Eerste JPEG-virus duikt op in nieuwsgroepen

Speciale afbeelding installeert Trojaans paard

28 september 2004 | Stijn Wuyts In enkele nieuwsgroepen verschenen zondagnacht de eerste JPEG-afbeeldingen die een virus bevatten. Ze maken misbruik van een beveiligingslek in de grafische bibliotheek van Windows. Er is een patch beschikbaar en sommige virusscanners slaan alarm.

Het is een klassiek scenario: eerst wordt een beveiligingslek ontdekt en al vrij snel daarna bedenkt iemand een proof of concept (PoC) dat aantoont hoe het lek misbruikt kan worden. Vanaf dan is het meestal een kwestie van dagen voor de eerste virussen opduiken die van het voorbeeld dankbaar gebruik maken. Ook bij de JPEG-lek ging het niet anders: deze week kwamen de eerste afbeeldingsvirussen in omloop.

Beheerders van Easynews ontdekten zondagnacht de virussen. Onbekenden plaatsten ze in enkele erotica-nieuwsgroepen, een beproefde verspreidingswijze. Wie de afbeeldingen opent, krijgt geen erotische foto's te zien, maar activeert de kwaadaardige code in het bestand. Tijdens de schermopbouw van het bewuste JPEG-beeld loopt er een buffer over, waardoor uitvoerbare code in het computergeheugen terecht komt.

Als de besmetting een feit is, neemt de code contact op met een FTP-server en wordt een programma van bijna 2 megabyte opgehaald. Het bestand is kwestie is een Trojaans paard, dat zich op de computer van het slachtoffer nestelt en zich stiekem aanmeldt op de server van de virusschrijver. Die kan op afstand de computer van het slachtoffer bedienen alsof het zijn eigen pc is.

Volgens Easynews maakte het virus al slachtoffers, want een controle op de server van de virusschrijver leverde 93 wachtende zombies op. Nochtans heeft Microsoft al enkele dagen een pleister uitgebracht voor de grafische programmabibliotheek GDI+ die het lek bevat. Bovendien slaan sommige virusscanners alarm omdat ze de code in het JPEG-beeld herkennen als potentieel gevaarlijk.

De pleister voor het JPEG-lek kan gedownload worden via Windows Update. Toch is het ook daarna nog oppassen geblazen: de component kan bij de installatie van oudere software opnieuw overschreven worden door de onveilige variant. De kans daarop is vrij groot, want een hele reeks Microsoft-software bevat de foute bibliotheek. Ook grafische bibliotheken van andere softwarehuizen kunnen kwetsbaar zijn voor het buffer overflow lek. Lees meer artikels over : jpeg, virus, microsoft

bron: ZDNet