JPEG - wirus z ludzką twarzą

Ryzyko zainfekowania komputera nigdy nie było tak wielkie, jak obecnie. Okazuje się że, wystarczy przywołać na ekran zwyczajny obrazek. Pole rażenia nowego typu wirusów rozciąga się na wszystkie wersje Windows. Nie pomoże nawet aktualizacja systemu.

Ryzyko zainfekowania komputera nigdy nie było tak wielkie, jak obecnie. Okazuje się że, wystarczy przywołać na ekran zwyczajny obrazek. Pole rażenia nowego typu wirusów rozciąga się na wszystkie wersje Windows. Nie pomoże nawet aktualizacja systemu.

Microsoft określa nową lukę w zabezpieczeniach jako "krytyczną", a eksperci - jako ogromne niebezpieczeństwo. Mowa o nowym rodzaju wirusów, który od niedawna sieje postrach i zniszczenie w komputerach internautów. Aby paść jego ofiarą, wystarczy przywołać na ekran monitora zwykły obrazek z Sieci. Ryzyko obejmuje wszystkie wersje systemu operacyjnego Windows. O prawdopodobieństwie zarażenia peceta decyduje przede wszystkim oprogramowanie zainstalowane w danym komputerze. Drzwiczki, którymi szkodniki dostaną się do peceta, mogą zostać otwarte również przez aplikacje innych producentów.

W czym leży problem, jak odbywa się infekcja i w jaki sposób uzyskać maksymalny stopień bezpieczeństwa? Niestety, nie uda ci się całkowicie wyeliminować ryzyka.

Wprawdzie Microsoft udostępnił stosowne łaty, jednak nie uszczelniają one stuprocentowo wszystkich kanałów, którymi wirusy przedostają się do komputera. Eksperci ustalili, że po wgraniu łat nadal stoją otworem pewne luki.

Mimo to powinieneś natychmiast pobrać i zainstalować aktualizacje, aby zabezpieczyć się przynajmniej przed bieżącymi intruzami. Poniżej opisujemy, skąd wziąć stosowne łaty, i przedstawiamy narzędzie, które pomaga znaleźć kryjówki wirusów w pececie. Informujemy, jakie programy antywirusowe chronią przed intruzami nowej maści.

Na czym polega ryzyko?

Na bieżąco - producent systemu Windows szybko poinformował o usterce w module GDI+ i konieczności aktualizowania.

Na bieżąco - producent systemu Windows szybko poinformował o usterce w module GDI+ i konieczności aktualizowania.

Prawie wszyscy zdają sobie sprawę, że pliki EXE mogą zawierać szkodliwy kod, więc stwarzają poważne ryzyko zainfekowania komputera. Zaawansowani użytkownicy znają kilka innych potencjalnie niebezpiecznych typów plików, m.in. PIF czy VBS. Otrzymawszy zbiory tego rodzaju (np. w wiadomości pocztowej), każdy nabiera podejrzeń i w razie wątpliwości nie przywołuje załączników. A jak wygląda sytuacja z obrazkami? Przecież są masowo rozsyłane w Sieci i nie budzą żadnych podejrzeń.

Choć jeszcze do niedawna nikt nie mógł się spodziewać takiego obrotu sprawy, od tej pory nie można zaliczać obrazków do bezpiecznych typów plików. Odkryta ostatnio luka w zabezpieczeniach rodzi tak wielkie ryzyko, bo większość osób nadal sądzi, że pliki graficzne nie mogą stanowić niebezpieczeństwa. Na domiar złego obrazki można spotkać na każdym kroku w Internecie. Spreparowane w złych zamiarach pliki graficzne są rozprowadzane w wiadomościach pocztowych o wątpliwej treści (np. zawierających rzekomo akty powszechnie znanych aktorów czy modelek). Do zainfekowania wystarczy wyświetlenie zdjęcia w oknie przeglądarki.

Łatanie bez końca

Microsoft przygotował aktualizacje, które pomagają załatać opisaną lukę. Gdy zainstalujesz wszystkie, twój komputer będzie przynajmniej częściowo odporny na odkryte dotychczas szkodniki, zamaskowane w obrazkach. Jednak producent systemu nie ułatwia jego użytkownikom odnalezienia wszystkich plików aktualizacyjnych.

Na dodatek powstał wielki chaos - trudno się zorientować, które łaty są potrzebne do danej wersji systemu Windows i zainstalowanych w nim aplikacji. Na przykład w niebezpieczeństwie jest Windows XP, chyba że doinstalowałeś Service Pack 2. Aktualizacja nie pomoże, jeśli w systemie jest pakiet biurowy Microsoft Office 2003 lub jeden ze składników tego pakietu, np. Word 2003. Narażone na niebezpieczeństwo są także komputery z Windows XP i Service Packiem 2 (bez Office'a 2003), w których jest zainstalowany program Greetings 2002, Picture It, Digital Image Suite lub jedna z sześciu innych aplikacji Microsoftu - w tym wypadku o ryzyku decyduje jej numer wersji.

Listę wszystkich zagrożonych aplikacji, a także łącza do stosownych aktualizacji opublikowano pod adresem http://www.microsoft.com/poland/technet/security/bulletin/MS04-028.mspx

Na skróty do łat

Skromny program GDIScan zbada, czy na twoim dysku znajdują się biblioteki podatne na atak z wykorzystaniem luki JPEG.

Skromny program GDIScan zbada, czy na twoim dysku znajdują się biblioteki podatne na atak z wykorzystaniem luki JPEG.

