaardige uitvoerbare code in het computergeheugen terecht komt.

Eens de besmetting gebeurd is, neemt de code contact op met een FTP-server en wordt een programma van bijna 2 megabyte afgehaald. Het blijkt een Trojaans paard te zijn, dat zich op de computer van het slachtoffer nestelt en zich stiekem aanmeldt op de server van de virusschrijver. Die kan op afstand de computer van het slachtoffer bedienen alsof het zijn eigen pc was.

Volgens Easynews maakte het virus al slachtoffers, want een controle op de server van de virusschrijver leverde 93 wachtende zombies op. Nochtans heeft Microsoft al enkele dagen een pleister uitgebracht voor de grafische programmabibliotheek GDI+ die het lek bevat. Bovendien slaan sommige virusscanners alarm omdat ze de code in het JPEG-beeld herkennen als mogelijk gevaarlijk.

De pleister voor het JPEG-lek kan gedownload worden via Windows Update. Toch is het ook daarna nog oppassen geblazen: de component kan bij de installatie van oudere software opnieuw overschreven worden door de onveilige variant. De kans daarop is vrij groot, want een hele reeks Microsoft-software bevat de foute bibliotheek. Ook gelijkaardige grafische bibliotheken van andere softwarehuizen kunnen kwetsbaar zijn voor het buffer overflow lek.

Bron: ZDNet.be van 28 september 2004

[Blue-Sky]

Wie volgende update via de website van MS gedownload heeft is save voor deze Trojan.
KB873374: Het detectieprogramma Microsoft GDI+ Geslaagd woensdag 15 september 2004 Website Windows Update
Deze werd geïnstalleerd samen met SP2.
Ook van belang je Antivirus software up to date te houden, dat gebeurd gewoonlijk automatisch.
Ook opletten welke sites je bezoekt, dan is men veilig.

Heb een check uitgevoerd voor up-date voor OfficeXP 2002, daar werden 2 kleinere updates aangeboden, welke snel geïnstalleerd waren.

[Weetgraag]

Ik ben eens gaan kijken naar dat KB van ms, heb het progke gedownload en wat blijkt dat mijn PictureIt 7.0 een securety lek heeft.
deze link leid je naar het tooltje
http://www.microsoft.com/downloads/deta ... laylang=en

greetz
Weetgraag

[kikker46]

Bij mij kwam die er toch over zagen in windows update, dus ik denk niet dat het in service pack 2 in zit, althans toen toch niet.

Mvg,

Kikker46

[Blue-Sky]

@kikker46,
Je hebt gelijk, ik had dat ook zo geschreven >

Die GDI is een download welke ik opnieuw opgevraagd heb na installatie van SP2.
Zie eens opnieuw na op de downloadsite van MS, misschien staat deze dan wel aangeboden.

http://www.userbase.be/forum/viewtopic. ... 3844#53844
Ik had dit wel onmiddellijk gedaan na de installatie van SP2.
Deze GDI diende voor dit probleem op te lossen.
(het tooltje wat Weetgraag beschreef, daar kan je ook de taal wijzigen naar het Nederlands, voor sommigen misschien gemakkelijker) zie hier