Trojaanse paarden huppelen naar u toe

[4x]

Eerste JPEG-virus duikt op in nieuwsgroepen
Speciale afbeelding installeert Trojaans paard

Stijn Wuyts
28 september 2004
Bron: ZDNet
Print dit artikel Mail dit artikel dit artikel



In enkele nieuwsgroepen verschenen zondagnacht de eerste JPEG-afbeeldingen die een virus bevatten. Ze maken misbruik van een beveiligingslek in de grafische bibliotheek van Windows. Er is een patch beschikbaar en sommige virusscanners slaan alarm.


Het is een klassiek scenario: eerst wordt een beveiligingslek ontdekt en al vrij snel daarna bedenkt iemand een proof of concept (PoC) dat aantoont hoe het lek misbruikt kan worden. Vanaf dan is het meestal een kwestie van dagen voor de eerste virussen opduiken die van het voorbeeld dankbaar gebruik maken. Ook bij de JPEG-lek ging het niet anders: deze week kwamen de eerste afbeeldingsvirussen in omloop.



Beheerders van Easynews ontdekten zondagnacht de virussen. Onbekenden plaatsten ze in enkele erotica-nieuwsgroepen, een beproefde verspreidingswijze. Wie de afbeeldingen opent, krijgt geen erotische foto's te zien, maar activeert de kwaadaardige code in het bestand. Tijdens de schermopbouw van het bewuste JPEG-beeld loopt er een buffer over, waardoor uitvoerbare code in het computergeheugen terecht komt.


Als de besmetting een feit is, neemt de code contact op met een FTP-server en wordt een programma van bijna 2 megabyte opgehaald. Het bestand is kwestie is een Trojaans paard, dat zich op de computer van het slachtoffer nestelt en zich stiekem aanmeldt op de server van de virusschrijver. Die kan op afstand de computer van het slachtoffer bedienen alsof het zijn eigen pc is.


Volgens Easynews maakte het virus al slachtoffers, want een controle op de server van de virusschrijver leverde 93 wachtende zombies op. Nochtans heeft Microsoft al enkele dagen een pleister uitgebracht voor de grafische programmabibliotheek GDI+ die het lek bevat. Bovendien slaan sommige virusscanners alarm omdat ze de code in het JPEG-beeld herkennen als potentieel gevaarlijk.


De pleister voor het JPEG-lek kan gedownload worden via Windows Update. Toch is het ook daarna nog oppassen geblazen: de component kan bij de installatie van oudere software opnieuw overschreven worden door de onveilige variant. De kans daarop is vrij groot, want een hele reeks Microsoft-software bevat de foute bibliotheek. Ook grafische bibliotheken van andere softwarehuizen kunnen kwetsbaar zijn voor het buffer overflow lek.

[Tantist]

Euh?

[4x]

"The safer, faster, better web browser featuring tabbed browsing, integrated search and live bookmarks. Stop pop-ups, spyware and viruses. Get Firefox and spread the word! 'I suggest dumping Microsoft's Internet Explorer' — Walt Mossberg, Wall Street Journal"

free download:
www.mozilla.org

[4x]

Citaat:

Oorspronkelijk geplaatst door Tantist

Euh?

Inderdaad, nu kan je ook een virus krijgen door naar sex te kijken

[Griffin]

Citaat:

Oorspronkelijk geplaatst door 4x

Inderdaad, nu kan je ook een virus krijgen door naar sex te kijken

*slik*

Linux here we come!

[Distel]

Citaat:

Oorspronkelijk geplaatst door Griffin

*slik*

Linux here we come!

Hazo, jij bent een slikker?

[Vlaanderen Boven]

Man, echt ALLE threads veranderen hier in geile gangbang-threads.

Lekker.

[dejohan]

Ik ruik hoax.
Heb je een naam van het virus?

[Griffin]

Citaat:

Oorspronkelijk geplaatst door Vlaanderen Boven

Man, echt ALLE threads veranderen hier in geile gangbang-threads.

Lekker.

Ik ben onschuldig! *kijkt naar 4x*

[Tzuvar Raemborr]

Citaat:

Oorspronkelijk geplaatst door Griffin

*slik*

Linux here we come!

Linux is in sé niet veel veiliger hoor. Maar er zijn zoveel meer Windows-gebruikers dat alle virusschrijvers zich liever op hen concentreren. Hoe meer zielen, hoe meer vreugde tenslotte.

Schaf Windows af, maak van Linux het standaard-OS en voor je het weet wemelt het van de Linux-virussen.

[Distel]

Citaat:

Oorspronkelijk geplaatst door dejohan

Ik ruik hoax.
Heb je een naam van het virus?

Geen hoax.

http://www.sophos.com/virusinfo/articles/perrun.html

[DaBlacky]

Citaat:

Oorspronkelijk geplaatst door dejohan

Ik ruik hoax.
Heb je een naam van het virus?

http://www.microsoft.com/technet/sec.../MS04-028.mspx

[Ke Nan]

Citaat:

Oorspronkelijk geplaatst door 4x

Inderdaad, nu kan je ook een virus krijgen door naar sex te kijken

Vanaf nu is Babe-keten off limits voor mij.

[parcifal]

Citaat:

Oorspronkelijk geplaatst door Ke Nan

Vanaf nu is Babe-keten off limits voor mij.

Naah, niet bang zijn. Als je de patch van M$oft hebt ben je safe.
(die zit trouwens dach ik ook standaard in het nieuwe SP2 voor winXP).

Trouwens, ik bekijk de babes-thread enkel met condoom aan natuurlijk.
Jij niet dan? Tssssss. Das problemen zoeken he.

[Griffin]

Trek jij dan plastiek over je scherm???

[dejohan]

Zeg bestaan er mp3-virussen?

[parcifal]

Citaat:

Oorspronkelijk geplaatst door dejohan

Zeg bestaan er mp3-virussen?

Nee, die bestaan (momenteel) niet.

Het is niet onmogelijk dat ze wel in de toekomst gemaakt worden
maar dan zou er eerst een ernstig beveiligingslek moeten gevonden
worden in programma's zoals MS media player of Winamp ofzo.

[dejohan]

Citaat:

Oorspronkelijk geplaatst door parcifal

Nee, die bestaan (momenteel) niet.

Het is niet onmogelijk dat ze wel in de toekomst gemaakt worden
maar dan zou er eerst een ernstig beveiligingslek moeten gevonden
worden in programma's zoals MS media player of Winamp ofzo.

Ik zie de platenmaatschappijen al handevrijven.
Ja, maar je hebt mp3's die automatisch een wep page openen als je een pm3 opent (ge kunt die fucntionaliteit blokkeren hoor). Brengt dat geen zee van mogelijkheden met zich mee?
En wat mbt mp3's die automatisch media-info of beveiligingscodes van het net halen, kan dat niet ergens een buffer overflow veroorzaken (ik weet niet wat dat is hoor, maar naar't schijnt is dat wel handig om te hacken en te virussen).