Chcąc szybko odnaleźć się w chaosie łat i wygodnie pobrać tylko te, których potrzebuje twój system, przywołaj internetową witrynę http://www.microsoft.com/poland/security/bulletin/200409_jpeg.mspx . Udostępniono tu asystenta, który krok po kroku bada zainstalowane oprogramowanie. Najpierw następuje analiza i aktualizacja systemu Windows, potem pakietu Office. W dalszej kolejności kreator bada narzędzia programistyczne Microsoftu i szuka innych programów (przede wszystkim służących do przetwarzania obrazków), które mogłyby stanowić ryzyko infekcji. Po uporaniu się z tą lawiną łat aplikacje Microsoftu są na tyle bezpieczne, na ile jest to obecnie możliwe.

Niepozorny skaner

Nawet po wgraniu wszystkich łat z witryny Microsoftu twój komputer nie jest całkowicie uodporniony na wirusy JPEG. Niektóre fotoedytory i przeglądarki obrazków wyposażają system we własną bibliotekę GDIPLUS.DLL (patrz ramka), której nie uwzględniają pobrane aktualizacje.

W odnalezieniu innych wersji tego pliku podatnych na zarażenie wirusem pomoże ci miniaturowe narzędzie GDIScan. Znajdziesz je pod adresem http://isc.sans.org/gdiscan.php (rozmiar pliku: 7 KB). Działa w Windows NT 4, 2000 i XP. W środowiskach Windows 95/98/ Me nie radzi sobie z poprawnym wyświetlaniem wyników. Rozwiązanie problemu udostępniono na forum dyskusyjnym pod adresem http://www.bleepingcomputer.com/forums/topict3077.html

Poniżej przedstawiamy zwięzłą instrukcję użytkowania programu GDIScan. Po jego uruchomieniu należy wskazać partycję systemową w lewej dolnej części okna, po czym kliknąć przycisk Scan. Narzędzie szuka wielu różnych bibliotek. Możesz zignorować komunikaty dotyczące plików SXS.DLL, WSXS.DLL i MSO.DLL. Zwróć tylko uwagę na zbór GDIPLUS.DLL. Program zaznaczy na czerwono odnalezione wersje i poda foldery docelowe tej biblioteki.

Podejrzeń nie powinny wzbudzać tylko te egzemplarze, które są umieszczone w katalogu %Systemroot%\ $NTSERVICEPACKUNINSTALL$.

To samo dotyczy obecnie katalogu %Systemroot%\WINSXS\ wraz z podkatalogami.

Wszystkie pozostałe egzemplarze wspomnianej biblioteki stanowią pewne ryzyko. Sprawdź zawartość całego folderu, w którym GDIScan znajdzie plik GDIPLUS.DLL. W ten sposób ustalisz nazwę aplikacji, która umieściła w systemie niebezpieczną bibliotekę. Potem przywołaj internetową witrynę producenta tego programu i zobacz, czy oferuje do pobrania stosowną aktualizację. Jeśli tak, koniecznie wgraj ją do systemu. W przeciwnym razie, korzystając nadal z tej aplikacji, narazisz komputer na zarażenie wirusem. Dlatego powinieneś zrezygnować z niej do czasu przeprowadzenia aktualizacji.

Pomocnicze środki bezpieczeństwa

Prostsze aktualizowanie systemu - Microsoft udostępnił asystenta, który krok po kroku pomaga w łataniu luki JPEG.

Prostsze aktualizowanie systemu - Microsoft udostępnił asystenta, który krok po kroku pomaga w łataniu luki JPEG.

Dodatkowe zabezpieczenie daje program antywirusowy, który i tak powinien znajdować się w każdym komputerze. Jeśli szczeliną mają przedostawać się znane wirusy, strażnik powinien zgłosić niebezpieczeństwo najpóźniej tuż po wczytaniu intruza. Ponadto niektóre skanery antywirusowe radzą sobie z potencjalnymi nowymi szkodnikami, które potrafią przechytrzyć nawet zaktualizowany system. Mechanizmy heurystyczne, nadzorujące komputer pod kątem czynności charakterystycznych dla wirusów, zawczasu demaskują nieproszonych gości, którzy wykorzystali lukę, aby przedostać się do systemu. Chcąc zbadać, czy w twoim komputerze grasują niebezpieczne obrazki, powinieneś zainicjować skanowanie każdej partycji programem antywirusowym. Pamiętaj, aby uaktywnić skanowanie wszystkich typów plików w ustawieniach tej aplikacji. W przeciwnym razie zostaną sprawdzone tylko pliki wykonywalne, obrazki zaś zostaną pominięte.

Skuteczną ochronę przed intruzami JPEG, które wykorzystują lukę ujawnioną oficjalnie przez Microsoft, dają praktycznie wszystkie popularne programy antywirusowe - m.in. Norton AntiVirus ( http://www.symantec.pl ), mks_vir ( http://www.mks.com.pl ), Anti-VirenKit ( http://www.gdata.pl ), McAfee VirusScan ( http://www.mcafee.com ), PC-cillin ( http://pl.trendmicroeurope.com ), Kaspersky Anti-Virus ( http://www.kaspersky.pl ), Panda Antivirus ( http://www.pspolska.pl ), F-Secure Anti-Virus 2005 ( http://www.f-secure.com ), F-Prot ( http://www.f-prot.com ) Sophos Anti-Virus ( http://www.sophos.com ) czy Norman Virus Control ( http://www.norman.com ). Każda z wymienionych aplikacji zabezpiecza komputer również przed trzema pozostałymi, potencjalnie niebezpiecznymi typami plików graficznych.


Zobacz również