Jpeg-virus vormt uitdaging voor virusbestrijders
Overvloed aan beelden zou pc overbelasten
29 september 2004 | Jamie Biesemans
De recent ontdekte kwetsbaarheid in een Windows-onderdeel om jpeg-beelden te tonen, inspireerde alvast een Trojaans paard. De gebruikelijke gang van zaken dus, alleen is er nu meer aan de hand. Het zou wel eens kunnen dat virussen die zich verbergen in jpeg-beelden zelfs de meest actuele scanner in de luren leggen.
Het is een vertrouwd verhaal geworden: eerst wordt een nieuwe kwetsbaarheid ontdekt, gevolgd door het verschijnen van een theoretische exploit. Daarna wordt de kwestbaarheid overgenomen door malafide programma's die onbeschermde gebruikers op de korrel nemen. Ook het lek in het GDI+-onderdeel is volgens dit scenario opgevolgd door kwaadaardige software.
Gelukkig is er een patch van Microsoft die het probleem kan oplossen. Gebruikers die deze update niet willen of vergeten te installeren, hebben als laatste verdedigingslinie hun virusscanner. Of toch niet?
Het probleem is dat virussen die inspelen op de GDI+-kwetsbaarheid verpakt zitten in jpeg-beelden. En die soort bestanden wordt doorgaans standaard niet gescand door antivirusprogramma's, zegt F-Secure-baas Mikko Hypponen. Bijkomend probleem is dat jpeg-bestanden tot elf verschillende extensies dragen, gaande van .icon tot .jpeg2, en dus complexere scanroutines vragen.
Hypponen verwacht niet dat virusscanners jpeg-virussen ooit kunnen blokkeren. Er zijn verschillende factoren die de opdracht van virusbestrijders moeilijken. Zo verwerkt Internet Explorer beelden voordat ze opgeslagen worden, waardoor het niet volstaat dat een virusscanner bestanden op de harde schijf controleert. Het antivirusprogramma moet dus vroeger in actie treden, maar volgens de F-Secure-baas zal dit de processor aanzienlijk belasten.
Een virus op basis van de GDI+-kwetsbaarheid is er nog niet. Technisch gesproken is de trojan die gisteren opdook in een nieuwsgroep geen echt virus. Het beschikt immers niet over een mechanisme om zichzelf voort te planten. Hypponen gelooft echter niet dat een echt virus lang zal uitblijven: "Er is zoveel interesse in deze kwetsbaarheid dat het niet zal duren voordat iemand er een virus maakt. Aan de andere kant: twee maanden geleden werd een gelijkaardige probleem gevonden met bitmaps. Tot op heden heeft niemand daar een exploit voor geschreven."
Microsoft weerlegde gisteren de kritiek dat het traag reageerde op de mogelijkheid van een jpeg-virus. "MS beschouwt dit niet als een grote risico voor zijn klanten, gezien de hoeveelheid interactie van de gebruiker die vereist is om de aanval uit te voeren. Wij blijven de situatie onderzoeken en zullen indien noodzakelijk klanten meer informatie en hulp bieden."
Met een bijdrage van Dan Ilet, ZDNet UK.
bron: ZDNet
